Am 28. November haben die Mitgliedstaaten der EU die Überarbeitung der Richtlinie zur Netz- und Informationssicherheit (NIS2) (EN, DE, FR) formell angenommen. Die Richtlinie wird vor Jahresende in Kraft treten, aber erst nach der Umsetzung der Richtlinie in nationales Recht durch die EU-Mitgliedstaaten bis September 2024 zur Anwendung kommen. Aus diesem Grund möchten wir euch hier über die bevorstehenden Änderungen und ihre Auswirkungen auf euren Cybersicherheitsbetrieb informieren.
Warum sollte euch das überhaupt interessieren?
- Die NIS2-Richtlinie legt in vielen für die Wirtschaft kritischen Sektoren neue Cybersicherheits-Verpflichtungen für Unternehmen fest.
- Alle 27 Mitgliedstaaten der EU müssen diese neuen Verpflichtungen bis September 2024 in ihrer jeweiligen nationalen Gesetzgebung umsetzen.
- Die neue Richtlinie sieht unter anderem eine striktere Meldepflicht für Vorfälle (mit der Übermittlung eines vorläufigen Meldeberichts innerhalb von 24 Stunden) und die Anwendung von Maßnahmen für das Cyberrisiko-Management vor.
- Bei Nichteinhaltung können hohe Geldbußen verhängt werden, und Führungskräften im Top-Management werden neue Verantwortlichkeiten im Cyberbereich übertragen. Zur Durchsetzung der Richtlinie gehören Maßnahmen wie Inspektionen vor Ort, Audits und sogar die vorübergehende Suspendierung bzw. der Ausschluss von Führungskräften.
Worum geht es bei der NIS-Richtlinie?
Im Jahr 2016 war die ursprüngliche NIS-Richtlinie das erste europäische Gesetz zum Thema Cybersicherheit. Sie verpflichtete die Mitgliedstaaten, Betreiber kritischer Dienste zu ermitteln und neue Cybersicherheitsverpflichtungen für sie einzuführen, speziell in Bezug auf die Meldung von Vorfällen. Vielleicht ist euch die NIS-Richtlinie als solche nicht bekannt, doch mit Sicherheit wisst ihr, wie eure nationale Regierung sie umgesetzt hat (z. B. durch die Identifizierung von "Operateurs de Services Essentiels" (OSE) in Frankreich oder KRITIS-Betreibern in Deutschland).
Die Richtlinie wurde in den Mitgliedstaaten jedoch uneinheitlich umgesetzt, was zu einer Zersplitterung führte, da manche Unternehmen in einigen Ländern als „kritischer Dienst“ eingestuft wurden, in anderen jedoch nicht. So lag beispielsweise die Zahl der ermittelten Dienste zwischen 12 und 87, und die Zahl der Betreiber reichte von 20 bis 10897. Dies veranlasste die Europäische Kommission, die NIS zu überarbeiten und die NIS2 zu erstellen. Die NIS2 definiert klarer, welche Unternehmen in den Bereich der kritischen Dienste fallen, und legt spezifische Anforderungen für diese Unternehmen fest.
Gilt die NIS2 für euch?
Im Gegensatz zur NIS-Richtlinie enthält die NIS2 eine klare Liste von Sektoren, die in den Geltungsbereich fallen, und legt fest, dass alle in diesen Sektoren tätigen Unternehmen automatisch als „kritische“ oder „wichtige“ Unternehmen gelten, wenn sie mehr als 250 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 50 Millionen Euro und/oder eine Jahresbilanz von über 43 Millionen Euro aufweisen. Für kritische und wichtige Unternehmen gelten dieselben Verpflichtungen, doch bei wichtigen Unternehmen sind die Durchsetzungsmaßnahmen weniger streng.
Die Richtlinie deckt die üblichen Sektoren ab (Energieinfrastruktur, Flughäfen, Eisenbahnen, Gesundheitswesen, Wasserwirtschaft, Bankwesen). Es gibt aber auch eine weiter gefasste Liste, die Cloud-Anbieter, Rechenzentren, öffentliche elektronische Kommunikationsnetze, Managed Service-Provider, Postdienste, Lebensmittelproduktion, Abwasser- und Abfallwirtschaft, chemische Produktion, Raumfahrt und mehr umfasst. Die NIS2 erstreckt sich auch auf öffentliche Verwaltungseinrichtungen auf zentraler und regionaler Ebene, klammert jedoch Parlamente und Zentralbanken aus. Guillaume Poupard, Leiter der ANSSI in Frankreich, schätzt, dass die NIS2 zehnmal mehr Sektoren als die NIS-Richtlinie erfasst.
Die Mitgliedstaaten können selbst auch Einrichtungen in ihre nationale Liste aufnehmen, z. B. lokale Behörden, Bildungseinrichtungen und Unternehmen, die zwar unter der Größenschwelle liegen, aber trotzdem als kritisch für das Land gelten. Die nationalen Regierungen entscheiden darüber zu einem späteren Zeitpunkt, da sie nach dem Inkrafttreten der Richtlinie 27 Monate Zeit haben, um ihre Liste der kritischen und wichtigen Einrichtungen zu erstellen (also bis März bzw. April 2025).
Welche neuen Verpflichtungen sieht die NIS2-Richtlinie vor?
Eine der größten Änderungen im Rahmen der NIS2-Richtlinie betrifft die Meldepflicht für Vorfälle.
Im Rahmen der NIS2 müssen „signifikante“ Vorfälle innerhalb von 24 Stunden gemeldet werden. Zur Vermeidung unterschiedlicher Definitionen und Schwellenwerte in den einzelnen Mitgliedstaaten wird die Europäische Kommission Fälle definieren, in denen ein Vorfall als „signifikant“ gilt, wobei wahrscheinlich dennoch einiger Interpretationsspielraum bleibt.
Kürzere Fristen
Kritische und wichtige Einrichtungen müssen Vorfälle an ihre nationalen CSIRTs (Computer Security Incident Response Teams) oder die zuständigen Behörden melden. Die NIS2 legt einen dreistufigen Prozess für die Meldefristen fest:
- Innerhalb von 24 Stunden „nach Bekanntwerden eines Vorfalls“ muss ein vorläufiger Bericht übermittelt werden.
- Darauf muss innerhalb von 72 Stunden ein vollständiger Bericht folgen, einschließlich einer ersten Vorfallsbewertung;
- Innerhalb eines Monats nach der Meldung des Vorfalls ist ein Abschlussbericht vorzulegen, der eine detaillierte Beschreibung des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.
Diese Fristen sind ziemlich knapp, doch Splunk hilft Sicherheits- und IT-Teams, sie mittels Früherkennungs- und automatisierter Prozesse einzuhalten. Das Security Operations-Team von .italo, einem Anbieter für kritische Infrastruktur (öffentlicher Verkehr) in Italien, verwendet beispielsweise Splunk mit Splunk Enterprise Security zur frühzeitigen Erkennung von Sicherheitsproblemen und deren Untersuchung sowie zur Unterstützung der Reaktion auf eventuelle Probleme. Durch die Zentralisierung aller Audit-Daten und die Möglichkeit, über die leistungsstarke Search Processing Language (SPL) von Splunk im Nachhinein Fragestellungen zu beantworten, können SecOps-Teams innerhalb von Tagen anstatt Wochen eine Post-Mortem-Analyse und einen vollständigen Bericht erstellen.
Die NIS2 sieht zudem vor, dass Einrichtungen, die unter die Richtlinie fallen, eine Liste von Maßnahmen für das Risikomanagement
in die Praxis umsetzen müssen.
Die folgende Liste enthält Mindestanforderungen, das heißt, Unternehmen müssen in jedem dieser Bereiche eine Risikomanagementmaßnahme realisieren:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme;
- Incident-Handling;
- Business Continuity, wie Backup-Management und Disaster Recovery, sowie Krisenmanagement;
- Sicherheit der Lieferkette einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Entitäten und ihren direkten Lieferanten oder Serviceanbietern;
- Grundlegende Computerhygiene-Praktiken und Schulungen zu Cybersicherheit;
- Richtlinien und Verfahren für die Verwendung von Kryptografie und gegebenenfalls Verschlüsselung;
- Personalsicherheit, Zugangskontrollrichtlinien und Asset-Management
Wie kann Splunk hier helfen?
Splunk kann euch die Einführung von Kryptografie- oder Sicherheitsrichtlinien in euren Unternehmen zwar nicht abnehmen, es ist jedoch enorm wichtig, überwachen zu können, ob diese Maßnahmen wie erwartet funktionieren, wenn sie einmal eingerichtet wurden. Splunk hat seine Erfahrung in vielen dieser Bereiche schon eindrücklich bewiesen und bietet beispielsweise folgende Möglichkeiten:
- Bereitstellen der erforderlichen Daten zur Verbesserung von Incident-Handling und Response für alle relevanten Benutzer zum richtigen Zeitpunkt. Damit kann der laut NIS2 geforderten 24-Stunden-Meldepflicht bei Vorfällen nachgekommen werden und die Effizienz der Kernursachenanalyse für den innerhalb von 72 Stunden vorzulegenden Bericht gesteigert werden;
- Sammeln und Analysieren von Daten zu Sicherheits-Incidents und Risiken in Echtzeit, angereichert mit einer dynamischen Risikobewertung zur besseren Priorisierung von Incidents;
- Schneller Überblick über die Verfügbarkeit kritischer Services, Einsatz von Daten zur Ermittlung der Kernursache von Ausfällen und Zusammenarbeit mit Operations-Teams bei der Incident-Behebung;
- Schnellere Erkennung von Cyberangriffen zu einem früheren Zeitpunkt in der Angriffskette durch Erkennungsmethoden auf der Basis von Regeln, fortschrittlichen Statistiken und Machine Learning, dank der Angriffe zu „Beinahe-Vorfällen“ anstelle von „schweren Cybersicherheits-Incidents“ werden;
- Nutzen effizienter Detection Engineering-Praktiken und schnellere Einführung neuer Erkennungsverfahren in der Produktion, um die Abdeckung und Sichtbarkeit rasch zu verbessern;
- Einrichten einer (halb-)automatisierten Plattform zur Verknüpfung einzelner Tools für Cybersicherheit, um Engpässe zu beseitigen, teamübergreifende Aktivitäten zu synchronisieren und die Effizienz zu steigern;
- Verwenden von Bedrohungsdaten, um relevante Sicherheitsdaten zu nutzen und mit staatlichen Einrichtungen, Lieferanten und Branchenkollegen zu teilen;
- Audit-Prüfungen des Datenzugangs, selbst über große Datenvolumen hinweg, um sicherzustellen, dass die Richtlinien funktionieren und der Umgang mit Daten sicher und regelkonform erfolgt;
- Monitoring der Patch-Level, Durchführen einer Bestandsaufnahme und Überprüfen der Implementierung von Cyberhygiene-Richtlinien, um Risiken nachzuverfolgen und leichten Zugriff auf Sicherheitsinformationen für regelmäßige Überprüfungen und ad-hoc Compliance-Anforderungen zu geben;
- Aufbau von Fertigkeiten und ausgereiften Praktiken mit der Erweiterbarkeit und Interoperabilität von Splunk, die auf unserer Nutzung offener Standards wie Open Cybersecurity Schema Framework (OCSF) und OpenTelemetry (OTel) beruht.
Darüber hinaus bietet Splunk eine kostenlose Version und kostenlose Online-Schulungen für Klein- und Kleinstunternehmen an, um Logging-Möglichkeiten bereitzustellen.
Gilt die NIS2 auch für UK?
Die NIS2 gilt nicht für das Vereinigte Königreich. Die britische Regierung überprüft derzeit jedoch die Wirksamkeit der NIS-Verordnungen von 2018, die zur Umsetzung der ursprünglichen NIS-Richtlinie eingeführt worden waren. Bei den jüngsten Gesprächen der Beteiligten wurden Bereiche mit Verbesserungspotenzial ermittelt, und es sind Gesetze geplant, die die NIS-Vorschriften zukunftssicher machen sollen. Im Zuge der anstehenden Änderungen könnte das Vereinigte Königreich eine sektorspezifische Ausweitung in Betracht ziehen und „die bestehenden Meldepflichten für Vorfälle, die sich derzeit auf Vorfälle mit Service-Auswirkungen beschränken, auch auf andere signifikante Incidents ausweiten“.
Nächste Schritte
Die Staatsregierungen müssen bis September 2024 nationale Gesetze verabschieden, um die Verpflichtungen der EU-Richtlinie zu erfüllen. Viele Unternehmen befassen sich bereits jetzt mit der Erfüllung der Anforderungen, um für diesen Termin gerüstet zu sein.
Splunk wird die Umsetzung der NIS2-Richtlinie durch die nationalen Regierungen verfolgen, um mögliche Unterschiede bei der Implementierung zu erkennen und seine Kunden vor Ort weiterhin zu unterstützen.
Bleibt am Ball – wir halten euch über Neuigkeiten in puncto NIS2-Implementierung auf dem Laufenden. Und schaut euch auch das aufgezeichnete Kamingespräch mit unseren Splunk-Experten an.
Unser besonderer Dank geht an Clara Lemaire und Matthias Maier für die Zusammenarbeit bei der Erstellung dieses Blog-Beitrags.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
