Der europäische Kontext

Die EU NIS-Direktive ist der europäische Rahmen für Cyber Security in Kritischen Infrastrukturen. Die Directive on Security of Network and Information Systems reguliert Cyber Security bei Betreibern kritischer EU-Sektoren, der Entwurf der neuen EU NIS2 von Dezember 2020 erweitert die Sektoren und Cyber Security Pflichten deutlich:

  1. NIS2-Direktive
  2. Betroffenheit
  3. Sektoren
  4. Betreiber
  5. Aufsicht
  6. EU
  7. Der Weg

Die bisherigen EU NIS und RCE (European Critical Infrastructures) Direktiven werden 2021 durch NIS2 und die EU RCE zu Resilienz abgelöst. Beide Direktiven müssen noch in der EU verabschiedet und dann in nationales Recht überführt werden.

EN Executive Briefing - EU NIS2 Directive Cyber Security

Changes in cyber security for EU operators with updated EU NIS2
English ∙ 12 slides PDF ∙ May 2021

EU NIS2-Direktive

Zusammenfassung

Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016. Der Entwurf von Dezember 2020 enthält deutlich mehr Betroffenheit, Pflichten und Aufsicht:

  1. Sektoren +8: Die kritischen Essential Sektoren erhöhen sich um drei, die Sektoren von Important Entities wachsen um fünf — auf insgesamt sechzehn NIS2 Sektoren.
  2. Schwellwerte: Medium und Large Enterprises sollen betroffen sein, keine separaten Schwellenwerte für Betreiber mehr.
  3. Cyber Security: Die Anforderungen an Betreiber und Mitgliedsstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
  4. Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
  5. Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet.

up

Wer ist betroffen?

Die EU NIS2-Direktive reguliert sechzehn Sektoren von Betreibern (Entities) in der EU, die im wesentlichen deutschen KRITIS-Betreibern entsprechen: Art. 1

  1. Essential Entities: Zehn kritische Sektoren
  2. Important Entities: Sechs wichtigte Sektoren

Generell soll es keine unterschiedlichen Schwellenwerte (in der EU) mehr geben, sondern Betroffenheit nach uniformen Kriterien — Unternehmens­größe nach 2003/361/EC:

  1. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, bis 43 Mio. Bilanz
  2. Groß (large): über 250 Beschäftigte, über 50 Mio. EUR Umsatz, über 43 Mio. Bilanz

Es Ausschlüsse und Sonderfälle, die nicht betroffen sind — Kleinst- und Kleinunternehmen:

  1. Kleinst (micro): bis 9 Beschäftigte und bis 2 Mio. EUR Umsatz/Bilanz
  2. Klein (small): bis 49 Beschäftigte und bis 10 Mio. EUR Umsatz/Bilanz
  3. Digitale Infrastruktur aus A wird unabhängig der Größe reguliert
  4. Spezialfälle in A und B werden unabhängig der Größe reguliert, bei z.B. nationaler Monopolstellung, besonderer Wichtigkeit, Cross-Border Abhängigkeiten etc.

up

Sektoren

Die NIS2-Direktive erweitert die EU-Sektoren auf insgesamt sechzehn: zehn Essential (+3) und sechs Important (+5) Sektoren, die in etwa den deutschen KRITIS-Sektoren des IT-SiG 2.0 entsprechen. Die Essential Sektoren sind identisch zu denen der EU RCE-Direktive.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 1
Sektoren und NIS2 Inhalt KRITIS-Äquivalent
Essential Sektoren +3
Gesundheit Healthcare Provider
EU Labore
Medizinforschung
Pharmazeutik
Medizingeräte		 Gesundheit
Transport
 Luft
Schiene
Wasser
Straße		 Transport und Verkehr
Banken Kreditinstitute Finanzwesen
Finanzmärkte Handelsplätze
Gegenpartien (CCPs)		 Finanzwesen
Trinkwasser Wasserversorgung Wasser
Abwasser Abwasserentsorgung Wasser
Digitale Infrastruktur IXPs
DNS
TLD Registries
Cloud Provider
Rechenzentren
CDNs
TSPs
Elektr. Kommunikation		 IT
Energie Elektrizität
Fernwärme
Öl
Gas
Wasserstoff		 Energie



-
Raumfahrt Bodeninfrastruktur tw. Transport (Bodenstationen)
Öffentliche Verwaltung Zentralregierung
Landesregierung
Regierungsbezirke		 -
Important Sektoren +5
Post und Kurier tw. Transport (Logistik)
Abfallwirtschaft Entsorgung
Chemikalien UNBÖFI (Gefahrstoffe)
Ernährung Ernährung (Herstellung)
Industrie Medizingeräte
Computer
Elektrik
Maschinenbau
Automobile
Transport		 tw. UNBÖFI (Top 100)
Digitale Dienste Handelsplätze
Suchmaschinen
Soziale Netzwerke		 tw. Telemediendienste (TMG)

up

Betreiber

Die EU NIS2-Direktive legt für Essential und Important Betreiber Mindest­anforderungen an Cyber Security fest (≡ KRITIS-Betreiber). Nationale Gesetzgebung wird diese Maßnahmen dann verpflichtend machen — überwacht durch nationale Behörden.

Cyber Security

Betreiber in der EU müssen mindestens folgende Cyber Security Maßnahmen umgesetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen: Art. 17 Art. 18

  1. Policies: Richtlinien für Risiken und Informationssicherheit
  2. Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
  3. Kontinuität: BCM und Krisenmanagement
  4. Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
  5. Test und Audit: Methoden zur Messung der Effektivität von Informationssicherheit
  6. Kryptographie: Angemessener Einsatz von Verschlüsselung

Standards

Für Cyber Security Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitgliedsstaaten Betreibern dabei die Nutzung von EU Cyber Security Zertifizierungen vorschreiben. Art. 21 Art. 22

Meldewesen

Betreiber müssen ihre nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten. Art. 20 EU Mitgliedsstaaten sollen den Austausch von Informationen zwischen Betreibern fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 26

Registrierung

Kritische Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25

up

Nationale Aufsicht

Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und deren Governance für Cyber Security fest. Mitgliedsstaaten steht es frei, über diese Anforderungen mit eigener Regulierung hinauszugehen. Art. 3

Nationale Cyber Security Strategien

Mitgliedsstaaten müssen eine nationale Cyber-Sicherheitsstrategie (NCSS) als Rahmen der Cyber Security Regulierung definieren und mit angemessener Aufsicht umsetzen. Art. 5

Behörden

Mitgliedsstaaten sollen Behörden im eigenen Land für Cyber Security Aufgaben ermächtigen:

  1. Competent authority: Eine für Cyber Security und Aufsicht zuständige Behörde Art. 8
  2. Krisen-Management: Für die nationale Bewältigung von large-scale Cyber Security Incidents und Krisen Art. 7
  3. Nationale Kooperation: Die Cyber Security Behörden, CSIRT und SPOCs in den Mitgliedsstaaten sollen eng zusammenarbeiten Art. 11

Governance

NIS2 schreibt umfangreiche nationale Aufsicht in Mitgliedsstaaten vor. Die Liste der Befugnisse der nationalen Behörden bei Essential Betreibern umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions für Compliance: Art. 28 Art. 29

  1. Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen können
  2. Anweisungen: Behörden sollen Betreibern im Fall von Non-Compliance Anweisungen erteilen, öffentliche Warnungen aussprechen, einen Aufsichtsbeamten bestellen können
  3. Betriebserlaubnis: Bei fortwährender Non-Compliance sollen Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierungen o.ä. entziehen können
  4. Organhaftung: Die Leitungsorgane von Betreibern sollen für Verstöße persönlich haftbar gemacht werden

Die Aufsichtspflichten für Essential Betreiber lehnen sich an diesen an, sind aber etwas abgeschwächt. Art. 30 Für Verstöße gegen Regularien und Data Breaches sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 31 Art. 32 Art. 33

Incidents und Meldungen

Für die Bewältigung von Cyber Security Incidents sollen Mitgliedsstaaten mindestens ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 9, 10

  1. Überwachung von nationalen Cyber Threats und Incidents
  2. Frühwarnung, Alarmierung und Informationen zu Cyber Risiken
  3. Incident Bewältigung und Unterstützung
  4. Proaktives Scannen von Netzwerken bei Bedarf
  5. Zusammenarbeit in der EU, im CSIRT-Netzwerk und mit Betreibern

Domains und Datenbanken

Der Betrieb von TLD Domain-Registries wird stärker reglementiert — mit Pflichten zur Erfassung und Publikation der Daten von Domain-Registrierungen. Art. 23

Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitgliedsstaaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 6

up

Zusammenarbeit in der EU

Kooperation

Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitgliedsstaaten. Dabei tauschen sich Vertreter der Mitgliedsstaaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 12

Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Cyber Krisen. Art. 14

Cyber Security

Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 15

Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitgliedsstaaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 16

  1. Cyber Security Fähigkeiten und Ressourcen der nationalen Behörden
  2. Umsetzung der Reporting und Risiko-Management Anforderungen
  3. Fähigkeiten und Effektivität der CSIRTs
  4. Effektivität vom Informationsaustausch und der gegenseitigen Unterstützung

Die Sicherheit von Lieferketten, IT-Diensten und Systemen kann von der Cooperation Group zusammen mit ENISA und der Kommission untersucht werden. Die Auswahl entsprechender Dienste oder Produkte obliegt der Kommission. Art. 19

Informationsaustausch

Die nationalen CSIRTs tauschen in einem EU-Netzwerk für CSIRTs Informationen zu Incidents, Krisen, Fähigkeiten aus. Das CSIRT-Netzwerk dient auch zur weiteren Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 13

Bei Vorfällen, die mehrere Staaten betreffen, sollen nationale CSIRTs bzw. Behörden die jeweiligen Staaten informieren — bei öffentlichen Auswirkungen die Öffentlichkeit. Art. 20

Europäische Jurisdiktion

Die Zuständigkeit für Anbieter digitaler Dienste in der EU wird in NIS2 konkretisiert: Art. 24

  1. Bei Digitalen Infrastrukturen und Diensten wie DNS/TLD, Cloud, Rechenzentren, SDN, DSP liegt die Jurisdiktion beim Mitgliedsstaat ihres Hauptsitzes
  2. Der Hauptsitz ist definiert als der Ort, an dem Cyber Risiko Maßnahmen getroffen werden
  3. Ist dieser Hauptsitz außerhalb der EU, zählt der Mitgliedsstaat mit den meisten Mitarbeitern
  4. Hat ein Anbieter keinen Sitz in der EU, bietet aber Dienste an, muss er definierte Vertreter in der EU bestimmen

Bei europäischen Betreibern, die Dienste in mehreren Mitgliedsstaaten anbieten, sollen die nationalen Aufsichtsbehörden eng zusammenarbeiten. Art. 34

up

Der weitere Weg

Gesetzgebung

Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitgliedsstaaten fest. Diese Anforderungen der NIS2 und RCE Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.

EU

Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU RCE ebenfalls. Nach der Verabschiedung in der EU müssen Mitgliedsstaaten innerhalb von 18 Monaten die Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

Die NIS-Direktive von 2016 wurde mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie 2017 in Deutschland umgesetzt.

Das deutsche IT-Sicherheitsgesetz 2.0 von 2021 passt umfangreiche Teile der deutschen KRITIS-Regulierung an und wurde von Bundestag und Bundesrat beschlossen. Viele Änderungen von NIS2 finden darin schon Berücksichtigung — die neuen Sektoren, Cyber Security Anforderungen und das Strafregime.

Review

EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.

up

Weitere Informationen

Literatur

  1. EN Briefing EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ May 14, 2021 — in English
  2. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  3. DIGITALEUROPE’s position on the NIS 2 Directive, DIGITALEUROPE, 19 Mar 2021
  4. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
  5. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
  6. Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  7. Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
  8. Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020

Quellen

  1. Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
  2. Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
  3. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016