NIS2 und CER im Überblick für KRITIS-Betreiber

Seit Januar sind zwei neue EU-Richtlinien für Cybersecurity und Resilienz für KRITIS in Kraft, die mehr Unternehmen betreffen und neue Anforderungen bringen.
Inhaltsverzeichnis

    In Lieferketten gibt es eine Vielzahl von Abhängigkeiten und vernetzte IT-Infrastrukturen über Sektoren und Ländergrenzen hinweg. Sicherheitsvorfälle können sich rasant ausbreiten und schwerwiegende Folgen für viele Unternehmen mit sich bringen. Die dynamische und komplexe Cyberbedrohungslage beeinträchtigt das wirtschaftliche Handeln und gefährdet die Versorgungssicherheit der Bevölkerung im gesamten EU-Binnenraum.

    Darauf reagiert die EU-Regulierung und verstärkt mit einer Harmonisierung der Security-Anforderungen den Schutz informationstechnischer Systeme in Kritischen Infrastrukturen. Wer von den neuen Richtlinien betroffen ist und welche Anforderungen NIS2 Richtlinie und die CER Richtlinie beinhalten, zeigen wir im Überblick.

    Cybersecurity meets Cyberresilienz

    NIS2 und CER haben dieselbe Zielsetzung, nämlich die Leistungserbringung Kritischer Infrastrukturen im EU-Binnenraum sicherzustellen. Während bei der NIS2 Richtlinie die Cybersecurity im Fokus ist, geht es bei der CER Richtlinie um Cyberresilienz. Beide Begriffe hört man häufig im Kontext Security – klären wir zunächst, was jeweils darunter zu verstehen ist.

    Cybersecurity

    Cybersecurity umfasst alle Maßnahmen zum Schutz von Netz- und Informationssystemen. Im Fokus steht die Prävention. Gefahren durch Cyberangriffe sollen durch wirksame technische, organisatorische und personelle Maßnahmen kontrollierbar bleiben. Dazu zählen zum Beispiel gehärtete Netzwerkarchitekturen mit sicheren Zugängen und ein Patch- und Update-Management, außerdem Compliance-Vorgaben, definierte Prozesse und Verantwortlichkeiten – und natürlich Awareness.

    Cyberresilienz

    Weil es eine 100%ige Sicherheit nicht gibt, kann nicht ausgeschlossen werden, dass Störungen durch Cyberkriminalität oder durch andere Ursachen eine Organisation irgendwann doch treffen. Ein Vorfall bei einem einzelnen Unternehmen kann eine Kettenreaktion auslösen, die viele andere trifft.

    Cyberresilienz stärkt die Ausfallsicherheit eines Unternehmens. Resilienz beinhaltet sowohl präventive Maßnahmen zum Schutz vor Sicherheitsvorfällen als auch angemessene Reaktionen, um negative Folgen zu begrenzen. Dabei geht es konkret um die Aufrechterhaltung oder die schnelle Wiederaufnahme der Geschäftstätigkeit nach einem Angriff, der den IT-Betrieb stört oder unterbricht. Beispiele für wirksame Maßnahmen sind Backup & Recovery-Systeme und Business-Continuity-Strategien. Um eine Ausbreitung eines Vorfalls einzudämmen zu können, müssen die einschlägigen Meldepflichten eingehalten werden.

    Für Kritische Infrastrukturen ist Cybersicherheit ein wichtiger Bestandteil von Cyberresilienz. Maßnahmen beider Ansätze müssen ineinandergreifen und sich ergänzen. Die EU-Kommission weist daher auf die Notwendigkeit der Kohärenz der NIS2 Richtlinie und der CER Richtlinie hin.

    Beide Richtlinien sind am 16. Januar 2023 in Kraft getreten und müssen bis 17. Oktober 2024 in nationales Recht umgesetzt werden.

    NIS2 Richtlinie – Cybersecurity in KRITIS-Betrieben

    Im Jahr 2016 wurde die erste NIS Richtlinie (EU 2016/1148) für Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union erlassen. Das Ziel war, Cyberbedrohungen für Unternehmen einzudämmen, die wesentliche Dienste in KRITIS-Schlüsselsektoren erbringen. Dadurch sollte das Funktionieren von Wirtschaft und Gesellschaft im Binnenraum gesichert werden.

    Die Umsetzung in nationales Recht erfolgte in den einzelnen Mitgliedsstaaten nicht einheitlich, sondern jedes Land hat unterschiedliche Anwendungsbereiche und Anforderungen definiert. In Deutschland wurden die Vorgaben der NIS Richtlinie durch das IT-Sicherheitsgesetz umgesetzt.

    Die große Zahl an komplexen Cyberangriffen, die zunehmend auch Kritische Infrastrukturen treffen, zeigt, dass eine Harmonisierung und eine Anpassung dringend erforderlich ist. Die Sicherheit in vernetzten Supply Chains spielt eine immer größere Rolle.

    NIS2 soll das Funktionieren des Binnenmarktes über „ein hohes gemeinsames Sicherheitsniveau“ gewährleisten und einen einheitlichen Rechtsrahmen für die Mitgliedstaaten schaffen. Daher wird der Anwendungsbereich auf einen größeren Teil der Wirtschaft in insgesamt 18 Sektoren ausgeweitet. Für betroffene Unternehmen gelten verbindliche Mindeststandards für ein Cyberrisikomanagement und definierte Meldepflichten. Den Mitgliedstaaten, die die Adressaten der NIS2 sind, wird eine stärkere staatliche Durchsetzung der Anforderungen auferlegt.

    Das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das derzeit in Arbeit ist, überführt die Anforderungen der NIS2 Richtlinie (EU) 2022/2555 in nationales Recht.

    Inhalte der NIS2 Richtlinie und wer betroffen ist

    Von NIS2 betroffene Sektoren

    NIS2 unterscheidet Sektoren mit hoher Kritikalität und sonstige kritische Sektoren.

    Die 11 „Sektoren mit hoher Kritikalität“ sind im Anhang I gelistet:

    • Energie
    • Verkehr
    • Bankwesen
    • Finanzmarktinfrastrukturen
    • Gesundheitswesen
    • Trinkwasser
    • Abwasser
    • digitale Infrastruktur
    • Verwaltung von IKT-Diensten (B2B)
    • öffentliche Verwaltung
    • Weltraum

    Anhang II listet 7 „sonstige kritische Sektoren“:

    • Post- und Kurierdienste
    • Abfallbewirtschaftung
    • Produktion, Herstellung und Handel mit chemischen Stoffen
    • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
    • Verarbeitendes Gewerbe/Herstellung von Waren
    • Anbieter digitaler Dienste
    • Forschung

    Betroffene Unternehmen

    Anders als das deutsche IT-Sicherheitsgesetz, das KRITIS-Betreiber nach Schwellenwerten und dem Versorgungsgrad der erbrachten Dienstleistung einstuft, reguliert NIS2 einfacher. Entscheidend ist die Größe eines Unternehmens.

    Betroffen sind:

    • Mittlere Unternehmen mit 50 – 250 Beschäftigten mit einem Umsatz zwischen 10 und 50 Mio. EUR oder einer Jahresbilanzsumme von höchstens 43 Mio. EUR
    • Große Unternehmen mit mehr als 250 Beschäftigten und mehr als 50 Mio. EUR Umsatz oder einer Jahresbilanz von mehr als 43 Mio. EUR

    Die öffentliche Verwaltung, bestimmte Bereiche der digitalen Infrastruktur und Anbieter von kritischen Diensten, bei denen eine Störung zu einem wesentlichen Systemrisiko führen kann, fallen ohne Berücksichtigung ihrer Größe unter die Regulierung.

    Wesentliche Einrichtungen (Essential Entities)

    sind

    • große Unternehmen aus den Sektoren mit hoher Kritikalität (Anhang I)
    • öffentliche Verwaltung
    • Vertrauensdiensteanbieter, Domänennamenreigister, DNS-Diensteanbieter
    • Anbieter öffentlicher Kommunikationsnetze
    • Einrichtungen, die von einem Mitgliedstaat als solches eingestuft sind
    • Einrichtungen, die nach der CER-Richtlinie als kritisch eingestuft sind
    • Einrichtungen, die nach der NIS aus 2016 von einem Mitgliedstaat als Betreiber wesentlicher Dienste eingestuft war
    Wichtige Einrichtungen (Important Entities)

    sind

    • große Unternehmen in sonstigen kritischen Sektoren (Anhang II)
    • mittlere Unternehmen in Sektoren aus Anhang I und Anhang II
    • Sonderfälle: Festlegung durch die Mitgliedstaaten

    Die NIS2-Mindestanforderungen für Cybersecurity gelten für wesentliche und wichtige Einrichtungen gleichermaßen. Unterschiede gibt es hinsichtlich der Maßnahmen für die staatliche Aufsicht und die Sanktionen.

    Die Mitgliedstaaten müssen jeweils Unternehmen in ihrem Hoheitsgebiet ermitteln, die wesentliche Einrichtungen und wichtige Einrichtungen sind und bis 17. April 2025 an die EU-Kommission melden.

    Anforderungen der NIS2 Richtlinie für Betreiber

    Netz- und Informationssysteme sind in der NIS2 definiert als „ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen“.

    Um die Mindestanforderungen umzusetzen, müssen betroffene Unternehmen “verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] möglichst gering zu halten.“

    Die Mindestanforderungen werden in den Risikomanagementmaßnahmen konkretisiert.

    Verbindliche Mindestanforderungen der NIS2

    • Konzepte für Risikoanalyse für Informationssysteme und Sicherheit für Informationssysteme
    • Incident-Management
    • Krisenmanagement und Business Continuity (Backup-Management und Recovery)
    • Sicherheit der Lieferkette
    • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung inkl. Management und Offenlegung von Schwachstellen
    • Konzepte & Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
    • Grundlegende Verfahren für Cyberhygiene (wie z.B. Datensicherung, Updatemanagement, Zero-Trust, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement) und Schulungen für Cybersicherheit
    • Konzepte & Verfahren für Kryptografie und Verschlüsselung (Ende zu Ende)
    • Sicherheit des Personals, Konzepte für Zugriffskontrolle & Management von Anlagen
    • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, sichere Kommunikation (Sprache, Video, Text) gesicherte Notfallkommunikationssysteme

    Wichtig für die Umsetzung:

    • Bei der Umsetzung der genannten Mindestanforderung ist ein All-Gefahren-Ansatz (jedwede Ursache) zu berücksichtigen.
    • Die Mindestanforderungen müssen nach dem Stand der Technik und unter Berücksichtigung relevanter europäischer und internationaler Normen und technischer Spezifikationen umgesetzt werden.
    • Den Leitungsorganen kommt die Verantwortung zu, die Umsetzung der Maßnahmen nicht nur zu billigen, sondern auch zu überwachen. Sie können bei Verstößen persönlich haftbar gemacht werden.
    • Bei Verstößen gegen einen konformen Einsatz von Risikomanagementmaßnahmen oder gegen die Berichtspflichten drohen empfindliche Geldbußen: bei wesentlichen Einrichtungen bis 10 Mio. EUR oder 2% des jährlichen Gesamtumsatzes, bei wichtigen Einrichtungen bis 7 Mio. EUR oder 1,4 % des jährlichen Gesamtumsatzes.

    Berichtspflichten in der NIS2 Richtlinie

    NIS2 regelt Zeitpunkt und Inhalt der Informationen, die betroffene Unternehmen bei erheblichen Sicherheitsvorfällen als Meldung übermitteln müssen.

    So hat unverzüglich nach Kenntnisnahme eines Sicherheitsvorfalls, der „schwerwiegende Betriebsstörungen der Dienste“ verursachen kann, eine Frühwarnung zu erfolgen. Innerhalb von 24 Stunden müssen betroffene Unternehmen relevante Informationen zu Ursachen, Schweregrad und Folgen an das CSIRT und gegebenenfalls an zuständigen Behörden übermitteln. Innerhalb von 72 Stunden müssen verfügbare Informationen aktualisiert und erste Bewertungen geliefert werden.

    CER Richtlinie – Ausfallsicherheit schließt auch physische Maßnahmen ein

    Die CER-Richtlinie (EU) 2022/2557 (Critical Entities Resilience) löst die ECI Richtlinie aus dem Jahr 2008 ab, die auf einen EU-weiten Schutz der Infrastrukturen in den KRITIS-Sektoren Energie und Transport abzielte.

    Auch die CER Richtlinie hat zum Ziel, die „Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung“ sind, zu gewährleisten. Dies soll über die Stärkung der Resilienz kritischer Einrichtungen in der gesamten EU erreicht werden. Die verpflichtenden Resilienzmaßnahmen erstrecken sich auch auf den physischen Schutz in Kritischen Infrastrukturen.

    Die Anforderungen der CER Richtlinie sollen durch das KRITIS-Dachgesetz, das derzeit in Arbeit ist, in nationales Recht umgesetzt werden.

    Von der CER-Richtlinie betroffene Sektoren

    CER definiert 11 Sektoren, die sich überwiegend mit den NIS2-Sektoren decken:

    • Energie
    • Verkehr
    • Banken
    • Finanzmarktinfrastrukturen
    • Gesundheit
    • Trinkwasser
    • Abwasser
    • Digitale Infrastruktur
    • Öffentliche Verwaltung
    • Raumfahrt
    • Lebensmittel

    Die Kommission wird bis zum 17. November 2023 Rechtsakte erlassen, um die wesentliche Dienste für diese Sektoren zu bestimmen.

    Betroffene Unternehmen

    Die Mitgliedstaaten müssen Unternehmen identifizieren, die als kritische Einrichtungen gelten und damit von den Vorgaben der CER Richtlinie betroffen sind. Dafür muss jedes Land bis 17.01.2026 eine nationale Risikobewertung für die im Anhang der CER gelisteten Sektoren durchführen. Bis zum 17. Juli 2026 ist eine Liste mit allen kritischen Einrichtungen in den einzelnen Sektoren zu erstellen. Die Liste muss alle 4 Jahre nach erneuter Risikobewertung aktualisiert werden.

    Ein Unternehmen mit kritischer Infrastruktur im Hoheitsgebiet eines EU-Mitgliedsstaates wird als kritische Einrichtung eingestuft, wenn

    • es einen oder mehrere wesentliche Dienste erbringt
    • ein Sicherheitsvorfall eine erhebliche Störung dieser Dienste oder davon abhängiger wesentlicher Dienste in Sektoren des Anhangs auslösen kann.

    Anforderungen der CER Richtlinie

    Die Anforderungen aus der CER und der NIS2 Richtlinie müssen komplementär umgesetzt werden. Wenn Unternehmen spezifische Anforderungen der CER Richtlinie im Rahmen anderer Richtlinien wie der NIS2 bereits abdecken und erfüllen, können entsprechende Nachweise genutzt werden.

    Risikobewertung

    Wie die Mitgliedstaaten müssen auch die kritischen Einrichtungen alle 4 Jahre eine Analyse und Bewertung der Risiken durchführen, die einen Sicherheitsvorfall auslösen und die Erbringung ihrer Dienste gefährden können. Dabei geht es um natürliche oder von Menschen verursachte Risiken. Dies schließt neben feindlichen Bedrohungen und terroristischen Straftaten auch Unfälle, Naturkatastrophen und Pandemien ein. Abhängigkeiten zwischen den Sektoren und grenzüberschreitende Auswirkungen müssen dabei entsprechend berücksichtigt werden.

    Resilienzmaßnahmen

    Zur Vermeidung eines Vorfalls oder zur Begrenzung und Bewältigung seiner Folgen sollen kritische Einrichtungen angemessene und verhältnismäßige Maßnahmen ergreifen und dabei technische, organisatorische und sicherheitsbezogene Aspekte einschließen.

    Die folgenden Maßnahmen sind in einem Resilienzplan im Unternehmen zu dokumentieren, ihre Umsetzung muss von einer zuständigen Behörde überwacht werden:

    • Katastrophenvorsorge und Maßnahmen zur Anpassung an den Klimawandel
    • Physischer Zugangsschutz für Räumlichkeiten, wie beispielsweise Zäune, Umgebungsüberwachung, Zugangskontrollen
    • Risiko- und Krisenmanagementverfahren und Notfall-Ablaufpläne
    • Business-Continuity-Maßnahmen und Ermittlung alternativer Lieferketten
    • Personelles Sicherheitsmanagement inkl. Zuverlässigkeitsüberprüfungen
    • Awareness-Maßnahmen für Personal

    Bei der Umsetzung sollen relevante europäische und internationale Normen berücksichtigt werden. Die Kommission wird Durchführungsrechtsakte erlassen, die technische und methodische Spezifikationen für die Maßnahmen konkretisiert.

    Meldepflichten

    Die CER Richtlinie definiert ähnliche Meldepflichten wie die NIS2, und fordert eine umgehende Meldung von Sicherheitsvorfällen, die zu einer erheblichen Störung der Erbringung wesentlicher Dienste führen können, an die zuständige Behörde.

    Fazit

    Die NIS2 Richtlinie und die CER Richtlinie stärken die Absicherung Kritischer Infrastrukturen im EU-Binnenraum durch eine Harmonisierung der Anforderungen für Cybersecurity und Resilienz. Der Kreis der von der Regulierung betroffener Unternehmen erweitert sich erheblich, ebenso wie die Pflichten. Das gilt sowohl für die Mitgliedstaaten und ihre Durchsetzungsaufgaben als auch für betroffene Unternehmen, und dort vor allem für die Unternehmensführung, die durch NIS2 stark in die Verantwortung genommen wird.

    Auf Betreiber kommen neue Aufgaben zu, um Cyberrisikomanagement und wirksame Resilienzmaßnahmen in ihren Security-Konzepten konform abzubilden. Konkrete Anforderungen werden im NIS2-Umsetzungsgesetz (NIS2UmsuCG) und im KRITIS-Dachgesetz formuliert werden. Wir halten Sie darüber auf dem Laufenden!

    Checkliste: Angriffserkennung in KRITIS Betrieben

    Max Weidele
    CEO & Founder

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.

    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am
    by Max Weidele

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Feldgeschichten

    Keine Zeit? Machen Sie es, wie über 1.000 andere Anwender:innen und erhalten Sie wöchentlich relevante Beispiele der OT-Security!

    Ganz oldschool direkt via E-Mail in Ihr Postfach

    Footer Image
    Checkliste herunterladen

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.


    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung