EU NIS2 Cyber Security
Die EU NIS-Direktive ist der europäische Rahmen für Cyber Security in Kritischen Infrastrukturen. Die Directive on Security of Network and Information Systems reguliert Cyber Security bei Betreibern in EU-Sektoren, die neue EU NIS2 von 2020/2021 wird Sektoren und Cyber Security Pflichten deutlich erweitern — parallel zu EU RCE.
EU NIS2 soll 2022 die bisherige EU NIS-Direktive ablösen — muss aber noch in der EU verabschiedet und dann in nationales Recht überführt werden. Verhandlungen sind seit Ende 2021 in der EU zwischen Parlament und Kommission im Gange, im Mai 2022 konnte Einigkeit erreicht werden, womit NIS2 2022 (wohl) in Kraft treten kann.
EN German and EU Critical Infrastructures 2021
Slides from a talk on new German CI and EU NIS developments
English ∙ PDF ∙ November 2021 ∙ OpenKRITIS-Briefing
EN EU NIS2 Directive Cyber Security
Changes in cyber security for EU operators with updated EU NIS2
English ∙ PDF ∙ November 2021 ∙ OpenKRITIS-Briefing
English version of this page available at EU NIS2 and RCE.
Die NIS2-Direktive
Neuerungen in NIS2
Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016. Der Entwurf von Dezember 2020 enthält deutlich mehr Betroffenheit, Pflichten und Aufsicht:
- Sektoren +8: Die kritischen Essential Sektoren erhöhen sich um drei, die Sektoren von Important Entities wachsen um fünf — auf insgesamt sechzehn NIS2 Sektoren.
- Schwellwerte: Medium und Large Enterprises sollen betroffen sein, keine separaten Schwellenwerte für Betreiber mehr.
- Cyber Security: Die Anforderungen an Betreiber und Mitgliedsstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
- Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
- Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet.
Betreiber und Sektoren
Die EU NIS2-Direktive reguliert sechzehn Sektoren von Betreibern (Entities) in der EU, die im wesentlichen deutschen KRITIS-Betreibern entsprechen: Art. 1
- Essential Entities: Zehn kritische Sektoren
- Important Entities: Sechs wichtigte Sektoren
Schwellenwerte und Betroffenheit
Generell soll es keine unterschiedlichen Schwellenwerte (in der EU) mehr geben, sondern Betroffenheit nach uniformen Kriterien — Unternehmensgröße nach 2003/361/EC:
- Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz
- Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
Es gibt Ausschlüsse und Sonderfälle, die nicht betroffen sind:
- Kleinst (micro): ‹ 9 Beschäftigte und ‹ 2 Mio. EUR Umsatz/Bilanz
- Klein (small): ‹ 49 Beschäftigte und ‹ 10 Mio. EUR Umsatz/Bilanz
- Digitale Infrastruktur aus A wird unabhängig der Größe reguliert
- Spezialfälle in A und B werden unabhängig der Größe reguliert, bei z.B. nationaler Monopolstellung, besonderer Wichtigkeit, Cross-Border Abhängigkeiten etc.
Sektoren
NIS2 erweitert die betroffenen EU-Sektoren auf 10 Essential und 6 Important Sektoren, in etwa wie die deutschen KRITIS-Sektoren. Die Essential Sektoren sind identisch zu EU RCE.
NIS2-Sektoren | Inhalt | KRITIS |
---|---|---|
Essential Sektoren +3 | ||
Gesundheit | Healthcare Provider EU Labore Medizinforschung Pharmazeutik Medizingeräte |
Gesundheit |
Transport |
Luft Schiene Wasser Straße |
Transport und Verkehr |
Banken | Kreditinstitute | Finanzwesen |
Finanzmärkte | Handelsplätze Gegenpartien (CCPs) |
Finanzwesen |
Trinkwasser | Wasserversorgung | Wasser |
Abwasser | Abwasserentsorgung | Wasser |
Digitale Infrastruktur | IXPs DNS TLD Registries Cloud Provider Rechenzentren CDNs TSPs Elektr. Kommunikation |
IT |
Energie | Elektrizität Fernwärme Öl Gas Wasserstoff |
Energie - |
Raumfahrt | Bodeninfrastruktur | tw. Transport (Bodenstationen) |
Öffentliche Verwaltung | Zentralregierung Landesregierung Regierungsbezirke |
- |
Important Sektoren +5 | ||
Post und Kurier | tw. Transport (Logistik) | |
Abfallwirtschaft | Entsorgung | |
Chemikalien | UNBÖFI (Gefahrstoffe) | |
Ernährung | Ernährung (Herstellung) | |
Industrie | Medizingeräte Computer Elektrik Maschinenbau Automobile Transport |
tw. UNBÖFI |
Digitale Dienste | Handelsplätze Suchmaschinen Soziale Netzwerke |
tw. Telemediendienste (TMG) |
Maßnahmen für Cyber Security
Die EU NIS2-Direktive legt für Betreiber Mindestanforderungen an Cyber Security fest. Nationale Gesetzgebung muss diese Maßnahmen dann verpflichtend machen — überwacht durch nationale Behörden.
Cyber Security
Betreiber in der EU müssen mindestens folgende Cyber Security Maßnahmen umgesetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen: Art. 17 Art. 18
- Policies: Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
- Kontinuität: BCM und Krisenmanagement
- Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
- Test und Audit: Methoden zur Messung der Effektivität von Informationssicherheit
- Kryptographie: Angemessener Einsatz von Verschlüsselung
Standards
Für Cyber Security Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitgliedsstaaten Betreibern dabei die Nutzung von EU Cyber Security Zertifizierungen vorschreiben. Art. 21 Art. 22
Meldewesen
Betreiber müssen ihre nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten. Art. 20 EU Mitgliedsstaaten sollen den Austausch von Informationen zwischen Betreibern fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 26
Registrierung
Kritische Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25
Nationale Aufsicht
Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und deren Governance für Cyber Security fest. Mitgliedsstaaten steht es frei, über diese Anforderungen mit eigener Regulierung hinauszugehen. Art. 3
Nationale Cyber Security Strategien
Mitgliedsstaaten müssen eine nationale Cyber-Sicherheitsstrategie (NCSS) als Rahmen der Cyber Security Regulierung definieren und mit angemessener Aufsicht umsetzen. Art. 5
Behörden
Mitgliedsstaaten sollen Behörden im eigenen Land für Cyber Security Aufgaben ermächtigen:
- Competent authority: Eine für Cyber Security und Aufsicht zuständige Behörde Art. 8
- Krisen-Management: Für die nationale Bewältigung von large-scale Cyber Security Incidents und Krisen Art. 7
- Nationale Kooperation: Die Cyber Security Behörden, CSIRT und SPOCs in den Mitgliedsstaaten sollen eng zusammenarbeiten Art. 11
Governance
NIS2 schreibt umfangreiche nationale Aufsicht in Mitgliedsstaaten vor. Die Liste der Befugnisse der nationalen Behörden bei Essential Betreibern umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions für Compliance: Art. 28 Art. 29
- Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen können
- Anweisungen: Behörden sollen Betreibern im Fall von Non-Compliance Anweisungen erteilen, öffentliche Warnungen aussprechen, einen Aufsichtsbeamten bestellen können
- Betriebserlaubnis: Bei fortwährender Non-Compliance sollen Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierungen o.ä. entziehen können
- Organhaftung: Die Leitungsorgane von Betreibern sollen für Verstöße persönlich haftbar gemacht werden
Die Aufsichtspflichten für Essential Betreiber lehnen sich an diesen an, sind aber etwas abgeschwächt. Art. 30 Für Verstöße gegen Regularien und Data Breaches sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 31 Art. 32 Art. 33
Incidents und Meldungen
Für die Bewältigung von Cyber Security Incidents sollen Mitgliedsstaaten mindestens ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 9, 10
- Überwachung von nationalen Cyber Threats und Incidents
- Frühwarnung, Alarmierung und Informationen zu Cyber Risiken
- Incident Bewältigung und Unterstützung
- Proaktives Scannen von Netzwerken bei Bedarf
- Zusammenarbeit in der EU, im CSIRT-Netzwerk und mit Betreibern
Domains und Datenbanken
Der Betrieb von TLD Domain-Registries wird stärker reglementiert — mit Pflichten zur Erfassung und Publikation der Daten von Domain-Registrierungen. Art. 23
Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitgliedsstaaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 6
Zusammenarbeit in der EU
Kooperation
Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitgliedsstaaten.
Dabei tauschen sich Vertreter der Mitgliedsstaaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 12
Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Cyber Krisen. Art. 14
Cyber Security
Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 15
Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitgliedsstaaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 16
- Cyber Security Fähigkeiten und Ressourcen der nationalen Behörden
- Umsetzung der Reporting und Risiko-Management Anforderungen
- Fähigkeiten und Effektivität der CSIRTs
- Effektivität vom Informationsaustausch und der gegenseitigen Unterstützung
Die Sicherheit von Lieferketten, IT-Diensten und Systemen kann von der Cooperation Group zusammen mit ENISA und der Kommission untersucht werden. Die Auswahl entsprechender Dienste oder Produkte obliegt der Kommission. Art. 19
Informationsaustausch
Die nationalen CSIRTs tauschen in einem EU-Netzwerk für CSIRTs Informationen zu Incidents, Krisen, Fähigkeiten aus. Das CSIRT-Netzwerk dient auch zur weiteren Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 13
Bei Vorfällen, die mehrere Staaten betreffen, sollen nationale CSIRTs bzw. Behörden die jeweiligen Staaten informieren — bei öffentlichen Auswirkungen die Öffentlichkeit. Art. 20
Europäische Jurisdiktion
Die Zuständigkeit für Anbieter digitaler Dienste in der EU wird in NIS2 konkretisiert: Art. 24
- Bei Digitalen Infrastrukturen und Diensten wie DNS/TLD, Cloud, Rechenzentren, SDN, DSP liegt die Jurisdiktion beim Mitgliedsstaat ihres Hauptsitzes
- Der Hauptsitz ist definiert als der Ort, an dem Cyber Risiko Maßnahmen getroffen werden
- Ist dieser Hauptsitz außerhalb der EU, zählt der Mitgliedsstaat mit den meisten Mitarbeitern
- Hat ein Anbieter keinen Sitz in der EU, bietet aber Dienste an, muss er definierte Vertreter in der EU bestimmen
Bei europäischen Betreibern, die Dienste in mehreren Mitgliedsstaaten anbieten, sollen die nationalen Aufsichtsbehörden eng zusammenarbeiten. Art. 34
Der weitere Weg
Gesetzgebung
Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitgliedsstaaten fest. Diese Anforderungen der NIS2 und RCE Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.
EU
Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU RCE ebenfalls. Ab Oktober 2021 gab es einen leicht veränderten Kompromiss-Vorschlag des Europäischen Parlaments, im Mai 2022 konnte dann Einigkeit zwischen Kommission und Parlament erzielt werden. NIS2 könnte damit noch 2022 in Kraft treten.
Nach der Verabschiedung in der EU müssen Mitgliedsstaaten innerhalb von 18 Monaten die Regularien durch eigene Gesetzgebung in nationales Recht überführen.
Deutschland
Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt.
Das IT-Sicherheitsgesetz 2.0 erweiterte die deutschen KRITIS-Regulierung 2021 und nahm einige Auml;nderungen von NIS2 schon vorweg — neue Sektoren, mehr Cyber Security Anforderungen und das Strafregime. Andere Vorkehrungen, vor allem zur Betroffenheit und bestimmten Maßnahmen, fehlen jedoch noch.
Review
EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.
Zeitleiste
Version | Status | Datum | Akteur |
---|---|---|---|
NIS | Deadline nationale Umsetzung | Mai 2018 | Mitgliedstaaten |
NIS | EU-weite nationale Umsetzung | 2020 | Mitgliedstaaten |
NIS | Evaluation/review Roadmap | Jun 2020 | Kommission |
NIS | Open public consultation | 7-10/2020 | Kommission |
NIS2 | Impact Assessment (IA) | Okt 2020 | Kommission |
NIS2 | Feedback zum IA | Nov 2020 | Regulatory Scrutiny Board |
NIS2 | Entwurfsversion (Proposal) | Dez 2020 | Kommission |
NIS2 | Opinion zum Entwurf | Apr 2021 | EESC |
NIS2 | Deadline nationale Rückmeldungen | Mar 2021 | Nationale Parlamente |
NIS2 | Kompromissvorschlag NIS2 | Okt 2021 | EU Parlament |
NIS2 | Einigkeit NIS2 | Mai 2022 | EU Parlament + Kommission |
Weitere Informationen
Literatur
- EN OpenKRITIS EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ November, 2021 — in English
- The NIS2 Directive: A high common level of cybersecurity in the EU, EPRS - European Parliamentary Research Service, PE 689.333, 01 Dec 2021
- NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit, Heise Online 10/2021
- Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
- DIGITALEUROPE’s position on the NIS 2 Directive, DIGITALEUROPE, 19 Mar 2021
- Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
- Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
- Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
- Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
- Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020
Quellen
- EU erzielt Einigung über neue Vorschriften für die Cybersicherheit kritischer Einrichtungen und Netze, Vertretung der EU in Deutschland, Pressemitteilung 13. Mai 2022
- Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
- Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
- Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016