Der europäische Kontext

NIS2, RCE und KRITIS

Neben der nationalen KRITIS-Gesetzgebung gibt es auf EU-Ebene die NIS2 und RCE-Direktiven, die Kritische Infrastrukturen regulieren. NIS2 und RCE regeln die Sicherheit von Betreibern in der EU mit ähnlicher Struktur aber anderen Schwerpunkten und Zielen.

Schutzziel

RCE reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.

NIS2 reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyber Angriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren.

Maßnahmen

Beide Direktiven verlangen von Betreibern präventive Maßnahmen und Störungs­meldungen:

RCE fordert Resilienz bei Betreibern durch Vorsorge, physischer Sicherheit, Krisen-Management und BCM, personelle Sicherheit und Awareness.

NIS2 fordert Cyber Security bei Betreibern — Policies und Governance, Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, Kryptographie.

Aufsicht

RCE fordert in Mitgliedsstaaten eine Behörde für Resilienz und, die Betreiber identifiziert, Aufsicht ausübt und Vorgaben zur Umsetzung macht.

NIS2 fordert in Mitgliedsstaaten eine Behörde für Cyber Security, ein CSIRT und Cyber Krisen-Management. Es soll starke nationale Aufsicht, Vorgaben und Enforcement geben.

EU

RCE bindet die Kommission stark in die EU-weite Aufsicht für Resilienz ein und richtet zur Kooperation die CERG ein. Informationen werden auf EU-Ebene gesammelt.

NIS2 hat eine bestehende EU-Landschaft mit der ENISA, der CG zur Kooperation, dem CSIRT-Netzwerk und EU-CyCLONe und der Kommission, mit viel Informations­austausch.

Regulierte Betreiber und Sektoren

NIS2 und RCE regulieren kritische Betreiber in teilweise deckungsgleichen EU-Sektoren — NIS2 legt die betroffenen Betreiber über Unternehmensgröße nach 2003/361/EC fest, während RCE eine nationale Identifizierung der Betreiber durch den Staat fordert.

Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert — NIS2 reguliert zwei Gruppen, RCE Sektoren aus einer davon, die deutschen KRITIS-Sektoren sind ähnlich.

Zusammenfassung

Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016. Der Entwurf von Dezember 2020 enthält deutlich mehr Betroffenheit, Pflichten und Aufsicht:

1. Sektoren +8: Die kritischen Essential Sektoren erhöhen sich um drei, die Sektoren von Important Entities wachsen um fünf — auf insgesamt sechzehn NIS2 Sektoren.
2. Schwellwerte: Medium und Large Enterprises sollen betroffen sein, keine separaten Schwellenwerte für Betreiber mehr.
3. Cyber Security: Die Anforderungen an Betreiber und Mitgliedsstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
4. Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
5. Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet.

Wer ist betroffen?

Die EU NIS2-Direktive reguliert sechzehn Sektoren von Betreibern (Entities) in der EU, die im wesentlichen deutschen KRITIS-Betreibern entsprechen: Art. 1

1. Essential Entities: Zehn kritische Sektoren
2. Important Entities: Sechs wichtigte Sektoren

Generell soll es keine unterschiedlichen Schwellenwerte (in der EU) mehr geben, sondern Betroffenheit nach uniformen Kriterien — Unternehmens­größe nach 2003/361/EC:

1. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz
2. Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz

Es gibt Ausschlüsse und Sonderfälle, die nicht betroffen sind:

1. Kleinst (micro): ‹ 9 Beschäftigte und ‹ 2 Mio. EUR Umsatz/Bilanz
2. Klein (small): ‹ 49 Beschäftigte und ‹ 10 Mio. EUR Umsatz/Bilanz
3. Digitale Infrastruktur aus A wird unabhängig der Größe reguliert
4. Spezialfälle in A und B werden unabhängig der Größe reguliert, bei z.B. nationaler Monopolstellung, besonderer Wichtigkeit, Cross-Border Abhängigkeiten etc.

Sektoren

Die NIS2-Direktive erweitert die EU-Sektoren auf insgesamt sechzehn: zehn Essential (+3) und sechs Important (+5) Sektoren, die in etwa den deutschen KRITIS-Sektoren des IT-SiG 2.0 entsprechen. Die Essential Sektoren sind identisch zu denen der EU RCE-Direktive.

Betreiber

Die EU NIS2-Direktive legt für Essential und Important Betreiber Mindest­anforderungen an Cyber Security fest (≡ KRITIS-Betreiber). Nationale Gesetzgebung wird diese Maßnahmen dann verpflichtend machen — überwacht durch nationale Behörden.

Cyber Security

Betreiber in der EU müssen mindestens folgende Cyber Security Maßnahmen umgesetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen: Art. 17 Art. 18

1. Policies: Richtlinien für Risiken und Informationssicherheit
2. Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
3. Kontinuität: BCM und Krisenmanagement
4. Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
5. Test und Audit: Methoden zur Messung der Effektivität von Informationssicherheit
6. Kryptographie: Angemessener Einsatz von Verschlüsselung

Standards

Für Cyber Security Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitgliedsstaaten Betreibern dabei die Nutzung von EU Cyber Security Zertifizierungen vorschreiben. Art. 21 Art. 22

Meldewesen

Betreiber müssen ihre nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten. Art. 20 EU Mitgliedsstaaten sollen den Austausch von Informationen zwischen Betreibern fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 26

Registrierung

Kritische Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25

Nationale Aufsicht

Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und deren Governance für Cyber Security fest. Mitgliedsstaaten steht es frei, über diese Anforderungen mit eigener Regulierung hinauszugehen. Art. 3

Nationale Cyber Security Strategien

Mitgliedsstaaten müssen eine nationale Cyber-Sicherheitsstrategie (NCSS) als Rahmen der Cyber Security Regulierung definieren und mit angemessener Aufsicht umsetzen. Art. 5

Behörden

Mitgliedsstaaten sollen Behörden im eigenen Land für Cyber Security Aufgaben ermächtigen:

1. Competent authority: Eine für Cyber Security und Aufsicht zuständige Behörde Art. 8
2. Krisen-Management: Für die nationale Bewältigung von large-scale Cyber Security Incidents und Krisen Art. 7
3. Nationale Kooperation: Die Cyber Security Behörden, CSIRT und SPOCs in den Mitgliedsstaaten sollen eng zusammenarbeiten Art. 11

Governance

NIS2 schreibt umfangreiche nationale Aufsicht in Mitgliedsstaaten vor. Die Liste der Befugnisse der nationalen Behörden bei Essential Betreibern umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions für Compliance: Art. 28 Art. 29

1. Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen können
2. Anweisungen: Behörden sollen Betreibern im Fall von Non-Compliance Anweisungen erteilen, öffentliche Warnungen aussprechen, einen Aufsichtsbeamten bestellen können
3. Betriebserlaubnis: Bei fortwährender Non-Compliance sollen Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierungen o.ä. entziehen können
4. Organhaftung: Die Leitungsorgane von Betreibern sollen für Verstöße persönlich haftbar gemacht werden

Die Aufsichtspflichten für Essential Betreiber lehnen sich an diesen an, sind aber etwas abgeschwächt. Art. 30 Für Verstöße gegen Regularien und Data Breaches sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 31 Art. 32 Art. 33

Incidents und Meldungen

Für die Bewältigung von Cyber Security Incidents sollen Mitgliedsstaaten mindestens ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 9, 10

1. Überwachung von nationalen Cyber Threats und Incidents
2. Frühwarnung, Alarmierung und Informationen zu Cyber Risiken
3. Incident Bewältigung und Unterstützung
4. Proaktives Scannen von Netzwerken bei Bedarf
5. Zusammenarbeit in der EU, im CSIRT-Netzwerk und mit Betreibern

Domains und Datenbanken

Der Betrieb von TLD Domain-Registries wird stärker reglementiert — mit Pflichten zur Erfassung und Publikation der Daten von Domain-Registrierungen. Art. 23

Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitgliedsstaaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 6

Zusammenarbeit in der EU

Kooperation

Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitgliedsstaaten. Dabei tauschen sich Vertreter der Mitgliedsstaaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 12

Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Cyber Krisen. Art. 14

Cyber Security

Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 15

Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitgliedsstaaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 16

1. Cyber Security Fähigkeiten und Ressourcen der nationalen Behörden
2. Umsetzung der Reporting und Risiko-Management Anforderungen
3. Fähigkeiten und Effektivität der CSIRTs
4. Effektivität vom Informationsaustausch und der gegenseitigen Unterstützung

Die Sicherheit von Lieferketten, IT-Diensten und Systemen kann von der Cooperation Group zusammen mit ENISA und der Kommission untersucht werden. Die Auswahl entsprechender Dienste oder Produkte obliegt der Kommission. Art. 19

Informationsaustausch

Die nationalen CSIRTs tauschen in einem EU-Netzwerk für CSIRTs Informationen zu Incidents, Krisen, Fähigkeiten aus. Das CSIRT-Netzwerk dient auch zur weiteren Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 13

Bei Vorfällen, die mehrere Staaten betreffen, sollen nationale CSIRTs bzw. Behörden die jeweiligen Staaten informieren — bei öffentlichen Auswirkungen die Öffentlichkeit. Art. 20

Europäische Jurisdiktion

Die Zuständigkeit für Anbieter digitaler Dienste in der EU wird in NIS2 konkretisiert: Art. 24

1. Bei Digitalen Infrastrukturen und Diensten wie DNS/TLD, Cloud, Rechenzentren, SDN, DSP liegt die Jurisdiktion beim Mitgliedsstaat ihres Hauptsitzes
2. Der Hauptsitz ist definiert als der Ort, an dem Cyber Risiko Maßnahmen getroffen werden
3. Ist dieser Hauptsitz außerhalb der EU, zählt der Mitgliedsstaat mit den meisten Mitarbeitern
4. Hat ein Anbieter keinen Sitz in der EU, bietet aber Dienste an, muss er definierte Vertreter in der EU bestimmen

Bei europäischen Betreibern, die Dienste in mehreren Mitgliedsstaaten anbieten, sollen die nationalen Aufsichtsbehörden eng zusammenarbeiten. Art. 34

Gesetzgebung

Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitgliedsstaaten fest. Diese Anforderungen der NIS2 und RCE Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.

EU

Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU RCE ebenfalls. Seit Oktober 2021 gibt es einen leicht veränderten Kompromiss-Vorschlag des Europäischen Parlaments, der in den nächsten Wochen weiter ausgehandelt werden soll. Nach der Verabschiedung in der EU müssen Mitgliedsstaaten innerhalb von 18 Monaten die Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

Die NIS-Direktive von 2016 wurde mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie 2017 in Deutschland umgesetzt.

Das deutsche IT-Sicherheitsgesetz 2.0 von 2021 passt umfangreiche Teile der deutschen KRITIS-Regulierung an und wurde von Bundestag und Bundesrat beschlossen. Viele Änderungen von NIS2 finden darin schon Berücksichtigung — die neuen Sektoren, Cyber Security Anforderungen und das Strafregime, einige andere Vorkehrungen jedoch noch nicht.

Review

EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.

Literatur

1. EN OpenKRITIS EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ November, 2021 — in English
2. NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit, Heise Online 10/2021
3. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
4. DIGITALEUROPE’s position on the NIS 2 Directive, DIGITALEUROPE, 19 Mar 2021
5. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
6. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
7. Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
8. Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
9. Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020

Quellen

1. Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
2. Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
3. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016