Home » News » Neue EU-Richtlinien NIS2 und RCE/CER

Neue EU-Richtlinien NIS2 und RCE/CER

Wie sie KRITIS und wichtige Einrichtungen in Europa stärken werden - Am 7. Dezember 2022 hat das deutsche Bundeskabinett „Eckpunkte für ein KRITIS-Dachgesetz“ vorgelegt. Dieses soll EU-Richtlinien wie aktuell NIS2 und RCE/CER sukzessive in nationales Recht umsetzen. Diese EU-Richtlinien regulieren kritische, wesentliche und wichtige Einrichtungen und Infrastrukturen in der Europäischen Union mit dem Ziel der Stärkung von Cybersicherheit, Resilienz und physischer Sicherheit. Sie richten sich an Kritische Infrastrukturen und andere essentielle und wichtige Unternehmen und Einrichtungen in der EU.

2 Min. Lesezeit
Blau-gelbe Europa-Flagge mit Daten im Hintergrund
Foto: ©AdobeStock/mixmagic

Die Europäische Union (EU) hat in den letzten Jahren ein verstärktes Interesse am Schutz kritischer Infrastrukturen (KRITIS) und anderer systemkritischer Unternehmen gezeigt, insbesondere aufgrund der veränderten geopolitischen Sicherheitslage. Dies hat dazu geführt, dass die Regulierung von KRITIS-Betreibern und anderen wichtigen Unternehmen in der EU in den nächsten Jahren deutlich weiterentwickelt und verschärft werden wird.

Es werden höhere Anforderungen an Technik und Organisation, niedrigere Schwellenwerte und andere Kriterien für die Betroffenheit, sowie verpflichtende Schutzstandards für die physische Sicherheit und Resilienz eingeführt werden. Hersteller und Vorlieferanten werden ebenfalls einbezogen, um die Vertrauenswürdigkeit und Sicherheit in der Lieferkette sicherzustellen.

Ein wichtiger Teil der neuen EU-Regulierungen sind die Richtlinien zur Netz- und Informationssicherheit (NIS2) sowie zur Resilienz kritischer Infrastrukturen (RCE – Resilience of critical entities = CER – Critical entities reslilience). Das Ziel dieser Richtlinien ist es nicht nur, die Cybersicherheit zu gewährleisten, sondern auch die Resilienz und die ganzheitliche Sicherheit inklusive der physischen Sicherheit von kritischen Infrastrukturen und anderen wichtigen Unternehmen zu fördern.

Um eine ganzheitliche KRITIS-Resilienz zu erreichen, müssen aus unserer Sicht drei Dimensionen von Resilienz beachtet werden: technische Sicherheit, geopolitische Sicherheit und physische Sicherheit. Dabei geht es darum, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die dem aktuellen Stand der Technik entsprechen.

Der rechtliche Regulierungsrahmen für die KRITIS-Cybersicherheit wird in Deutschland derzeit durch das IT-Sicherheitsgesetz 2.0 respektive das BSIG reguliert. In anderen EU-Ländern wird die Cybersecurity durch entsprechende Landesgesetze reguliert, welche die europäische NIS-Richtlinie in nationales Recht umsetzen. Ab 2023 soll in Deutschland ein KRITIS-Dachgesetz eingeführt werden, das neben der Cybersecurity auch die generelle Resilienz und speziell die physische Sicherheit von KRITIS-Sektoren reguliert.

Ihre Aufgaben als Unternehmen betreffen sowohl die Einhaltung der geltenden Gesetze als auch die Stärkung von Cybersecurity, Resilienz und physischer Sicherheit, wenn Ihr Unternehmen betroffen ist.

Entwicklung des Rechtsrahmens

EU-Mitgliedstaaten müssen die NIS2- und die RCE/CER-Richtlinien bis Oktober 2024 in nationales Recht umsetzen. In Deutschland wird dies voraussichtlich durch das IT-Sicherheitsgesetz 3.0 beziehungsweise das KRITIS-Dachgesetz erfolgen. Die EU-Regulierung ist jedoch sehr komplex und heterogen und schreit nach einer Harmonisierung. Die Regulierung betrifft vor allem die klassischen „Kern-KRITIS-Sektoren“ wie Energie, Wasser, ITK, Transport & Verkehr, Gesundheitswesen, Finanzwesen und Ernährung. Es gibt jedoch weitere essentielle, wichtige und systemkritische Unternehmen von öffentlichem Interesse für die nationale Sicherheit und Versorgungssicherheit.

Trotz einiger Überschneidungen und Abgrenzungsschwierigkeiten sind der Großteil der betroffenen Unternehmen dennoch klar definiert. Es bleiben jedoch viele Detail- und Umsetzungsfragen offen, die der jeweilige nationale Gesetzgeber beziehungsweise die zuständigen nationalen Behörden zu klären haben. Unternehmen sollten sich daher bereits heute auf die kommende EU-Regulierung (NIS2/RCE-Richtlinie) vorbereiten und ihre eigene Betroffenheit beziehungsweise die Betroffenheit ihrer Kunden prüfen. Des Weiteren sollten sie sich über die geltenden und durch NIS2/RCE bis 10/2024 geänderten oder neuen nationalen Gesetze für ihr EU-Land selbständig informieren und diese beachten. Bei eigener Betroffenheit sollten Unternehmen ihre Cybersecurity, Resilienz und physische Sicherheit (zum Beispiel durch Videoüberwachung) stärken.

(Dieser Beitrag wurde auf Basis eines Blog-Beitrags von Jürgen Seiler, Geschäftsführer der davidiT GmbH, dem Beratungsgeschäft von Dallmeier Group, verfasst.)

 

KRITIS Resilienzdreieck - Resilienzdachgesetz: Cyberresilienz, Physische Resilienz, Geopolitische Resilienz
Quelle: Dallmeier

Das KRITIS-Resilienzdreieck (mit begleitenden, landesspezifischen Gesetzen, welche die EU-Richtlinien wie NIS2 und RCE/CER in nationales Recht umsetzen)

 

Andere interessante News

Nahaufnahme von einem Fluchtplan und Rettungsweg

Klare Beschilderung der Flucht- und Rettungswege: Wartungsplaner im praktischen Einsatz

Lager gelten im Sicherheitsmanagement als Hochrisiko-Bereiche. Die aktuelle DGUV-Statistik zeigt, dass es über 86.000 meldepflichtige Unfälle im Lagerbereich gab, davon 60 tödliche. Um die Sicherheit der Mitarbeiter zu gewährleisten, sollten entsprechende Maßnahmen ergriffen werden.

Feuermelder

Die Schlüsselelemente einer Brandmeldeanlage

Für Neueinsteiger in die Brandmelde- und Sicherheitstechnik kann es herausfordernd sein, die Unterschiede und Schlüsselelemente von Brandmeldeanlagen und Brandmeldezentralen zu verstehen. Eine Zertifizierung nach DIN 14675 ist erforderlich, um automatische Früherkennungssysteme zu planen, zu installieren und zu warten. Dieser Beitrag erklärt die Grundlagen einer Brandmeldeanlage, die Zertifizierungsphasen und die Bedeutung von Schulungen.

Cybersecurity and information or network protection. Future technology web services for business and internet project

Report: Gefahr bei cyber-physischen Systemen in Industrie und Medizin

Laut einem neuen Bericht von Claroty werden 38 Prozent der gefährlichsten cyber-physischen Systeme von herkömmlichen Schwachstellenmanagement-Ansätzen übersehen. Lösungen, die sich nur auf den CVSS-Score stützen, konzentrieren sich auf zu viele unwichtige Schwachstellen und vernachlässigen dabei hochriskante Assets, was ein erhebliches Sicherheitsrisiko darstellt.