EU NIS2 Cyber Security

Die EU NIS-Direktive ist der europäische Rahmen für Cyber Security in Kritischen Infrastrukturen. Die Directive on Security of Network and Information Systems reguliert Cyber Security bei Betreibern in EU-Sektoren, die neue EU NIS2 von 2020/2021 wird Sektoren und Cyber Security Pflichten deutlich erweitern — parallel zu EU RCE.

  1. Betreiber
  2. Maßnahmen
  3. Aufsicht
  4. EU-Kooperation
  5. Gesetzgebung

EU NIS2 soll 2022 die bisherige EU NIS-Direktive ablösen — muss aber noch in der EU verabschiedet und dann in nationales Recht überführt werden. Verhandlungen sind seit Ende 2021 in der EU zwischen Parlament und Kommission im Gange, im Mai 2022 konnte Einigkeit erreicht werden, womit NIS2 2022 (wohl) in Kraft treten kann.

Talk cover

EN German and EU Critical Infrastructures 2021

Slides from a talk on new German CI and EU NIS developments
English ∙ PDF ∙ November 2021 ∙ OpenKRITIS-Briefing

EN EU NIS2 Directive Cyber Security

Changes in cyber security for EU operators with updated EU NIS2
English ∙ PDF ∙ November 2021 ∙ OpenKRITIS-Briefing

English version of this page available at EU NIS2 and RCE.

up

Die NIS2-Direktive

Neuerungen in NIS2

Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016. Der Entwurf von Dezember 2020 enthält deutlich mehr Betroffenheit, Pflichten und Aufsicht:

  1. Sektoren +8: Die kritischen Essential Sektoren erhöhen sich um drei, die Sektoren von Important Entities wachsen um fünf — auf insgesamt sechzehn NIS2 Sektoren.
  2. Schwellwerte: Medium und Large Enterprises sollen betroffen sein, keine separaten Schwellenwerte für Betreiber mehr.
  3. Cyber Security: Die Anforderungen an Betreiber und Mitgliedsstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
  4. Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
  5. Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet.

up

Betreiber und Sektoren

Die EU NIS2-Direktive reguliert sechzehn Sektoren von Betreibern (Entities) in der EU, die im wesentlichen deutschen KRITIS-Betreibern entsprechen: Art. 1

  1. Essential Entities: Zehn kritische Sektoren
  2. Important Entities: Sechs wichtigte Sektoren

Schwellenwerte und Betroffenheit

Generell soll es keine unterschiedlichen Schwellenwerte (in der EU) mehr geben, sondern Betroffenheit nach uniformen Kriterien — Unternehmens­größe nach 2003/361/EC:

  1. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz
  2. Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz

Es gibt Ausschlüsse und Sonderfälle, die nicht betroffen sind:

  1. Kleinst (micro): ‹ 9 Beschäftigte und ‹ 2 Mio. EUR Umsatz/Bilanz
  2. Klein (small): ‹ 49 Beschäftigte und ‹ 10 Mio. EUR Umsatz/Bilanz
  3. Digitale Infrastruktur aus A wird unabhängig der Größe reguliert
  4. Spezialfälle in A und B werden unabhängig der Größe reguliert, bei z.B. nationaler Monopolstellung, besonderer Wichtigkeit, Cross-Border Abhängigkeiten etc.

Sektoren

NIS2 erweitert die betroffenen EU-Sektoren auf 10 Essential und 6 Important Sektoren, in etwa wie die deutschen KRITIS-Sektoren. Die Essential Sektoren sind identisch zu EU RCE.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 1
NIS2-Sektoren Inhalt KRITIS
Essential Sektoren +3
Gesundheit Healthcare Provider
EU Labore
Medizinforschung
Pharmazeutik
Medizingeräte
Gesundheit
Transport
Luft
Schiene
Wasser
Straße
Transport und Verkehr
Banken Kreditinstitute Finanzwesen
Finanzmärkte Handelsplätze
Gegenpartien (CCPs)
Finanzwesen
Trinkwasser Wasserversorgung Wasser
Abwasser Abwasserentsorgung Wasser
Digitale Infrastruktur IXPs
DNS
TLD Registries
Cloud Provider
Rechenzentren
CDNs
TSPs
Elektr. Kommunikation
IT
Energie Elektrizität
Fernwärme
Öl
Gas
Wasserstoff
Energie



-
Raumfahrt Bodeninfrastruktur tw. Transport (Bodenstationen)
Öffentliche Verwaltung Zentralregierung
Landesregierung
Regierungsbezirke
-
Important Sektoren +5
Post und Kurier tw. Transport (Logistik)
Abfallwirtschaft Entsorgung
Chemikalien UNBÖFI (Gefahrstoffe)
Ernährung Ernährung (Herstellung)
Industrie Medizingeräte
Computer
Elektrik
Maschinenbau
Automobile
Transport
tw. UNBÖFI
Digitale Dienste Handelsplätze
Suchmaschinen
Soziale Netzwerke
tw. Telemediendienste (TMG)

up

Maßnahmen für Cyber Security

Die EU NIS2-Direktive legt für Betreiber Mindest­anforderungen an Cyber Security fest. Nationale Gesetzgebung muss diese Maßnahmen dann verpflichtend machen — überwacht durch nationale Behörden.

Cyber Security

Betreiber in der EU müssen mindestens folgende Cyber Security Maßnahmen umgesetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen: Art. 17 Art. 18

  1. Policies: Richtlinien für Risiken und Informationssicherheit
  2. Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
  3. Kontinuität: BCM und Krisenmanagement
  4. Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
  5. Test und Audit: Methoden zur Messung der Effektivität von Informationssicherheit
  6. Kryptographie: Angemessener Einsatz von Verschlüsselung

Standards

Für Cyber Security Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitgliedsstaaten Betreibern dabei die Nutzung von EU Cyber Security Zertifizierungen vorschreiben. Art. 21 Art. 22

Meldewesen

Betreiber müssen ihre nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten. Art. 20 EU Mitgliedsstaaten sollen den Austausch von Informationen zwischen Betreibern fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 26

Registrierung

Kritische Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25

up

Nationale Aufsicht

Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und deren Governance für Cyber Security fest. Mitgliedsstaaten steht es frei, über diese Anforderungen mit eigener Regulierung hinauszugehen. Art. 3

Nationale Cyber Security Strategien

Mitgliedsstaaten müssen eine nationale Cyber-Sicherheitsstrategie (NCSS) als Rahmen der Cyber Security Regulierung definieren und mit angemessener Aufsicht umsetzen. Art. 5

Behörden

Mitgliedsstaaten sollen Behörden im eigenen Land für Cyber Security Aufgaben ermächtigen:

  1. Competent authority: Eine für Cyber Security und Aufsicht zuständige Behörde Art. 8
  2. Krisen-Management: Für die nationale Bewältigung von large-scale Cyber Security Incidents und Krisen Art. 7
  3. Nationale Kooperation: Die Cyber Security Behörden, CSIRT und SPOCs in den Mitgliedsstaaten sollen eng zusammenarbeiten Art. 11

Governance

NIS2 schreibt umfangreiche nationale Aufsicht in Mitgliedsstaaten vor. Die Liste der Befugnisse der nationalen Behörden bei Essential Betreibern umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions für Compliance: Art. 28 Art. 29

  1. Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen können
  2. Anweisungen: Behörden sollen Betreibern im Fall von Non-Compliance Anweisungen erteilen, öffentliche Warnungen aussprechen, einen Aufsichtsbeamten bestellen können
  3. Betriebserlaubnis: Bei fortwährender Non-Compliance sollen Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierungen o.ä. entziehen können
  4. Organhaftung: Die Leitungsorgane von Betreibern sollen für Verstöße persönlich haftbar gemacht werden

Die Aufsichtspflichten für Essential Betreiber lehnen sich an diesen an, sind aber etwas abgeschwächt. Art. 30 Für Verstöße gegen Regularien und Data Breaches sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 31 Art. 32 Art. 33

Incidents und Meldungen

Für die Bewältigung von Cyber Security Incidents sollen Mitgliedsstaaten mindestens ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 9, 10

  1. Überwachung von nationalen Cyber Threats und Incidents
  2. Frühwarnung, Alarmierung und Informationen zu Cyber Risiken
  3. Incident Bewältigung und Unterstützung
  4. Proaktives Scannen von Netzwerken bei Bedarf
  5. Zusammenarbeit in der EU, im CSIRT-Netzwerk und mit Betreibern

Domains und Datenbanken

Der Betrieb von TLD Domain-Registries wird stärker reglementiert — mit Pflichten zur Erfassung und Publikation der Daten von Domain-Registrierungen. Art. 23

Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitgliedsstaaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 6

up

Zusammenarbeit in der EU

Kooperation

Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitgliedsstaaten. Dabei tauschen sich Vertreter der Mitgliedsstaaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 12

Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Cyber Krisen. Art. 14

Cyber Security

Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 15

Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitgliedsstaaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 16

  1. Cyber Security Fähigkeiten und Ressourcen der nationalen Behörden
  2. Umsetzung der Reporting und Risiko-Management Anforderungen
  3. Fähigkeiten und Effektivität der CSIRTs
  4. Effektivität vom Informationsaustausch und der gegenseitigen Unterstützung

Die Sicherheit von Lieferketten, IT-Diensten und Systemen kann von der Cooperation Group zusammen mit ENISA und der Kommission untersucht werden. Die Auswahl entsprechender Dienste oder Produkte obliegt der Kommission. Art. 19

Informationsaustausch

Die nationalen CSIRTs tauschen in einem EU-Netzwerk für CSIRTs Informationen zu Incidents, Krisen, Fähigkeiten aus. Das CSIRT-Netzwerk dient auch zur weiteren Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 13

Bei Vorfällen, die mehrere Staaten betreffen, sollen nationale CSIRTs bzw. Behörden die jeweiligen Staaten informieren — bei öffentlichen Auswirkungen die Öffentlichkeit. Art. 20

Europäische Jurisdiktion

Die Zuständigkeit für Anbieter digitaler Dienste in der EU wird in NIS2 konkretisiert: Art. 24

  1. Bei Digitalen Infrastrukturen und Diensten wie DNS/TLD, Cloud, Rechenzentren, SDN, DSP liegt die Jurisdiktion beim Mitgliedsstaat ihres Hauptsitzes
  2. Der Hauptsitz ist definiert als der Ort, an dem Cyber Risiko Maßnahmen getroffen werden
  3. Ist dieser Hauptsitz außerhalb der EU, zählt der Mitgliedsstaat mit den meisten Mitarbeitern
  4. Hat ein Anbieter keinen Sitz in der EU, bietet aber Dienste an, muss er definierte Vertreter in der EU bestimmen

Bei europäischen Betreibern, die Dienste in mehreren Mitgliedsstaaten anbieten, sollen die nationalen Aufsichtsbehörden eng zusammenarbeiten. Art. 34

up

Der weitere Weg

Gesetzgebung

Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitgliedsstaaten fest. Diese Anforderungen der NIS2 und RCE Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.

EU

Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU RCE ebenfalls. Ab Oktober 2021 gab es einen leicht veränderten Kompromiss-Vorschlag des Europäischen Parlaments, im Mai 2022 konnte dann Einigkeit zwischen Kommission und Parlament erzielt werden. NIS2 könnte damit noch 2022 in Kraft treten.

Nach der Verabschiedung in der EU müssen Mitgliedsstaaten innerhalb von 18 Monaten die Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt.

Das IT-Sicherheitsgesetz 2.0 erweiterte die deutschen KRITIS-Regulierung 2021 und nahm einige Auml;nderungen von NIS2 schon vorweg — neue Sektoren, mehr Cyber Security Anforderungen und das Strafregime. Andere Vorkehrungen, vor allem zur Betroffenheit und bestimmten Maßnahmen, fehlen jedoch noch.

Review

EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.

Zeitleiste

Ablauf NIS und NIS2-Direktiven, Stand Dezember 2021
aus: EU PE 689.333.
Version Status Datum Akteur
NIS Deadline nationale Umsetzung Mai 2018 Mitgliedstaaten
NIS EU-weite nationale Umsetzung 2020 Mitgliedstaaten
NIS Evaluation/review Roadmap Jun 2020 Kommission
NIS Open public consultation 7-10/2020 Kommission
NIS2 Impact Assessment (IA) Okt 2020 Kommission
NIS2 Feedback zum IA Nov 2020 Regulatory Scrutiny Board
NIS2 Entwurfsversion (Proposal) Dez 2020 Kommission
NIS2 Opinion zum Entwurf Apr 2021 EESC
NIS2 Deadline nationale Rückmeldungen Mar 2021 Nationale Parlamente
NIS2 Kompromiss­vorschlag NIS2 Okt 2021 EU Parlament
NIS2 Einigkeit NIS2 Mai 2022 EU Parlament + Kommission

up

Weitere Informationen

Literatur

  1. EN OpenKRITIS EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ November, 2021 — in English
  2. The NIS2 Directive: A high common level of cybersecurity in the EU, EPRS - European Parliamentary Research Service, PE 689.333, 01 Dec 2021
  3. NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit, Heise Online 10/2021
  4. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  5. DIGITALEUROPE’s position on the NIS 2 Directive, DIGITALEUROPE, 19 Mar 2021
  6. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
  7. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
  8. Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  9. Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
  10. Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020

Quellen

  1. EU erzielt Einigung über neue Vorschriften für die Cyber­sicherheit kritischer Einrichtungen und Netze, Vertretung der EU in Deutschland, Pressemitteilung 13. Mai 2022
  2. Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
  3. Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
  4. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016