Die NIS-2-Richtlinie (NIS steht für Network and Information Security) der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber Kritischer Infrastrukturen fest. Nach aktuellem Stand muss diese Richtlinien von betroffenen Unternehmen bis Oktober 2024 umgesetzt werden. IT-Verantwortliche sollten daher handeln und prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Aber was muss man wissen und umsetzen?
Anzeige
Die EU NIS-2-Richtlinie
Die Richtlinie zu Network and Information Security, auch kurz NIS-2-Richtlinie genannt, ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen, und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde. NIS-2 ist am 16. Januar 2023 offiziell EU-weit in Kraft getreten.
Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, NIS-2 in nationales Recht umzusetzen. In Deutschland erfolgt die Umsetzung durch das NIS-2UmsuCG, welches aktuell als Referentenentwurf vorliegt. Ab dem 17. Oktober 2024 gelten die Vorgaben der Richtlinie NIS-2 in allen EU-Ländern.
Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Mit der überarbeiteten Richtlinie sollen die Anforderungen an die Cybersicherheit und die Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten harmonisiert werden. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedstaaten festgelegt. Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten. Eine Übersicht, warum NIS-2 notwendig wurde, findet sich beispielsweise auf dieser Webseite.
Anzeige
Fragen zur Umsetzung/Betroffenheit
Ich hatte hier im Blog bereits einige Informationen im Blog-Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden aufbereitet und auf die Kriterien zur Einstufung unter die NIS-2-Richtlinie skizziert. Die Tage bin ich auf folgenden Tweet von Prof. Dr. Dennis Kipker gestoßen.
Dr. Dennis Kipker ist Professor für IT-Recht und hat sich bereits länger mit Fragen rund um NIS-2 auseinander gesetzt. Aus den sich ergebenden Fragen hat Dr. Kipker einen "Praxisleitfaden zur Umsetzung von NIS-2" als mehrseitiges PDF-Dokument (mit Stand November 2023) erstellt, welches er auf den Seiten von Trend Micro kostenlos zum Download anbietet. Dort geht es um folgende Fragen:
- Welche konkreten Anforderungen gibt NIS2 zur Verbesserung der Cybersicherheit in der Praxis vor?
- Kosten-Nutzen-Analyse in der Cybersicherheit
- "Angemessenheit" der im Rahmen von NIS2 zu ergreifenden Cybersicherheitsmaßnahmen
- Leitlinien für effektive Risikobewertung und Maßnahmenumsetzung
- "Mindestkatalog" für Cybersicherheitsmaßnahmen nach NIS-2
- Anforderungen an das CybersecurityManagement in NIS2 entschlüsseln
Es gibt wohl nicht "die eine" Maßnahme zur rechtskonformen Umsetzung von NIS-2, sondern es erfordert einen ganzheitlichen Ansatz zur Umsetzung der rechtlichen, technischen und organisatorischen Anforderungen. Vielleicht ist der Leitfaden ja für den einen oder anderen Leser oder Leserin von Interesse.
Ähnliche Artikel:
NIS-2-Richtlinie zu Cybersicherheit und Resilienz im Amtsblatt der EU veröffentlicht
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Anzeige
Mal schauen ob das wieder so ein zahnloser Papiertiger wird den keiner interessiert. War bei SzA in KRITIS schon so. Haben so gut wie alles erfüllt, nur eine Kleinigkeit fehlte
BNetzA hat es zur Kenntnis genommen. Fertig. Andere hatten noch nix beim Stichtag. … Keine Strafen. .. Nix… Wird hier wieder so laufen. Gibt ja nicht mal genug Prüfer…
Ist es bereits: die Liste der Ausnahmen in Deutschland ist beeindruckend.
– Gesellschaft für Telematik
– alle Kommunen und Landkreise
– alle Einrichtungen der nationalen Sicherheit, öffentlichen Sicherheit, Verteidigung oder Strafverfolgung
zusätzlich befreien können sich folgende Bundesbehörden:
– BMI
– Bundeskanzleramt
– BMJ
– BMV
plus:
– Minsterien für Inneres und Justiz der Länder
Vergessen wurde außerdem den Sektor Ernährung in NIS2 aufzunehmen…
Quelle: https://www.heise.de/hintergrund/Kommentar-zum-NIS2-Gesetz-Wirtschaft-geschuetzt-Verwaltung-bleibt-Zielscheibe-9626667.html?seite=2
Es ärgert mich maßlos, wie eine mMn sinnvolle EU Initiative auf dem Weg durch die Instanzen bis zur nationalen Umsetzung bis zur Unbrauchbarkeit verstümmelt wird.
Ich lege besser weiter Vorräte an und besorge mir eine WBK.
Genau für diese Ausnahmen müsste es als erstes Pflicht sein, das umzusetzen.
Bzw. für die müsste es sogar noch eine schärfere Variante geben.
Gerade die empfindlichen Bereiche werden ausgenommen, das ist völlig absurd!
Und das gerade öffentliche Stellen Ziel von Angriffen sind, sieht man doch immer wieder.
Hallo und vielen Dank für den Hinweis auf den Leitfaden.
Zunächst zur Aktualität des Leitfadens: Der derzeit aktuelle Referenten Entwurf zum NIS2UmsuCG stammt vom 22.12.2023 ist also etwas jünger als der Leitfaden: https://ag.kritis.info/tag/nis2/
Grundsätzlich stoße ich mich an der Formulierung "[…]muss diese Richtlinien von betroffenen Unternehmen bis Oktober 2024 umgesetzt werden" gleich zu Beginn des Blog-Eintrags. Der 17.10.2024 ist die Frist zur Überführung der europäischen Richtlinie NIS2 in nationales Recht. Laut §64 werden besonders wichtige Einrichtungen erstmalig 3 Jahre nach Inkrafttreten des Gesetzes Nachweispflichtig.
Meldepflichten gelten hingegen früher. Unternehmen müssen sich selbst als Einrichtungen nach NIS-2 Identifizieren und binnen drei Monaten sich beim BSI registrieren. Danach teilt das BSI entsprechende Fristen mit.
Hier auch ganz gut zu lesen unter "Umsetzung in Deutschland":
https://www.wbs.legal/it-und-internet-recht/die-nis-2-richtlinie-und-ihre-umsetzung-2024-ein-ueberblick-ueber-die-auswirkungen-auf-deutsche-unternehmen-71199/
Einen guten Überblick gibt ein Foliensatz der Webplattform OpenKRITIS:
https://www.openkritis.de/r/OpenKRITIS_NIS2_KRITIS-Dachgesetz_Betreiber.pdf
Weiterhin führt der Leitfaden in Punkt 5 "Anforderungen an das Cybersecurity-Management in NIS2 entschlüsseln" den "Einsatz von Künstlicher Intelligenz" sowie "Verwendung von Open-Source-Cybersicherheitswerkzeugen und -Anwendungen".
Dies sind Empfehlungen die von der NIS2 nicht gemacht werden und auch im aktuellen Entwurf zum NIS2UmsuCG nicht zu finden sind.
Gerade die Empfehlung bezüglich der Open-Source-Cybersicherheitswerkzeuge ist im Lichte der xz-Utils Backdoor und deren Implikation auf den SShd Daemon kritisch zu hinterfragen.
https://www.security-insider.de/security-insider-podcast-86-backdoor-in-xz-tools-a-80e018903670893bbd5814040d6f5ce8/?cmp=nl-ede617ce-bb32-418b-8967-bc79e3a81876
https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
https://www.techdirt.com/2024/04/08/the-story-behind-the-xz-backdoor-is-way-more-fascinating-than-it-should-be/
"Gerade die Empfehlung bezüglich der Open-Source-Cybersicherheitswerkzeuge ist im Lichte der xz-Utils Backdoor und deren Implikation auf den SShd Daemon kritisch zu hinterfragen. "
Dem stimme ich fast uneingeschränkt zu, ich setze aber noch drauf, dass man das schon vorher nicht konnte. Das wollen die verehrten Mitleser hier aber nicht wahr haben. Der xz Fall zeigt, dass ich recht habe. Denn auch wenn der Quellcode einsehbar ist, liest den keiner freiwillig und grundlos. Die Kontrolle findet immer erst statt, wenn es einen Verdacht gibt – wie hier geschehen.
Die 3 Artikel haben übrigens keinen zusätzlichen Informationsgewinn gegen über anderen mir bekannten Quellen gebracht, inklusive diesem Blog.
Der Fall mit der Backdoor in der xz-Bibliothek zeigt eindrucksvoll warum Open Source Software so wertvoll ist. Weil eine Software eine halbe Sekunde länger benötigt als üblich, macht sich ein interessierter Entwickler daran die Hintergründe zu analysieren und findet letztendlich die Backdoor. Bei Closed Source Software wäre der Fall bei man stellt fest, dass die Software eine halbe Sekunde mehr benötigt als üblich zu Ende.
Ich stimme dir zu, dass den Quellcode selten jemand grundlos liest. Aber die Möglichkeit bei einem Verdacht den Quellcode überhaupt einsehen zu können ist unersetzbar wertvoll. Es gibt die Möglichkeit der Kontrolle bei Open Source. Bei Closed Source Software brauchen wir die Diskussion gar nicht führen, dort gibt es die Möglichkeit nicht.
Aus diesem Grund würde ich sogar soweit gehen und eine Open Source Pflicht in KRITIS Bereichen fordern.
Rede es dir nur weiterhin schön…
Wenn jetzt der Angreifer es geschafft hätte das Problem mit der halben Sekunde zu vermeiden, wäre es nicht aufgefallen. Das nächste Mal sind die schlauer.
Auszuschließen ist das nicht, eine 100%ige Sicherheit gibt es nun mal in der IT nicht. Es ist aber nun mal so, dass mit Open Source Software jeder die Möglichkeit hat die Sicherheit zu überprüfen (Verständnis für den Code vorausgesetzt). Bei Closed Source hast du eben niemals die Möglichkeit die Software in Gänze auf Sicherheit zu bewerten. Du bist dem Hersteller voll und ganz ausgeliefert und musst darauf vertrauen, dass das Versprechen des Herstellers eingehalten wird. Es gibt unzählige Beispiele in der Vergangenheit, dass das nun mal nicht funktioniert hat.
Du kannst deine Closed Source Software noch so viel verteidigen wie du willst, es ändert nichts an den Tatsachen und den Fakten.
Sehe ich auch so.
Aus dem Fall rund um die xz-Bibliothek kann man lernen, dass einzelne OpenSource-Projekte hohe Relevanz haben, viel genutzt werden, aber nicht über Personen und finanzielle Mittel verfügen.
Das ist nicht neu, wie man am alten Comic auf XKCD sehen kann https://xkcd.com/2347/ .
Ich habe jetzt noch keine Stimmen gehört, die behaupten beim ClosedSource-Ansatz wäre eine XZ-Backdoor nicht möglich. Oder das dort mehr Personen den Quellcode auf Sicherheitslücken durchlesen. Das Argument, dass OpenSource automatisch sicherer und besser als ClosedSource-Software ist, gilt pauschal nicht. Aus dem XZ-Fall werden nicht nur Angreifer lernen. Daher erwarte ich eher mehr Meldungen zu Backdoors und Sicherheitslücken.
Im Prinzip kannst du es nirgends verhindern. Aber wahrscheinlich ist es einfacher, einen Hacker (oder sogar Geheimdienst, wie bei xz vermutet) in ein Opensource-Projekt mit ein paar vertrauenswürdigen Commits einzuschleusen, als z.B. bei einer Firma Microsoft den ganzen Berwerbungsprozess mit Sicherheitsüberprüfung zu durchlaufen und dann erstmal durch kleinere Projekte (Minesweeper / Paint /… erneuern – wir kennen ja diese ganzen sensationellen Geschichten ) erstmal Vertrauen aufzubauen und sich einzuarbeiten, bevor man an die wirklich sicherheitsrelevanten Bereiche von Windows herangelassen wird. Ist übrigens in anderen Firmen bei Admin-jobs auch erstmal so, habe ich selbst bei letzten 3 Dienstleistern für die ich gearbeitet habe oder noch tue (das aktuelle habe ich auch u.a. deswegen weil ich die beiden vorigen Jobs hatte und mir so in dem Bereich schon eine gewisse Reputation aufbauen konnte) schon als neuer Mitarbeiter mitgemacht, da kommst du auch nicht gleich in die großen Kundenprojekte rein und bekommst auch nicht sofort Domain-Adminrechte, sondern du bist erstmal als Hiwi in Migrationsprojekten drin, bekommst nur temporär Adminrechte auf einzelnen Workstations oder Anwendungsserver, usw. Oft werden bei solchen Firmen auch Führungszeugnisse verlangt, und für manche Aufträge dann auch noch eine Ü-Klassifizierung durchs Innenministerium. Aber bei xz haben ein paar sinnvolle Commits und ein bisschen Druck von Unbekannten auf den Einzelkämpfer-Einzigverantwortlichen gereicht, um das Projekt unter die eigene Kontrolle zu bringen. Da nützt die ganze Quellcode-Lesetheorie nichts, hätte niemand getan, wenn der eingeschleuste Code performanter gewesen wäre.
Du fasst das Problem richtig zusammen, ziehst aber den falschen Schluss daraus.
Korrekt ist, dass ein paar wenige sinnvolle Commits und Druck von außen dafür gesorgt haben, dass eine Person Berechtigungen als Projektverantwortlicher erhalten hat.
Falsch ist der Schluss, dass das durch Sicherheitsüberprüfungen, Führungszeugnisse und Co., wie es bei Microsoft u.ä. gehandhabt wird, verhindert worden wäre.
Korrekt wäre der Schluss (wie im vorherigen Post schon gesagt), dass einzelne Bibliotheken ohne finanzielle Mittel und Projektunterstützung von großen Playern (die aber die Bibliothek nutzen) dastehen und dem allem ausgesetzt sind. Dann passiert sowas (leider).
Bleiben wir beim Beispiel Geheimdienste. Dann brauchst du bei Microsoft überhaupt niemanden einschleusen, sondern du gehst mit einem entsprechenden offiziellen Papier zu Microsoft, dass folgende Backdoor X bitte asap einzubauen ist. Da braucht sich niemand die Mühe machen und erstmal ein paar sinnvolle Commits in kleineren (Teil-)Projekten machen.
Fall ich mit meiner Firma nicht drunter, interressant ist es trotzdem und das ein oder andere kann man trotzdem noch mitnehmen ;-)
Wobei etliches eigentlich schon aus Eigeninteresse umgesetzt sein sollte und es schon lächerlich ist triviales in Gesetze giessen zu müssen.
EU halt: gut gedacht,schlecht gemacht!
Bei aller Dankbarkeit frage ich mich, wie man nur auf die Idee kommen kann, kleinen Text in Hellgrau mit dünnhalsiger Schrift zum Lesen anzubieten?
Man muss das PDF entweder bombastisch groß darstellen oder den Text entnehmen und woanders einfügen.
Oder bin ich der einzige, der damit ein Problem hat?
ist jetzt nicht unbedingt der Lesefreundlichste Text, aber selbst auf nem 4k Monitor bei 100% Skalierung noch einwandfrei lesbar…
(und ich gehöre den älteren Semestern an ;-P )
Das spart Seiten. Da muss man aber auch erstmal drauf kommen.
und dann mit Masse "Layout" mit ein wenig "Text" und noch weniger inhaltlichem Tiefgang – am Schluss dann die Empfehlung, wer "weiter hilft"
das ist schlicht eine aufgeblähte Werbeanzeige
warum gibt sich eine "Lehrkraft" dafür her ?
war meinem Chef früher peinlich ! hätte er nicht gemacht ;)
war aber auch ein anderes Fach ;))