Am 28. November haben die Mitgliedstaaten der EU die Überarbeitung der Richtlinie zur Netz- und Informationssicherheit (NIS2) (EN, DE, FR) formell angenommen. Die Richtlinie wird vor Jahresende in Kraft treten, aber erst nach der Umsetzung der Richtlinie in nationales Recht durch die EU-Mitgliedstaaten bis September 2024 zur Anwendung kommen. Aus diesem Grund möchten wir euch hier über die bevorstehenden Änderungen und ihre Auswirkungen auf euren Cybersicherheitsbetrieb informieren.
Im Jahr 2016 war die ursprüngliche NIS-Richtlinie das erste europäische Gesetz zum Thema Cybersicherheit. Sie verpflichtete die Mitgliedstaaten, Betreiber kritischer Dienste zu ermitteln und neue Cybersicherheitsverpflichtungen für sie einzuführen, speziell in Bezug auf die Meldung von Vorfällen. Vielleicht ist euch die NIS-Richtlinie als solche nicht bekannt, doch mit Sicherheit wisst ihr, wie eure nationale Regierung sie umgesetzt hat (z. B. durch die Identifizierung von "Operateurs de Services Essentiels" (OSE) in Frankreich oder KRITIS-Betreibern in Deutschland).
Die Richtlinie wurde in den Mitgliedstaaten jedoch uneinheitlich umgesetzt, was zu einer Zersplitterung führte, da manche Unternehmen in einigen Ländern als „kritischer Dienst“ eingestuft wurden, in anderen jedoch nicht. So lag beispielsweise die Zahl der ermittelten Dienste zwischen 12 und 87, und die Zahl der Betreiber reichte von 20 bis 10897. Dies veranlasste die Europäische Kommission, die NIS zu überarbeiten und die NIS2 zu erstellen. Die NIS2 definiert klarer, welche Unternehmen in den Bereich der kritischen Dienste fallen, und legt spezifische Anforderungen für diese Unternehmen fest.
Im Gegensatz zur NIS-Richtlinie enthält die NIS2 eine klare Liste von Sektoren, die in den Geltungsbereich fallen, und legt fest, dass alle in diesen Sektoren tätigen Unternehmen automatisch als „kritische“ oder „wichtige“ Unternehmen gelten, wenn sie mehr als 250 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 50 Millionen Euro und/oder eine Jahresbilanz von über 43 Millionen Euro aufweisen. Für kritische und wichtige Unternehmen gelten dieselben Verpflichtungen, doch bei wichtigen Unternehmen sind die Durchsetzungsmaßnahmen weniger streng.
Die Richtlinie deckt die üblichen Sektoren ab (Energieinfrastruktur, Flughäfen, Eisenbahnen, Gesundheitswesen, Wasserwirtschaft, Bankwesen). Es gibt aber auch eine weiter gefasste Liste, die Cloud-Anbieter, Rechenzentren, öffentliche elektronische Kommunikationsnetze, Managed Service-Provider, Postdienste, Lebensmittelproduktion, Abwasser- und Abfallwirtschaft, chemische Produktion, Raumfahrt und mehr umfasst. Die NIS2 erstreckt sich auch auf öffentliche Verwaltungseinrichtungen auf zentraler und regionaler Ebene, klammert jedoch Parlamente und Zentralbanken aus. Guillaume Poupard, Leiter der ANSSI in Frankreich, schätzt, dass die NIS2 zehnmal mehr Sektoren als die NIS-Richtlinie erfasst.
Die Mitgliedstaaten können selbst auch Einrichtungen in ihre nationale Liste aufnehmen, z. B. lokale Behörden, Bildungseinrichtungen und Unternehmen, die zwar unter der Größenschwelle liegen, aber trotzdem als kritisch für das Land gelten. Die nationalen Regierungen entscheiden darüber zu einem späteren Zeitpunkt, da sie nach dem Inkrafttreten der Richtlinie 27 Monate Zeit haben, um ihre Liste der kritischen und wichtigen Einrichtungen zu erstellen (also bis März bzw. April 2025).
Eine der größten Änderungen im Rahmen der NIS2-Richtlinie betrifft die Meldepflicht für Vorfälle.
Im Rahmen der NIS2 müssen „signifikante“ Vorfälle innerhalb von 24 Stunden gemeldet werden. Zur Vermeidung unterschiedlicher Definitionen und Schwellenwerte in den einzelnen Mitgliedstaaten wird die Europäische Kommission Fälle definieren, in denen ein Vorfall als „signifikant“ gilt, wobei wahrscheinlich dennoch einiger Interpretationsspielraum bleibt.
Kürzere Fristen
Kritische und wichtige Einrichtungen müssen Vorfälle an ihre nationalen CSIRTs (Computer Security Incident Response Teams) oder die zuständigen Behörden melden. Die NIS2 legt einen dreistufigen Prozess für die Meldefristen fest:
Diese Fristen sind ziemlich knapp, doch Splunk hilft Sicherheits- und IT-Teams, sie mittels Früherkennungs- und automatisierter Prozesse einzuhalten. Das Security Operations-Team von .italo, einem Anbieter für kritische Infrastruktur (öffentlicher Verkehr) in Italien, verwendet beispielsweise Splunk mit Splunk Enterprise Security zur frühzeitigen Erkennung von Sicherheitsproblemen und deren Untersuchung sowie zur Unterstützung der Reaktion auf eventuelle Probleme. Durch die Zentralisierung aller Audit-Daten und die Möglichkeit, über die leistungsstarke Search Processing Language (SPL) von Splunk im Nachhinein Fragestellungen zu beantworten, können SecOps-Teams innerhalb von Tagen anstatt Wochen eine Post-Mortem-Analyse und einen vollständigen Bericht erstellen.
Die NIS2 sieht zudem vor, dass Einrichtungen, die unter die Richtlinie fallen, eine Liste von Maßnahmen für das Risikomanagement in die Praxis umsetzen müssen.
Die folgende Liste enthält Mindestanforderungen, das heißt, Unternehmen müssen in jedem dieser Bereiche eine Risikomanagementmaßnahme realisieren:
Splunk kann euch die Einführung von Kryptografie- oder Sicherheitsrichtlinien in euren Unternehmen zwar nicht abnehmen, es ist jedoch enorm wichtig, überwachen zu können, ob diese Maßnahmen wie erwartet funktionieren, wenn sie einmal eingerichtet wurden. Splunk hat seine Erfahrung in vielen dieser Bereiche schon eindrücklich bewiesen und bietet beispielsweise folgende Möglichkeiten:
Darüber hinaus bietet Splunk eine kostenlose Version und kostenlose Online-Schulungen für Klein- und Kleinstunternehmen an, um Logging-Möglichkeiten bereitzustellen.
Die NIS2 gilt nicht für das Vereinigte Königreich. Die britische Regierung überprüft derzeit jedoch die Wirksamkeit der NIS-Verordnungen von 2018, die zur Umsetzung der ursprünglichen NIS-Richtlinie eingeführt worden waren. Bei den jüngsten Gesprächen der Beteiligten wurden Bereiche mit Verbesserungspotenzial ermittelt, und es sind Gesetze geplant, die die NIS-Vorschriften zukunftssicher machen sollen. Im Zuge der anstehenden Änderungen könnte das Vereinigte Königreich eine sektorspezifische Ausweitung in Betracht ziehen und „die bestehenden Meldepflichten für Vorfälle, die sich derzeit auf Vorfälle mit Service-Auswirkungen beschränken, auch auf andere signifikante Incidents ausweiten“.
Die Staatsregierungen müssen bis September 2024 nationale Gesetze verabschieden, um die Verpflichtungen der EU-Richtlinie zu erfüllen. Viele Unternehmen befassen sich bereits jetzt mit der Erfüllung der Anforderungen, um für diesen Termin gerüstet zu sein.
Splunk wird die Umsetzung der NIS2-Richtlinie durch die nationalen Regierungen verfolgen, um mögliche Unterschiede bei der Implementierung zu erkennen und seine Kunden vor Ort weiterhin zu unterstützen.
Bleibt am Ball – wir halten euch über Neuigkeiten in puncto NIS2-Implementierung auf dem Laufenden. Und schaut euch auch das aufgezeichnete Kamingespräch mit unseren Splunk-Experten an.
Unser besonderer Dank geht an Clara Lemaire und Matthias Maier für die Zusammenarbeit bei der Erstellung dieses Blog-Beitrags.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.