Home » News » Neue EU-Richtlinien NIS2 und RCE/CER

Neue EU-Richtlinien NIS2 und RCE/CER

Wie sie KRITIS und wichtige Einrichtungen in Europa stärken werden - Am 7. Dezember 2022 hat das deutsche Bundeskabinett „Eckpunkte für ein KRITIS-Dachgesetz“ vorgelegt. Dieses soll EU-Richtlinien wie aktuell NIS2 und RCE/CER sukzessive in nationales Recht umsetzen. Diese EU-Richtlinien regulieren kritische, wesentliche und wichtige Einrichtungen und Infrastrukturen in der Europäischen Union mit dem Ziel der Stärkung von Cybersicherheit, Resilienz und physischer Sicherheit. Sie richten sich an Kritische Infrastrukturen und andere essentielle und wichtige Unternehmen und Einrichtungen in der EU.

2 Min. Lesezeit
Blau-gelbe Europa-Flagge mit Daten im Hintergrund
Foto: ©AdobeStock/mixmagic

Die Europäische Union (EU) hat in den letzten Jahren ein verstärktes Interesse am Schutz kritischer Infrastrukturen (KRITIS) und anderer systemkritischer Unternehmen gezeigt, insbesondere aufgrund der veränderten geopolitischen Sicherheitslage. Dies hat dazu geführt, dass die Regulierung von KRITIS-Betreibern und anderen wichtigen Unternehmen in der EU in den nächsten Jahren deutlich weiterentwickelt und verschärft werden wird.

Es werden höhere Anforderungen an Technik und Organisation, niedrigere Schwellenwerte und andere Kriterien für die Betroffenheit, sowie verpflichtende Schutzstandards für die physische Sicherheit und Resilienz eingeführt werden. Hersteller und Vorlieferanten werden ebenfalls einbezogen, um die Vertrauenswürdigkeit und Sicherheit in der Lieferkette sicherzustellen.

Ein wichtiger Teil der neuen EU-Regulierungen sind die Richtlinien zur Netz- und Informationssicherheit (NIS2) sowie zur Resilienz kritischer Infrastrukturen (RCE – Resilience of critical entities = CER – Critical entities reslilience). Das Ziel dieser Richtlinien ist es nicht nur, die Cybersicherheit zu gewährleisten, sondern auch die Resilienz und die ganzheitliche Sicherheit inklusive der physischen Sicherheit von kritischen Infrastrukturen und anderen wichtigen Unternehmen zu fördern.

Um eine ganzheitliche KRITIS-Resilienz zu erreichen, müssen aus unserer Sicht drei Dimensionen von Resilienz beachtet werden: technische Sicherheit, geopolitische Sicherheit und physische Sicherheit. Dabei geht es darum, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die dem aktuellen Stand der Technik entsprechen.

Der rechtliche Regulierungsrahmen für die KRITIS-Cybersicherheit wird in Deutschland derzeit durch das IT-Sicherheitsgesetz 2.0 respektive das BSIG reguliert. In anderen EU-Ländern wird die Cybersecurity durch entsprechende Landesgesetze reguliert, welche die europäische NIS-Richtlinie in nationales Recht umsetzen. Ab 2023 soll in Deutschland ein KRITIS-Dachgesetz eingeführt werden, das neben der Cybersecurity auch die generelle Resilienz und speziell die physische Sicherheit von KRITIS-Sektoren reguliert.

Ihre Aufgaben als Unternehmen betreffen sowohl die Einhaltung der geltenden Gesetze als auch die Stärkung von Cybersecurity, Resilienz und physischer Sicherheit, wenn Ihr Unternehmen betroffen ist.

Entwicklung des Rechtsrahmens

EU-Mitgliedstaaten müssen die NIS2- und die RCE/CER-Richtlinien bis Oktober 2024 in nationales Recht umsetzen. In Deutschland wird dies voraussichtlich durch das IT-Sicherheitsgesetz 3.0 beziehungsweise das KRITIS-Dachgesetz erfolgen. Die EU-Regulierung ist jedoch sehr komplex und heterogen und schreit nach einer Harmonisierung. Die Regulierung betrifft vor allem die klassischen „Kern-KRITIS-Sektoren“ wie Energie, Wasser, ITK, Transport & Verkehr, Gesundheitswesen, Finanzwesen und Ernährung. Es gibt jedoch weitere essentielle, wichtige und systemkritische Unternehmen von öffentlichem Interesse für die nationale Sicherheit und Versorgungssicherheit.

Trotz einiger Überschneidungen und Abgrenzungsschwierigkeiten sind der Großteil der betroffenen Unternehmen dennoch klar definiert. Es bleiben jedoch viele Detail- und Umsetzungsfragen offen, die der jeweilige nationale Gesetzgeber beziehungsweise die zuständigen nationalen Behörden zu klären haben. Unternehmen sollten sich daher bereits heute auf die kommende EU-Regulierung (NIS2/RCE-Richtlinie) vorbereiten und ihre eigene Betroffenheit beziehungsweise die Betroffenheit ihrer Kunden prüfen. Des Weiteren sollten sie sich über die geltenden und durch NIS2/RCE bis 10/2024 geänderten oder neuen nationalen Gesetze für ihr EU-Land selbständig informieren und diese beachten. Bei eigener Betroffenheit sollten Unternehmen ihre Cybersecurity, Resilienz und physische Sicherheit (zum Beispiel durch Videoüberwachung) stärken.

(Dieser Beitrag wurde auf Basis eines Blog-Beitrags von Jürgen Seiler, Geschäftsführer der davidiT GmbH, dem Beratungsgeschäft von Dallmeier Group, verfasst.)

 

KRITIS Resilienzdreieck - Resilienzdachgesetz: Cyberresilienz, Physische Resilienz, Geopolitische Resilienz
Quelle: Dallmeier

Das KRITIS-Resilienzdreieck (mit begleitenden, landesspezifischen Gesetzen, welche die EU-Richtlinien wie NIS2 und RCE/CER in nationales Recht umsetzen)

 

Andere interessante News

Funkmast

GroupAlarm erhält wichtige Zertifizierungen, darunter ISO 27001

Die Alarmierungssoftware GroupAlarm hat wichtige Sicherheitsprüfungen bestanden. Sie erfüllt die Mindestanforderungen des BSI aus dem Cloud Computing Compliance Criteria Catalogue (C5), ist gemäß den Service Organization Control 2 (SOC 2 Controls) zertifiziert und entspricht der internationalen Norm ISO/IEC 27001:2013. Die Zertifizierungen wurden von unabhängigen Prüfungsstellen wie dem TÜV Rheinland und der Wirtschaftsprüfungsgesellschaft HKKG aus Köln durchgeführt.

Bundesamt für Verfassungsschutz

Dr. Silke Willems als neue Vizepräsidentin des Bundesamts für Verfassungsschutz vorgeschlagen

In einer wichtigen Personalentscheidung hat Bundesinnenministerin Nancy Faeser angekündigt, Dr. Silke Willems als Vizepräsidentin des Bundesamts für Verfassungsschutz (BfV) vorzuschlagen. Diese Ernennung wird notwendig, nachdem die bisherige Vizepräsidentin Dr. Felor Badenberg zur Justizsenatorin des Landes Berlin berufen wurde.

ATP

Warum APT-Angriffe auf Unternehmen so erfolgreich sind

Menschliche Fehler, unzureichende Sicherheitsmaßnahmen für OT-Netzwerke sowie Probleme mit Updates und der Konfiguration von Cybersicherheitslösungen ermöglichen erfolgreiche Operationen von Advanced Persistent Threats (APT) in Industrieunternehmensnetzwerken. Um Unternehmen bei der Abwehr dieser Bedrohungen zu unterstützen und sicherzustellen, dass bewährte Verfahren umgesetzt werden, hat das Expertenteam des Kaspersky ICS CERT eine Liste der häufigsten Probleme und Gründe für APT-Angriffe zusammengestellt.