Holger Fischer, Director EMEA Central bei OPSWAT, beschreibt die holprige Umsetzung der NIS2-Vorgaben und die dahinter stehenden Ziele. | Holger Fischer, Director EMEA Central at OPSWAT, describes the bumpy implementation of the NIS2 requirements and the goals behind them. |
Das erste EU-weite Gesetz zur Cybersicherheit innerhalb der Europäischen Union (EU), die sogenannte NIS-Richtlinie, trat 2016 in Kraft und sollte für ein höheres und erweitertes Sicherheitsniveau von Netzwerken und Informationssystemen sorgen. Während NIS zunächst die Cybersicherheitskapazitäten der Mitgliedstaaten verbessern konnte, erwies sich die Umsetzung als schwierig. Statt der angestrebten Vereinheitlichung kam es in der Praxis zu einer Fragmentierung auf verschiedenen Ebenen des Binnenmarktes. Im Dezember 2020 reagierte die EU-Kommission auf diese Situation mit einem neuen Vorschlag, der dann zur NIS2-Richtlinie führte. Um auf die wachsenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyber-Angriffen entschiedener reagieren zu können, wurde dann ein Entwurf vorgelegt, der die alte NIS-Richtlinie ersetzen und damit die Sicherheitsanforderungen verstärken sollte. NIS2 zielte insbesondere darauf ab, die Sicherheit der Lieferketten zu verbessern, die Meldepflichten zu vereinfachen und strengere Aufsichtsmaßnahmen und Anforderungen zur Durchsetzung in der EU einzuführen, einschließlich EU-weit harmonisierter Sanktionen. Die Erweiterung des Geltungsbereichs von NIS2, durch die mehr Unternehmen und Sektoren effektiv verpflichtet werden, entsprechende Maßnahmen zu ergreifen, sollte dazu beitragen, das Niveau der Cyber Security im europäischen Geltungsbereich effektiv zu erhöhen. Mit NIS2 kamen folgende Geltungsbereiche hinzu: Provider von Netzwerken und Rechenzentren, Abfallkontrolle und -vernichtung, Raumfahrt, Produktion von Medikamenten und chemischen Stoffen, Dienstleistungen im Post- und Kurierbereich, Ernährungssysteme sowie öffentliche Verwaltung. Die Umsetzung der NIS2-Richtlinie in der Praxis Mit ihren ausgeweiteten und strengeren Anforderungen verfolgt NIS2 einen besonderen Ansatz zum Risikomanagement. Unternehmen müssen nun kritische Systeme identifizieren, bei denen Cyber-Attacken einen besonderen Schaden anrichten können. Sie sollen sich insbesondere darauf konzentrieren, in solchen Bereichen zusätzliche Sicherheitsmaßnahmen zu ergreifen, um Risiken zu reduzieren und die Möglichkeiten für angemessene Reaktionen zu erhöhen. Die NIS2-Richtlinie betont ferner die Bedeutung von Maßnahmen zum Schutz der Sicherheit in der gesamten Lieferkette von Unternehmen. Sie sollen zum Beispiel solche Sicherheitskontrollen in Betracht ziehen, die den externen Zugriff auf sensible Systeme und Informationen durch Dritte einschränken beziehungsweise verhindern. Außerdem soll sichergestellt werden, dass alle erforderlichen Sicherheitsstandards erfüllt werden, bevor man digitale Verbindungen mit anderen Unternehmen und Personen einrichtet. Zu den Maßnahmen, auf die größeres Gewicht gelegt werden soll, gehören zum Beispiel strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung und ausgeweitete Richtlinien für Passwörter. Organisationen müssen außerdem über strenge Patch-Prozesse verfügen, um sicherzustellen, dass regelmäßige Scans auf Schwachstellen durchgeführt und neue Patches umgehend angewendet werden. Betreiber von Infrastrukturen für OT (Operational Technology), wie zum Beispiel Hersteller, Energieerzeuger und -verteiler, sollen sicherstellen, dass intelligente Fertigungs- und Steuergeräte angemessen segmentiert und vor unbefugtem Zugriff geschützt sind. Darüber hinaus müssen sie sich vor dem Risiko schützen, dass eingebetteter Code in diesen Geräten durch gezielte Malware kompromittiert wird, die zum Beispiel über kompromittierte Firmware-Updates in ihre OT-Netzwerke eindringen kann. Sobald der Zugang, die Systeme und die Infrastruktur abgesichert sind, sollte die Aufmerksamkeit auf die Sicherung der Daten ausgerichtet werden, die in die Organisation ein- und aus ihr herausfließen. Viele Organisationen übersehen diesen Sicherheitsschritt oder setzen ihn nicht effektiv um. Das Scannen von Dateien, die zwischen Mitgliedern der digitalen Lieferkette und Kunden übertragen werden, kann dann versteckte bösartige Nutzlasten aufdecken. Techniken wie Content Disarm and Reconstruction (CDR) sind in der Lage, besondere Bedrohungen zu erkennen und sie zu entfernen. Dateien müssen untersucht und bereinigt werden, bevor sie verarbeitet und gespeichert werden. Insgesamt verfolgt NIS2 drei allgemeine Ziele Erstens: Erhöhung der Cyber-Resilienz einer umfassenden Gruppe von Unternehmen, die in der Europäischen Union in allen relevanten Sektoren tätig sind. Dazu werden neue Regeln eingeführt, die sicherstellen sollen, dass alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, angemessene Maßnahmen zur Cyber Security ergreifen. Dies geschieht auch dadurch, dass der Anwendungsbereich der Richtlinie auf weitere Sektoren wie zum Beispiel Telekommunikation, Social-Media-Plattformen und die öffentliche Verwaltung erweitert wird. Es wird festgelegt, dass alle mittleren und großen Unternehmen, die in den von NIS2 abgedeckten Sektoren tätig sind, die Sicherheitsvorschriften einhalten müssen. Die Möglichkeit für die Mitgliedsstaaten der EU, Anforderungen in bestimmten Fällen an staatliche Besonderheiten anzupassen, wird abgeschafft. Dies hatte bei der Umsetzung von NIS1 zu einer starken Fragmentierung zwischen den verschiedenen Mitgliedsstaaten geführt. Zweitens: Die Verringerung der Inkonsistenzen zwischen den Staaten im gesamten Binnenmarkt wird stärker betont. Dazu werden der De-facto-Geltungsbereich, die Anforderungen an die Sicherheits- und Schadensberichterstattung sowie die Bestimmungen über die nationale Aufsicht und Durchsetzung der Regeln aneinander angeglichen. Außerdem wurden die grundsätzlichen Fähigkeiten der zuständigen Behörden der Mitgliedsstaaten weiter vereinheitlicht. NIS2 enthält eine Liste von sieben Schlüsselelementen, die alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen berücksichtigen und umsetzen müssen: Dazu gehören zum Beispiel die Reaktion auf Vorfälle, die Sicherheit von Lieferketten sowie die Offenlegung von Schwachstellen. Darüber hinaus ist eine Mindestliste von Verwaltungssanktionen festgelegt worden, die immer dann verhängt werden sollen, wenn Unternehmen gegen die Vorschriften zum Risikomanagement im Bereich der Cyber Security oder gegen ihre in der NIS2-Richtlinie festgelegten Meldepflichten verstoßen. Drittens: Die Fähigkeiten zur Vorbereitung und Reaktion der zuständigen Behörden sollen durch Maßnahmen zur Stärkung des Vertrauens zwischen den verschiedenen Instanzen erhöht werden. Außerdem soll der Austausch von Informationen und die Festlegung von Regeln und Verfahren für den Fall von besonderen Ereignissen verbessert werden. Die neuen Regelungen sollen die Art und Weise, wie die EU groß angelegte Sicherheitsvorfälle und -krisen verhindert, bewältigt und darauf reagiert, verbessern. Dazu sollen klare Verantwortlichkeiten, eine angemessene Planung und eine verstärkte Zusammenarbeit in der EU eingeführt werden. | The first EU-wide law on cybersecurity in the European Union (EU), the so-called NIS Directive, came into force in 2016 with the aim of ensuring a higher and improved level of security for networks and information systems. While the NIS was initially able to improve the cybersecurity capabilities of member states, implementation has proven difficult. Instead of the intended standardization, the result in practice was fragmentation at different levels of the internal market. In December 2020, the EU Commission responded to this situation with a new proposal, resulting in the NIS2 Directive. In order to respond more decisively to the growing threats posed by digitalization and the increase in cyber-attacks, a draft was then presented to replace the old NIS Directive and thus strengthen the security requirements. In particular, NIS2 aimed to improve the security of supply chains, simplify reporting requirements, and introduce stricter supervisory measures and enforcement requirements in the EU, including EU-wide harmonized sanctions. The extension of the scope of NIS2, effectively requiring more companies and sectors to take appropriate measures, should help to effectively raise the level of cyber security in the European area. NIS2 added the following sectors to its scope: network and data center providers, waste management and destruction, space, pharmaceutical and chemical production, postal and courier services, food systems, and public administration. Implementing the NIS2 directive in practice With its expanded and more stringent requirements, NIS2 takes a unique approach to risk management. Companies must now identify critical systems where cyber-attacks can cause particular damage. In particular, they should focus on taking additional security measures in these areas to reduce risks and increase the ability to respond appropriately. The NIS2 Directive also emphasizes the importance of measures to protect security throughout an organization’s supply chain. For example, they should consider security controls that limit or prevent external access by third parties to sensitive systems and information. They should also ensure that all necessary security standards are met before establishing digital connections with other companies and individuals. Measures to emphasize include tighter access controls, multi-factor authentication, and enhanced password policies. Organizations must also have rigorous patching processes in place to ensure that regular vulnerability scans are performed and new patches are applied in a timely manner. Operational technology (OT) infrastructure operators, such as manufacturers, energy producers and distributors, should ensure that smart manufacturing and control devices are properly segmented and protected from unauthorized access. They also need to protect against the risk of embedded code in these devices being compromised by targeted malware that can enter their OT networks through compromised firmware updates, for example. Once access, systems and infrastructure are secured, attention should turn to securing the data flowing in and out of the organization. Many organizations overlook this security step or fail to implement it effectively. Scanning files transferred between members of the digital supply chain and customers can then reveal hidden malicious payloads. Techniques such as Content Disarm and Reconstruction (CDR) can detect and remove specific threats. Files must be examined and cleaned before they are processed and stored. NIS2 has three general goals The first goal is to increase the cyber resilience of a wide range of businesses operating in all relevant sectors in the European Union. To this end, new rules will be introduced to ensure that all public and private entities across the Single Market that perform important functions for the economy and society as a whole take appropriate cybersecurity measures. It also extends the scope of the directive to other sectors such as telecommunications, social media platforms and public administration. It stipulates that all medium and large companies operating in the sectors covered by NIS2 must comply with the security rules. The option for EU Member States to adapt the requirements to national specificities in certain cases will be abolished. This had led to a high degree of fragmentation between Member States during the implementation of NIS1. Second, greater emphasis will be placed on reducing inconsistencies between states across the single market. To this end, the de facto scope, the requirements for safety and damage reporting, and the provisions for national supervision and enforcement will be aligned. In addition, the basic capabilities of the competent authorities of the Member States have been further harmonized. NIS2 contains a list of seven key elements that all companies must consider and implement as part of their response: These include incident response, supply chain security and vulnerability disclosure. It also sets out a minimum list of administrative sanctions that can be imposed if companies breach the cybersecurity risk management rules or their reporting obligations under the NIS2 Directive. Third, it aims to improve the preparedness and responsiveness of competent authorities through measures to strengthen trust between different authorities. It also aims to improve the exchange of information and the definition of rules and procedures in the event of major incidents. The new rules are intended to improve the way the EU prevents, manages and responds to major security incidents and crises. This will be done by establishing clear responsibilities, appropriate planning and enhanced cooperation in the EU. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de