Anzeige

Harte Vorgaben auch für Rechenzentren : NIS-2: IT-Security-Richtlinie wird zur Chefsache

Als Reaktion auf die zunehmenden Bedrohungen durch Cyberangriffe hat der europäische Gesetzgeber Ende 2022 die Network-and-Information-Security-Richtlinie 2.0 (NIS-2) vorgelegt. NIS-2 verstärkt die Maßnahmen zur IT-Sicherheit und umfasst rund 30 000 Unternehmen sowie öffentliche Einrichtungen. Auch Rechenzentrumsbetreiber und IT-Dienstleister stehen künftig unter genauerer Beobachtung.

Lesezeit 5 Min.

Von Joachim Astel, noris network AG

Die Bedrohungen durch Cyberkriminalität steigen seit Jahren unaufhaltsam. Stark beeinflusst wird diese Entwicklung durch IT-Innovationen, insbesondere durch den Trend zu künstlicher Intelligenz (KI). Zudem lässt sich feststellen, dass Cyberangriffe, die in der Vergangenheit noch als Bagatellen abgetan werden konnten, heutzutage oft auf die professionelle und organisierte Kriminalität zurückzuführen sind. Ein zusätzlicher Aspekt der erhöhten Bedrohungslage ergibt sich aus globalen Spannungen und nationalen Konflikten, die zunehmend auch im digitalen Raum ausgefochten werden. Staatlich unterstützte und finanzierte Hacking-Aktivitäten auf Unternehmen sowie staatliche Einrichtungen, Cyberspionage und -kriegsführung sind keine Seltenheit mehr. Schließlich spielt auch der coronabedingte Anstieg von Remote Work unter Verwendung ungeschützter privater Endgeräte sowie unsicherer Verbindungen der Cyberkriminalität in die Karten.

NIS-2 umfasst neue Branchensegmente

Mit NIS-2 macht der europäische Gesetzgeber deutlich, dass Cybersicherheit und die Prävention von IT-Sicherheitsvorfällen zur Chefsache werden müssen. Gemäß Art. 20 Abs. 1 der neuen Direktive stehen „Leitungsorgane“ in der Pflicht, die Einhaltung von Risikomanagementmaßnahmen zu überwachen. Sie können für Verstöße künftig sogar persönlich verantwortlich gemacht werden, ebenso wie öffentliche Bedienstete oder andere Amtsträger. Durch die NIS-2-Richtlinie und die erforderliche nationale Umsetzung in Form des NIS2UmsuCG werden das bestehende BSI-Gesetz (BSIG) und die bestehende Kritisverordnung (KRITISV) merklich beeinflusst. So ordnet NIS-2 weitere Branchen und zunehmend kleinere Unternehmen mit entsprechender Wichtigkeit ein. Sie werden
laut Gesetzesvorlage künftig in „sehr kritische“ sowie „kritische Sektoren“ eingeteilt und umfassen nun zusätzliche Branchensegmente wie Hersteller von chemischen Stoffen, Produzenten von medizinischen Geräten, Unternehmen aus der Lebensmittelverarbeitung und Organisationen, die Dienste für soziale Netzwerke bereitstellen. Allerdings gilt die NIS-2-Verordnung vorerst für Einrichtungen, die wesentliche oder wichtige Dienste anbieten, insbesondere jene mit mindestens 50 Mitarbeitenden beziehungsweise mit einem Jahresumsatz ab 10 Millionen Euro.

Laut Gesetzesvorlage verpflichtet die zweite EU-Richtlinie der NIS „wesentliche und wichtige Einrichtungen zum Ergreifen von geeigneten und verhältnismäßigen technischen, operativen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“.

Strenge Meldepflichten

Ein besonderes Augenmerk richten die Gesetzgeber der EU auf Meldepflichten. Um schnelle Reaktionen zu ermöglichen, sind betroffene Unternehmen – ebenso wie staatliche Einrichtungen – nunmehr dazu verpflichtet, ein Computer-Security-Incident-Response-Team oder eine zuständige nationale Behörde innerhalb von 24 Stunden nach Auftreten eines erheblichen Sicherheitsvorfalls zu benachrichtigen. Als erheblich gilt laut NIS-2 ein Sicherheitsvorfall, der schwerwiegende Betriebsstörungen oder finanzielle Verluste für Einrichtungen zur Folge hat oder erhebliche materielle oder immaterielle Schäden für andere Personen verursacht. Innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls ist die betroffene Organisation ferner dazu verpflichtet, Details und eine erste Bewertung des Cyberangriff s bereitzustellen. Spätestens einen Monat nach Übermittlung der Meldung muss das Unternehmen oder die Behörde einen Abschlussbericht mit einer ausführlichen Beschreibung des Schweregrads, der Auswirkungen und der Ursachen sowie der durchgeführten Abhilfemaßnahmen übermitteln.

Dienstleister und RZ-Betreiber im Fokus Mit diesen erweiterten Vorschriften für IT-Infrastrukturen von Organisationen aus systemkritischen Branchensegmenten nimmt das EU-Gesetz unweigerlich auch IT-Dienstleister und Rechenzentrumsbetreiber an die kurze Leine. Um als NIS-2-konform zu gelten, müssen sie besonders strenge technische und organisatorische Maßnahmen (TOM) treffen. Dazu gehören Vorkehrungen wie ein physischer Zugangsschutz, ein umfassendes Risikomanagement und entsprechende Sicherheitsmaßnahmen inklusive regelmäßiger Risikobewertungen, um potenzielle Bedrohungen und Schwachstellen identifizieren zu können. Hinzu kommen technische Maßnahmen für die Netzwerksicherheit sowie Verschlüsselungstechnologien für Daten im Ruhezustand und während der Übertragung oder das regelmäßige Einspielen von Sicherheitsupdates. Aber auch organisatorische Schritte wie die Entwicklung von Incident-Response-Plänen zur schnellen und effektiven Reaktion auf Sicherheitsvorfälle gehören dazu. Alle Sicherheitsmaßnahmen und Vorfälle müssen darüber hinaus lückenlos dokumentiert und regelmäßig überprüft sowie durch Audits bestätigt werden.

Vertrauen durch Zertifizierungen

Gleichzeitig sind NIS-2-konforme Rechenzentren nun besonders gefordert, die Zuverlässigkeit und Verfügbarkeit und somit die Business Continuity für systemkritische Einrichtungen jederzeit mithilfe von redundanten Systemen, Notstromversorgungen, den IT- und OT-Systemen und natürlich mit Back-up- und Disaster-Recovery-Plänen zu gewährleisten. Ob Rechenzentrumsbetreiber und IT-Dienstleister die harten Voraussetzungen erfüllen, lässt sich anhand von Zertifikaten ermitteln. Sie stellen sicher, dass ein Anbieter die gesetzlichen Anforderungen für die Sicherheit und den Schutz kritischer Infrastrukturen in Deutschland erfüllt.

Dazu zählen klassische Zertifizierungen wie ISO 27001, ISO 20000 und BSI-Grundschutz. Besondere Relevanz kommt dem TÜViT-TSI-Level-4-Zertifikat zu, das von der TÜV Informationstechnik GmbH (TÜ-ViT) vergeben wird. Diese Zertifizierung ist schon heute für Organisationen wie beispielsweise Banken und Versicherungen, aber auch Behörden mit kritischen Bereichen unabdingbar. TÜViT-TSI-Level-4 bewertet und bescheinigt die physische Sicherheit und technische Infrastruktur eines Rechenzentrums und stellt sicher, dass es die höchsten Anforderungen an Sicherheit, Verfügbarkeit und Ausfallsicherheit erfüllt. Dazu gehören unter anderem der Brandschutz und das Notfallmanagement für den Katastrophenfall. Außerdem stellt die Zertifizierung sicher, dass kritische Infrastrukturkomponenten wie Stromversorgung, Klimatisierung und Netzwerkverbindungen redundant und hochverfügbar zur Verfügung stehen.

NIS-2: 30 000 Unternehmen betroffen

Fest steht: Mit NIS-2 hat die EU harte Maßnahmen für eine höhere Cybersicherheit in Europa getroffen. Bis Oktober 2024 muss der verabschiedete Entwurf der Europäischen Union die Gesetzgebung auf Bundesebene durchlaufen. Schätzungsweise rund 30 000 Unternehmen der deutschen Wirtschaft und zahlreiche Einrichtungen der öffentlichen Hand sind davon betroffen. Institutionen indes, die durch die NIS-1-Richtlinie und das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) bereits heute erfasst werden, müssen sich auf schärfere Kontrollen, Nachweispflichten sowie deutlich höhere Sanktionen einstellen.

Insgesamt 18 Sektoren sind von der NIS-2 betroffen:

Insgesamt 18 Sektoren sind von der NIS-2 betroffen:

Hohe Kritikalität:

-Energie
-Verkehr
-Bankenwesen
-Finanzmarktinfrastrukturen
-Trink- und Abwasser
-Gesundheitswesen
-Verwaltung von IKT-Diensten
-Öff entliche Verwaltung
-Weltraum
-Digitale Infrastruktur

Sonstige kritische Sektoren:

-Abfallwirtschaft
-Produktion, Herstellung, Handel mit chemischen Stoffen
-Produktion, Verarbeitung, Vertrieb von Lebensmitteln
-Verarbeitendes Gewerbe
-Post- und Kurierdienste
-Anbieter digitaler Dienste
-Forschung