Blog - Trigonum - Managementsysteme für Informationssicherheit und Datenschutz auf Basis Mircosoft 365
Informationssicherheit2. Juli 2024

NIS2-Umsetzungsgesetz (NIS2UmsuCG)

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG): Zeitlicher Rahmen und gesetzliche Herausforderungen

In einer zunehmend digitalisierten Welt wird der Schutz kritischer Infrastrukturen vor Cyberangriffen immer wichtiger. Die EU hat mit der NIS2-Richtlinie (Network and Information Security Directive) einen weiteren Schritt unternommen, um die Cybersicherheit in den Mitgliedstaaten zu stärken. Deutschland setzt diese Richtlinie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) um. Mit diesem Beitrag wollen wir den relevanten Unternehmen einen kurzen Ausschnitt zu den Rahmenbedingungen der zeitlichen Umsetzung und gesetzlichen Anforderungen aufzeigen und wie man diesen Herausforderungen mithilfe der Trigonum begegnen kann.

Die NIS2-Richtlinie wurde am 16. Dezember 2020 von der Europäischen Kommission verabschiedet. Ziel der Richtlinie ist es, die Sicherheitsanforderungen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedstaaten zu verbessern. Die Mitgliedstaaten sind verpflichtet, die Richtlinie bis zum 17. Dezember 2024 in nationales Recht umzusetzen.

Zeitlicher Rahmen der Umsetzung

In Deutschland begann der Prozess der Umsetzung mit der Einleitung der Gesetzgebungsverfahren im Jahr 2022. Die Bundesregierung hat dazu verschiedene Entwürfe und Konsultationsprozesse eingeleitet, um sicherzustellen, dass das NIS2-Umsetzungsgesetz den Anforderungen der EU-Richtlinie entspricht. Das Gesetz soll bis Ende 2023 verabschiedet und bis Mitte 2024 vollständig umgesetzt sein, um die Frist der EU zu erfüllen.

Gesetzliche Herausforderungen

Die Umsetzung der NIS2-Richtlinie in nationales Recht stellt mehrere gesetzliche Herausforderungen dar:

1. Erhöhung der Sicherheitsanforderungen

Eine der größten Herausforderungen besteht darin, die erhöhten Sicherheitsanforderungen in allen relevanten Sektoren umzusetzen. Dies betrifft insbesondere Betreiber kritischer Infrastrukturen in Bereichen wie Energie, Gesundheit, Verkehr und Finanzwesen. Diese Unternehmen müssen umfangreiche Sicherheitsmaßnahmen ergreifen, um den neuen Standards zu entsprechen. Die Implementierung solcher Maßnahmen kann sowohl zeitaufwendig als auch kostspielig sein.

2. Harmonisierung und Zusammenarbeit

Die NIS2-Richtlinie fordert eine engere Zusammenarbeit zwischen den Mitgliedstaaten der EU. In Deutschland bedeutet dies, dass nationale Behörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), eng mit ihren europäischen Pendants zusammenarbeiten müssen. Dies erfordert die Schaffung neuer Kommunikations- und Kooperationsmechanismen, um den Informationsaustausch und die Koordination zu verbessern.

3. Meldepflichten und Compliance

Unternehmen müssen sicherstellen, dass sie die neuen Meldepflichten einhalten. Dies beinhaltet die Pflicht, Cybervorfälle innerhalb kurzer Zeiträume zu melden, was eine Herausforderung für Unternehmen darstellen kann, die nicht über die notwendigen Ressourcen oder Fachkenntnisse verfügen. Die Einhaltung dieser Vorschriften erfordert oft die Einrichtung oder Erweiterung von Compliance-Abteilungen und entsprechenden IT-Systemen.

4. Datenschutz und Rechtssicherheit

Ein weiteres wichtiges Thema ist der Datenschutz. Die NIS2-Richtlinie verlangt, dass alle Sicherheitsmaßnahmen und Meldepflichten im Einklang mit bestehenden Datenschutzgesetzen stehen, insbesondere mit der Datenschutz-Grundverordnung (DSGVO). Dies kann zu rechtlichen Spannungen führen, insbesondere wenn es darum geht, wie Sicherheitsvorfälle gemeldet und Daten ausgetauscht werden sollen, ohne die Datenschutzbestimmungen zu verletzen.

Mapping bereits existierender Standards mit den gesetzlichen Anforderungen

Für viele Unternehmen stellt sich die Herausforderung, Anforderungen mehrerer Standards, wie z.B. ISO 27001, TISAX, CMMC, BSI-KRITIS, umzusetzen. Hier sind insbesondere Mappings zwischen den einzelnen Anforderungen der Standards hilfreich. Eine Informationsquelle hierzu bietet die OPENKRITIS Seite als eine erste hilfreiche Übersicht. Darüber hinaus haben wir bereits eine Vielzahl von Mappings erstellt, z.B. zwischen NIS2 und KRITIS, ISO 27001, TISAX etc. Sprechen Sie uns hierzu gerne an.

Fazit

Das NIS2-Umsetzungsgesetz stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in Deutschland dar. Der zeitliche Rahmen für die Umsetzung ist eng gesteckt, und die gesetzlichen Herausforderungen sind vielfältig. Unternehmen und Behörden müssen zusammenarbeiten, um die erhöhten Sicherheitsanforderungen zu erfüllen, die Zusammenarbeit und den Informationsaustausch zu verbessern sowie die neuen Meldepflichten einzuhalten. Trotz dieser Herausforderungen bietet die NIS2-Richtlinie die Chance, die Resilienz der kritischen Infrastrukturen in Deutschland und der EU insgesamt zu stärken und besser auf zukünftige Cyberbedrohungen vorbereitet zu sein.

Weiterlesen
Datenschutz, Informationssicherheit6. Mai 2024

TISAX 6 – neue Anforderungen

Die Überarbeitung des VDA ISA Anforderungskatalogs hat eine Vielzahl von Änderungen zur Folge. Diese haben wir in diesem Blog Artikel zusammengefasst.

Neue Prüfziele

TISAX Ziele und Assessment Level
TISAX Ziele und Assessment Level

Die Verfügbarkeit in der Lieferkette nimmt einen immer höheren Stellenwert ein. Während in der Vergangenheit die Vertraulichkeit von Informationswerten und hier speziell Prototypen / Prototypeninformationen im Vordergrund stand, gerät jetzt auch die Verfügbarkeit von Systemen mehr und mehr in den Fokus. Hierbei dürfen nicht nur IT Systeme betrachtet werden sondern es werden auch Systeme und Anlagen in der Produktion in die Betrachtung einbezogen. Das bedeutet auch operative Technologie (OT) muss betrachtet werden. In diesem Zusammenhang haben sich auch die Prüfziele des TISAX Assessments verändert.

  • Neue Label „high availability“ und „very high availability“ mit Bezug zur Verfügbarkeit werden eingeführt.
  • Neue Label „confidential“ und „strictly confidential“ mit Bezug zur Vertraulichkeit werden eingeführt.
  • Die neuen Label werden als zusätzliche TISAX-Label in der ENX-Plattform implementiert.
  • (Strictly) Confidential wird ab dem 01.04.2024 mit ISA 6.0 bewertbar sein
  • TISAX Info High und Info Very High decken die Anforderungen für beide Schutzziele vollständig ab
  • Ein aktuelles TISAX-Label „Info High“ und „Info Very High“ ist der Nachweis, dass sowohl die Vertraulichkeits- als auch die Verfügbarkeitsanforderungen erfüllt sind
  • Alle TISAX-Teilnehmer, die das TISAX-Label „Info High“ oder „Info Very High“ haben, erhalten automatisch auch „Avil High“ oder „Avil Very High“
  • Prototypenschutz kann eigenständig (ohne) Informationssicherheit geprüft werden.

Neuerungen im Anforderungskatalog

  • Entfernung der ISA 4-Kompatibilität (Spalten, Spider-Diagramm)
  • Fünf + eine zusätzliche Kontrollfrage (neu), um die aktualisierte Bedrohungslandschaft abzudecken und die Verfügbarkeit zu erhöhen
  • Update-Modul „Datenschutz“ (überarbeitete Anforderungen durch VDA AK Datenschutz)
  • Beispiele und Best-Practices für viele Controls als Implementierungs-Hilfestellung
  • Abgleich und Verweise auf ISA/IEC 62443-2 (OT-Sicherheit)
  • Zuordnung zu ISO27001:2023 und BSI-Grundschutz (vom deutschen BSI bereitgestellt)
  • Harmonisierung der Begriffe sowie Aktualisierung des Glossars
  • Referenzen auf das NIST CSF-Version 1.1
  • Es wird ein Fokus auf die IT-Verfügbarkeit von produktionsrelevanten Lieferanten gesetzt.
  • Die führende Sprache in ISA 6.0 ist Englisch.
  • Im Zweifelsfall wird die englische Fassung verwendet, um Unklarheiten im Falle einer ungenauen Übersetzung zu vermeiden.
  • Geplant sind zunächst Übersetzungen in Chinesisch, Französisch, Deutsch, Italienisch, Japanisch, Koreanisch, Portugiesisch und Spanisch.

Maßnahmen zur Erhöhung der Resilienz

Um den Schutz vor Angriffen insbesondere Ransomware-Angriffen zu stärken, wurden folgende Ergänzungen vorgenommen:.

  • Es wurde sichergestellt, dass alle relevanten Anforderungen der ISA/IEC 62443-2-1 („Security for industrial automation and Control systems: Security programme requirements for IACS asset owners“) durch die ISA abgedeckt sind.
  • Einige Anforderungen wurden hinzugefügt oder geändert, um sie mit dieser Norm in Einklang zu bringen.
  • In ISA 6.0 beziehen sich nun alle relevanten Kontrollfragen auch auf ISA/IEC 62443-2-1.
  • Darüber hinaus wurden wichtige Bereiche zur Verhinderung von Ransomware-Angriffen überarbeitet. Dazu gehört ein völlig neues Control 1.3.4. für die sichere Verwaltung von Software auf Clients sowie neue Anforderungen in den Controls 5.2.6. und 5.3.1.

Systeme zur Angriffserkennung

  • Da Angriffe nicht vollständig verhindert werden können, ist ein Konzept erforderlich, um die Auswirkungen eines erfolgreichen Angriffs zu verringern
  • Hier gilt es, so früh wie möglich zu erkennen, dass ein Angriff stattgefunden hat
  • Im Kern geht es darum, ein funktionierendes Meldesystem für Sicherheitsvorfälle einzurichten
  • Der neue Control 1.6.1. stellt zum einen sicher, dass Sie wissen, was zu melden ist, und zum anderen, dass angemessene Meldewege eingerichtet werden.

Reaktion auf Angriffe

  • Sobald ein erfolgreicher Angriff erkannt wurde, ist es wichtig, schnell und koordiniert zu reagieren.
  • Der neue Control 1.6.2. soll sicherstellen, dass Sicherheitsvorfälle auf organisierte, zeitnahe und professionelle Weise behandelt werden.
  • Die Organisation soll in die Lage versetzt werden, Muster komplexer fortgeschrittener Angriffe zu erkennen, die zunächst als isolierte Vorfälle auftreten.
  • Ein wichtiger Aspekt der Reaktion auf Vorfälle ist die rechtzeitige, angemessene und professionelle Kommunikation mit den betroffenen Organisationen und Lieferanten.
  • Eine gute Planung der Kontinuität von IT-Diensten kann die Auswirkungen von Angriffen erheblich verringern. Deshalb geht es in der neuen Kontrolle 5.2.8. um eine solche Planung. Dazu gehören nicht nur Redundanz und Unabhängigkeit von Schlüsselsystemen, sondern auch der Rückgriff auf den manuellen Betrieb, um wichtige Geschäftsprozesse aufrechtzuerhalten, wenn die entsprechende IT-Infrastruktur nicht verfügbar ist.
  • Im schlimmsten Fall führt ein Angriff zu einer so schwerwiegenden Störung der Geschäftsprozesse, so dass die regulären Unternehmensprozesse nicht ausreichen, um die Situation wieder unter Kontrolle zu bringen. In der ISA wird dieser Fall als Krise bezeichnet. Die neue Kontrolle 1.6.3. soll sicherstellen, dass die Organisation auf solche Krisensituationen angemessen vorbereitet ist.

Wiederherstellung

  • Stärkere Konzentration auf das Management der Geschäftskontinuität
  • Analyse der Auswirkungen auf das Geschäft
  • Besondere Aufbauorganisation (BAO)
  • Test von Plänen zur Geschäftskontinuität zum Wiederanlauf / Wiederherstellung

Änderungen im Datenschutzkatalog

  • Jedes Unternehmen mit Sitz in Europa und möglicherweise auch in Drittländern („Marktortprinzip“) muss die DSGVO einhalten.
  • Das Gleiche gilt für jede Organisation, die personenbezogene Daten im Auftrag einer anderen Organisation verarbeitet.
  • ISA und TISAX zielen nicht darauf ab, die Einhaltung von Gesetzen oder rechtlichen Anforderungen durchzusetzen.
  • Ziel ist es jedoch, die Organisationen bei der Erfüllung ihrer rechtlichen Anforderungen zu unterstützen und die damit verbundene zusätzliche Arbeitsbelastung zu verringern.
  • Ziel des Datenschutzkatalogs ist es daher, Unternehmen bei der Überprüfung der notwendigen Anforderungen an Datenverarbeiter zu unterstützen.
  • Der Datenschutzkatalog ergänzt den bestehenden Informationssicherheitskatalog um Anforderungen an die Datenverarbeiter.
  • ISA 6.0 enthält einen vollständig überarbeiteten Datenschutzkatalog, der Organisationen dabei unterstützt, sicherzustellen, dass ihre Datenverarbeiter die DSGVO einhalten.
Weiterlesen
Allgemein21. Juli 2020

EuGH-Urteil Privacy Shield unwirksam

Der EuGH (Schrems II-Urteils des EuGH (C-311/18)) hat in der letzten Woche ein Urteil zur Übermittlung von personenbezogenen Daten in die USA erlassen. In diesem hat er die sogenannte „Privacy Shield“-Regelung der EU-Kommission für unwirksam erklärt.

Weiterlesen
Allgemein18. Mai 2020

Themenblog „Homeoffice“

In unseren ersten Blogbeiträgen wollen wir zunächst auf das Thema Homeoffice eingehen, da dieses derzeit viele Unternehmen betrifft und Unsicherheiten mit sich bringt. Corona zwingt Unternehmen, sich mit diesem Thema auseinanderzusetzen und zu schauen, ob und wie sie Homeoffice effizient einsetzen können.

Weiterlesen