Hit enter to search or ESC to close

rechenzentren.org

Neues aus der Welt der Data Center
  • Home
  • Wissen
  • NIS2 Durchführungsverordnung veröffentlicht

NIS2 Durchführungsverordnung veröffentlicht

Die Durchführungsverordnung zur NIS2-Richtlinie (EU) 2022/2555 wurde am 17.10.2024 veröffentlicht und legt technische und methodische Anforderungen für Risikomanagementmaßnahmen im Bereich der Cybersicherheit fest. Die Verordnung präzisiert die Kriterien, wann ein Sicherheitsvorfall als erheblich anzusehen ist und beschreibt spezifische Anforderungen für verschiedene Sektoren. Im Folgenden sind die wichtigsten Punkte detailliert ausgearbeitet:

1. Geltungsbereich und Zielsetzung

Die Verordnung zielt darauf ab, technische und methodische Anforderungen für Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu harmonisieren. Sie richtet sich an Einrichtungen, die essenzielle und wichtige Dienste anbieten, um ein hohes gemeinsames Sicherheitsniveau in der gesamten EU zu gewährleisten. Ziel ist es, grenzüberschreitende Zusammenarbeit zu fördern und die Sicherheit kritischer Infrastrukturen zu stärken, um sowohl wirtschaftliche als auch gesellschaftliche Schäden zu minimieren.

2. Betroffene Einrichtungen

Die Verordnung betrifft verschiedene Anbieter von wichtigen Diensten, darunter:

  • DNS-Diensteanbieter und TLD-Namenregister: Diese Anbieter spielen eine zentrale Rolle bei der Sicherstellung der Funktionsfähigkeit des Internets durch die Bereitstellung von Domain-Name-Diensten.
  • Cloud-Computing-Dienste: Anbieter von Cloud-Diensten müssen sicherstellen, dass ihre Infrastruktur hohen Sicherheitsstandards entspricht, um die Vertraulichkeit, Integrität und Verfügbarkeit der gespeicherten Daten zu gewährleisten.
  • Rechenzentrumsdienste: Rechenzentren sind kritische Knotenpunkte für die Speicherung und Verarbeitung von Daten und müssen daher robuste physische und digitale Sicherheitsmaßnahmen implementieren und sollten schon vor dem Bau mit eingeplant werden.
  • Betreiber von Inhaltszustellnetzen (CDN): Diese Netzwerke sind wichtig für die effiziente Verteilung von Inhalten im Internet und müssen gegen Angriffe wie DDoS-Attacken geschützt werden.
  • Anbieter verwalteter Dienste und verwalteter Sicherheitsdienste: Diese Anbieter unterstützen Unternehmen bei der Verwaltung und Sicherung ihrer IT-Infrastrukturen.
  • Anbieter von Online-Marktplätzen, Online-Suchmaschinen und sozialen Netzwerken: Diese Plattformen sind besonders anfällig für Datenschutzverletzungen und Missbrauch von Benutzerdaten.
  • Vertrauensdiensteanbieter: Anbieter von Vertrauensdiensten, wie z. B. digitale Signaturen, müssen die Sicherheit ihrer Dienste gewährleisten, um die Authentizität und Integrität von Transaktionen sicherzustellen.

3. Technische und methodische Anforderungen

Die Anforderungen an die betroffenen Einrichtungen beruhen auf europäischen und internationalen Normen wie ISO/IEC 27001, ISO/IEC 27002 und ETSI EN 319401. Sie beinhalten:

  • Risikomanagementmaßnahmen: Einrichtungen müssen Risikomanagementrahmen entwickeln, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören Risikoidentifikation, -bewertung und -behandlung.
  • Umsetzung je nach Risikoexposition: Die Anforderungen richten sich nach der Größe und dem Risikoprofil der Einrichtung. Größere Organisationen mit höherer Risikoexposition müssen strengere Maßnahmen umsetzen.
  • Kontinuierliche Überwachung und Verbesserung: Einrichtungen müssen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungen anpassen.

4. Ausgleichsmaßnahmen für kleine Einrichtungen

Kleine Einrichtungen, die bestimmte technische Anforderungen aufgrund ihrer Größe nicht umsetzen können, dürfen Ausgleichsmaßnahmen ergreifen. Diese können die Überwachung durch das Management oder verstärkte Protokollierungsmaßnahmen beinhalten. Bei der Umsetzung der Ausgleichsmaßnahmen müssen diese Einrichtungen sicherstellen, dass das gleiche Sicherheitsniveau wie bei den Standardanforderungen erreicht wird. Beispiele für solche Maßnahmen sind:

  • Gezielte Beaufsichtigung durch das Management, um sicherzustellen, dass alle Sicherheitsprotokolle eingehalten werden.
  • Verstärkte Überwachung und Protokollierung, um ungewöhnliches Verhalten frühzeitig zu erkennen.
  • Externe Beratung zur Bewertung und Verbesserung der bestehenden Sicherheitsmaßnahmen.

5. Erhebliche Sicherheitsvorfälle

Ein Sicherheitsvorfall wird als erheblich angesehen, wenn einer der folgenden Punkte erfüllt ist:

  • Finanzieller Verlust: Der Vorfall verursacht finanzielle Verluste von mehr als 500.000 EUR oder 5 % des Jahresumsatzes. Hierbei können direkte Kosten, wie z. B. die Wiederherstellung der Systeme, sowie indirekte Kosten, wie z. B. Vertragsstrafen, berücksichtigt werden.
  • Unbefugter Zugriff: Ein erfolgreicher, böswilliger Zugriff auf Netz- und Informationssysteme mit potenziell schwerwiegenden Betriebsstörungen. Dies kann z. B. der Fall sein, wenn ein Angreifer Zugang zu sensiblen Daten erhält oder die Kontrolle über kritische Systeme übernimmt.
  • Gesundheitsschäden: Der Vorfall verursacht oder könnte schwere Gesundheitsbeeinträchtigungen oder den Tod von Personen verursachen. Ein Beispiel hierfür ist ein Cyberangriff auf ein Krankenhaus, der die Versorgung von Patienten beeinträchtigt.
  • Kriterien für verschiedene Sektoren: Es gibt spezielle Kriterien für DNS-Dienste, Cloud-Computing-Dienste, soziale Netzwerke usw., die die Dauer der Nichtverfügbarkeit oder den Verlust der Datenintegrität betreffen. Ein Beispiel ist die vollständige Nichtverfügbarkeit eines Cloud-Dienstes für mehr als 30 Minuten.
  • Sektorenspezifische Anforderungen:
    • DNS-Diensteanbieter: Ein Vorfall gilt als erheblich, wenn ein rekursiver oder autoritativer Dienst zur Auflösung von Domänennamen mehr als 30 Minuten nicht verfügbar ist oder die Integrität und Vertraulichkeit der Daten beeinträchtigt sind.
    • TLD-Namenregister: Ein Vorfall gilt als erheblich, wenn ein autoritativer Dienst zur Auflösung von Domänennamen nicht verfügbar ist oder die Sicherheit der im Zusammenhang mit der TLD gespeicherten Daten beeinträchtigt ist.
    • Cloud-Computing-Dienste: Ein Vorfall ist erheblich, wenn ein Cloud-Dienst mehr als 30 Minuten nicht verfügbar ist oder die Integrität und Vertraulichkeit der Daten durch eine mutmaßlich böswillige Handlung beeinträchtigt ist.
    • Rechenzentrumsdienste: Ein Vorfall gilt als erheblich, wenn ein Rechenzentrumsdienst vollständig nicht verfügbar ist oder der physische Zugang zu einem Rechenzentrum beeinträchtigt ist.

6. Risikobehandlungsplan und Sicherheitstests

Einrichtungen müssen:

  • Einen Risikobehandlungsplan erstellen, um Risiken zu identifizieren, zu bewerten und zu priorisieren. Der Plan sollte klare Maßnahmen enthalten, um Risiken zu minimieren oder zu beseitigen, sowie Verantwortlichkeiten für die Umsetzung der Maßnahmen festlegen.
  • Regelmäßig Sicherheitstests durchführen, darunter Penetrationstests, Schwachstellenscans und Sicherheitsaudits. Diese Tests dienen dazu, Schwachstellen in den Systemen zu identifizieren und rechtzeitig Gegenmaßnahmen zu ergreifen.
  • Ein Sicherheitspatch-Managementverfahren implementieren, um Sicherheitslücken zu schließen, ohne neue Schwachstellen einzuführen. Das Patch-Management sollte regelmäßig und zeitnah erfolgen, insbesondere bei der Entdeckung kritischer Schwachstellen.
  • Dokumentationspflichten: Wenn bestimmte technische Anforderungen nicht umgesetzt werden können, muss die Einrichtung dies detailliert dokumentieren und begründen.

7. Cybersicherheit der Lieferkette

Um Risiken aus der Lieferkette zu minimieren, müssen Einrichtungen Sicherheitsklauseln in Verträge mit ihren Anbietern aufnehmen. Diese Klauseln sollten Risikomanagementmaßnahmen und Cybersicherheitsanforderungen festlegen.

  • Sicherheitsbewertung der Lieferanten: Einrichtungen müssen regelmäßig die Sicherheitsmaßnahmen ihrer Lieferanten bewerten, insbesondere wenn diese Zugang zu sensiblen Informationen haben.
  • Vertragsklauseln: Verträge sollten Bestimmungen zur Einhaltung von Sicherheitsstandards und zum Umgang mit Sicherheitsvorfällen enthalten.
  • Überwachung der Lieferkette: Einrichtungen sollten Mechanismen implementieren, um die Risiken, die von ihren Lieferanten ausgehen, kontinuierlich zu überwachen und zu minimieren.

8. Physische Sicherheit und Schutz vor Umweltbedrohungen

Die Verordnung schreibt vor, dass die physische Sicherheit der Netz- und Informationssysteme berücksichtigt werden muss. Schutzmaßnahmen umfassen:

  • Brandschutz: Einsatz feuerbeständiger Materialien, Brandmeldeanlagen und regelmäßige Brandschutzübungen. Einrichtungen sollten auch sicherstellen, dass ihre Rechenzentren in getrennten Brandabschnitten untergebracht sind.
  • Stromversorgung: Notstromversorgung und Überspannungsschutz zur Vermeidung von Systemausfällen. Eine unterbrechungsfreie Stromversorgung wie USV und Netzersatzanlagen sollte implementiert werden, um im Falle eines Stromausfalls den Betrieb aufrechtzuerhalten.
  • Klimaanlagen: Verwendung redundanter Klimaanlagen zur Vermeidung von Überhitzung. Es sollten Temperatur- und Feuchtigkeitssensoren eingesetzt werden, um kritische Schwellenwerte zu überwachen und rechtzeitig Maßnahmen zu ergreifen.
  • Schutz vor weiteren physischen Bedrohungen: Maßnahmen gegen Umwelteinflüsse wie Überschwemmungen, Erdbeben und Sabotage, einschließlich der Installation von Früherkennungssystemen für Naturkatastrophen.

9. Cyberhygiene und Schulungen

Grundlegende Verfahren der Cyberhygiene sind verpflichtend, darunter:

  • Zero-Trust-Prinzipien: Alle Zugriffe auf Netz- und Informationssysteme müssen als potenziell unsicher betrachtet werden, und es müssen strenge Authentifizierungs- und Autorisierungsmaßnahmen umgesetzt werden.
  • Identitäts- und Zugriffsmanagement: Einrichtungen müssen sicherstellen, dass Zugriffsrechte regelmäßig überprüft und nur nach dem Prinzip der geringsten Privilegien vergeben werden.
  • Nutzeraufklärung und Schulungen: Mitarbeiter müssen regelmäßig geschult werden, um Cyberbedrohungen wie Phishing und Social Engineering zu erkennen. Zu den Schulungen gehören auch praktische Übungen, um das Verhalten der Mitarbeiter in simulierten Angriffsszenarien zu testen.
  • Umsetzung grundlegender Cyberhygienemaßnahmen: Maßnahmen wie Netzwerksegmentierung, regelmäßige Software-Updates und Multi-Faktor-Authentifizierung müssen umgesetzt werden.

10. Multifaktor-Authentifizierung

Die Multifaktor-Authentifizierung (MFA) soll eingeführt werden, insbesondere für:

  • Remote-Zugriffe auf Netz- und Informationssysteme: MFA reduziert das Risiko von Angriffen, bei denen Zugangsdaten kompromittiert wurden.
  • Zugriffe auf sensible Informationen und Systemverwaltungsfunktionen: Für privilegierte Benutzer und administrative Konten ist MFA eine grundlegende Sicherheitsmaßnahme, um den unbefugten Zugang zu verhindern.
  • Kombination mit weiteren Sicherheitsmaßnahmen: MFA kann mit anderen Techniken kombiniert werden, wie z. B. standortbasierter Authentifizierung oder verhaltensbasierter Analyse, um zusätzliche Schutzschichten zu schaffen.

11. Meldepflicht für erhebliche Vorfälle

Einrichtungen sind verpflichtet, erhebliche Sicherheitsvorfälle innerhalb der in der NIS2-Richtlinie festgelegten Fristen zu melden. Vorfälle, die den Tod oder erhebliche Gesundheitsschäden verursachen können, sind als besonders schwerwiegende Vorfälle zu behandeln. Auch wiederholte Sicherheitsvorfälle, die dieselbe Ursache haben, müssen gemeldet werden, wenn sie zusammen betrachtet erheblich sind.

  • Meldung an zuständige Behörden: Die Meldung sollte alle relevanten Informationen zum Vorfall enthalten, einschließlich Art des Vorfalls, Auswirkungen und ergriffene Gegenmaßnahmen.
  • Interne Meldeverfahren: Einrichtungen müssen interne Verfahren zur schnellen Identifizierung und Meldung von Vorfällen implementieren, um sicherzustellen, dass die gesetzlichen Meldefristen eingehalten werden.
  • Koordination mit anderen Einrichtungen: Bei grenzüberschreitenden Vorfällen oder Vorfällen, die mehrere Einrichtungen betreffen, sollten betroffene Organisationen zusammenarbeiten, um die Auswirkungen zu minimieren und eine koordinierte Reaktion zu gewährleisten.
  • Kriterien für wiederholte Vorfälle: Sicherheitsvorfälle, die innerhalb von sechs Monaten mindestens zweimal aufgetreten sind und dieselbe Ursache haben, müssen zusammen als erheblicher Vorfall betrachtet werden, wenn sie das Kriterium für finanzielle Verluste erfüllen.

Fazit

Die Durchführungsverordnung zur NIS2 legt großen Wert auf einheitliche Standards zur Cybersicherheit und betont die Wichtigkeit von Risikomanagement, der Sicherheit der Lieferkette und der physischen Sicherheit der Netz- und Informationssysteme. Ziel ist es, die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberangriffe zu erhöhen und ein hohes Cybersicherheitsniveau in der gesamten EU zu gewährleisten. Durch die Implementierung dieser Maßnahmen sollen Einrichtungen nicht nur ihre eigenen Systeme schützen, sondern auch das Vertrauen der Öffentlichkeit und ihrer Kunden in die Sicherheit digitaler Dienste stärken.

Die Europäische Agentur für Cybersicherheit (ENISA) spielt eine zentrale Rolle bei der Umsetzung der NIS2-Verordnung. ENISA bietet den betroffenen Einrichtungen Unterstützung bei der Identifizierung und Bewertung von Risiken und entwickelt Leitfäden für die Einführung eines geeigneten Risikomanagementrahmens. Nationale Behörden, wie das Bundesamt für Sicherheit in der Informationstechnik arbeiten eng mit der ENISA zusammen, um die Einhaltung der Verordnung sicherzustellen und gegebenenfalls Sanktionen bei Nichteinhaltung zu verhängen.

NIS2 Richtlinie PDF zum download

Durchführungsverordnung zur NIS2Herunterladen

NIS2 Richtlinie als Podcast

nis2-PodcastHerunterladen

FAQ zur NIS2 Durchführungsverordnung

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist die überarbeitete Version der ursprünglichen NIS-Richtlinie von 2016. Sie zielt darauf ab, die Cybersicherheitsvorkehrungen in der EU zu stärken und die Zusammenarbeit zwischen den Mitgliedstaaten zu verbessern.

Wer ist von der Durchführungsverordnung betroffen?

Die Verordnung gilt für eine Vielzahl von IT-Dienstleistern und Plattformen, darunter DNS-Diensteanbieter, Cloud-Computing-Dienstleister, soziale Netzwerke und Online-Marktplätze.

Was ist ein erheblicher Sicherheitsvorfall?

Ein erheblicher Sicherheitsvorfall liegt vor, wenn er erhebliche Auswirkungen auf die betroffene Einrichtung oder ihre Nutzer hat, z.B. durch hohe finanzielle Verluste, den Verlust von Geschäftsgeheimnissen oder die Beeinträchtigung der Gesundheit von Personen.

Welche Anforderungen gelten für das Risikomanagement?

Die Verordnung fordert von den betroffenen Einrichtungen, ein umfassendes Risikomanagementsystem einzuführen, das eine Analyse der Risiken, die Einführung von Sicherheitsmaßnahmen und die ständige Überwachung der Systeme beinhaltet.

Welche Rolle spielt ENISA bei der NIS2-Verordnung?

ENISA bietet Leitlinien und Unterstützung bei der Identifizierung von Cybersicherheitsrisiken und arbeitet eng mit nationalen Behörden zusammen, um die Einhaltung der Verordnung zu gewährleisten.

Wie werden regelmäßige Sicherheitstests durchgeführt?

Sicherheitstests umfassen Penetrationstests, Schwachstellenscans und die Bewertung der Netzwerksicherheit. Diese Tests müssen regelmäßig durchgeführt werden, um sicherzustellen, dass die Systeme sicher bleiben.

All right reserved.

Impressum/Datenschutz

WordPress SEOPress Pro Theme