EU NIS-2: Stärkung der Cybersicherheit für Kritische Infrastrukturen

 

  1. Anforderungen und Umsetzung von Maßnahmen zur Cybersicherheit für besonders wichtige Betreiber
  2. Netzwerksicherheit: Schlüsselkomponenten für eine umfassende IT-Sicherheitsstrategie gem. NIS2
  3. Initiativen der Informationssicherheitsrichtlinie (NIS) für Cybersicherheit
  4. Ziele, Zweck und Kontrollmaßnahmen der EU NIS-2 Directive und des IT-Sicherheitsgesetzes
  5. Compliance der Network-Information-Security (NIS) Directive für die Infrastructure Resilience
  6. IT-Sicherheitsanforderungen und Cyber Security Best Practices von NIS2
  7. IT-Sicherheitsgesetz 3.0 in Deutschland vs. EU-Cybersicherheitsrichtlinie
  8. Die Reinigung, primär Services zur Sauberkeit der physischen Netzwerk-Umgebung ist unser Beitrag zur IT-Security

 

Anforderungen und Umsetzung von Maßnahmen zur Cybersicherheit für besonders wichtige Betreiber

NIS-2 oder NIS2 steht für "Network Information Security Directive 2" und ist eine EU-Richtlinie, die Security- und Sicherheitsstandards für Informationssysteme von Behörden, Einrichtungen und Unternehmen in der Europäischen Union festlegt. Sie baut auf der vorherigen NIS-Richtlinie auf und zielt darauf ab, die Cybersicherheit in kritischen Unternehmen wie Energie, Verkehr, Gesundheit und Finanzen zu verbessern. NIS-2 beinhaltet Maßnahmen zur Erhöhung der Widerstandsfähigkeit gegen Cyberangriffen sowie zur Meldung und Bewältigung von Sicherheitsvorfällen. NIS-2 ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in kritischen Infrastrukturen wie Energie, Verkehr, Gesundheit und Finanzen zu stärken. Sie legt Sicherheitsstandards für Netzwerk- Technology fest und umfasst Methoden zur Erhöhung der Widerstandsfähigkeit gegenüber Cyberangriffen sowie zur Meldung und Bewältigung von Vorfällen.

Die NIS2-Richtlinie ist eine EU-Vorschrift, die darauf abzielt, die Cybersicherheit kritischer Einrichtungen in der Europäischen Union zu verstärken und Sicherheitsstandards gegen Bedrohungen und Risiken für Informationssysteme festzulegen. Die NIS-2-Richtlinie betrifft Unternehmen, Einrichtungen, Betreiber von Infrastruktur, Anlagen, Informationen und Diensten und legt Sicherheitsstandards für Einrichtungen kritischer Sektoren der Mitgliedstaaten fest. NIS-2 legt Anforderungen und Vorgehensweisen zur Cybersicherheit für besonders wichtige Betreiber von kritischen Infrastrukturen fest. Diese Richtlinie zielt darauf ab, die Widerstandsfähigkeit gegen Cyberangriffen zu erhöhen und Sicherheitsvorfälle effektiv zu bewältigen. Die Umsetzung dieser Interventionen soll dazu beitragen, die Integrität, Vertraulichkeit und Verfügbarkeit von Informationssystemen zu gewährleisten.

Die NIS-2-Richtlinie, auch bekannt als NIS2-Direktive, bezieht sich auf eine EU-Vorschrift, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu stärken. Sie legt Standards und Anforderungen für Telekommunikations- und Informationstechnik von Einrichtungen, Unternehmen und Verwaltung fest, insbesondere für kritische Sektoren. Die NIS2-Umsetzung bezieht sich auf die konkreten Schritte, die von den Mitgliedstaaten unternommen werden, um die Bestimmungen dieser Richtlinie in nationales Recht zu überführen und sie in der Praxis umzusetzen. Dies umfasst die Festlegung von Regeln, Verfahren und Mechanismen zur Verbesserung der Cybersicherheit und zur Bewältigung von Cyberbedrohungen.

 

Netzwerksicherheit: Schlüsselkomponenten für eine umfassende IT-Sicherheitsstrategie gem. NIS2

Die NIS2 Security Richtlinie (Directive) unterstützt die Zusammenarbeit zwischen Behörden und wichtigen Sektoren, um die Sicherheit (Security) digitaler Infrastruktur und Dienste, im öffentlichen Sektor sowie kritischer Unternehmen, Einrichtungen und Anlagen zu gewährleisten, wobei die Umsetzung hoher Sicherheitsstandards und die Bewältigung digitaler Auswirkungen auf die Lieferkette von entscheidender Bedeutung sind. Netzwerksicherheit bildet eine entscheidende Komponente einer umfassenden IT-Sicherheitsstrategie gemäß den Anforderungen der NIS2-Richtlinie.

Zu den NIS Schlüsselkomponenten gehören robuste Firewall-Systeme zur Absicherung von Netzwerkperimetern, Intrusion Detection und Prevention Systeme (IDS/IPS) zur Echtzeit-Erkennung und Abwehr von Angriffen, regelmäßige Schwachstellen-Scans und Patch-Management, Zugangskontrollen und Authentifizierungsmechanismen, Verschlüsselung für die Sicherung von Datenübertragungen sowie umfassende Sicherheitsrichtlinien und Schulungen für Mitarbeiter. Diese Aktionen tragen dazu bei, die Widerstandsfähigkeit des Netzwerks gegenüber Cyberbedrohungen zu erhöhen und potenzielle Sicherheitsrisiken zu mindern. Auch der Mittelstand ist durch die Digitalisierung betroffen, daher ist eine Awareness für das neue Gesetz und Pflichten in allen Branchen wichtig, unterstützt durch digitale Informationen und Support.

 

Initiativen der Informationssicherheitsrichtlinie (NIS) für Cybersicherheit

Cybersecurity bezeichnet den Schutz von Computersystemen, Daten und Services vor Cyberangriffen und unbefugtem Zugriff. Initiativen der Informationssicherheitsrichtlinie (NIS2) für Cybersicherheit umfassen die Festlegung von Standards und Vorgaben in Unternehmen, Verwaltung und Einrichtungen, um Informationstechnologie vor Cyberbedrohungen zu schützen. Dazu gehören unter anderem die Implementierung von Firewalls, Intrusion Detection und Prevention Systemen (IDS/IPS), regelmäßige Schwachstellen-Scans, Zugangskontrollen, Verschlüsselungstechnologien und Sicherheitsrichtlinien für Mitarbeiter. Diese Handlungen dienen dazu, die Integrität, Vertraulichkeit und Verfügbarkeit von Daten und Systemen zu gewährleisten und potenzielle Sicherheitsrisiken zu minimieren.

 

Ziele, Zweck und Kontrollmaßnahmen der EU NIS-2 Directive und des IT-Sicherheitsgesetzes

Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) betrifft kritische Infrastrukturen und stellt sicher, dass das Cybersicherheitsniveau für Netzwerke, Lieferketten und Dienste auf hohem Niveau liegt, wobei Behörden, Verwaltung und Institutionen zusammenarbeiten, um wesentliche Lösungen für die Betroffenheit von Endpoint, Cloud und Netzwerken zu unterstützen. Die NIS2-Sicherheitsrichtlinie (NIS2 Directive) setzt ausgesprochen klare NIS-2-Standards für verschiedene KRITIS-Sektoren für durchschlagende und robuste Cybersecurity und Informationssicherheit. Die EUR NIS 2-Richtlinie verfolgt mehrere NIS-Ziele und Vorbeugungsmaßnahmen, die darauf abzielen, den Informationsschutz zu festigen, die Reaktionsfähigkeit auf Cyberrisiken zu verbessern und die Kerninfrastruktur im Euroraum zu bewahren.

Das NIS2-Umsetzungsgesetz unterstützt die Sicherheit, Stabilität und Wettbewerbsfähigkeit der EU auf globaler Ebene. Die NIS2-Vorgaben, unter Leitung des Bundesinnenministeriums, setzen mit NIS2 unumgängliche Anforderungen und Normen zur Netzwerk-Abwehr von Cyber-Angriffen und kräftigen die NIS-2-Absicherung digitaler Anlagen. Die Security-Vorgaben gelten für große Unternehmen und für kleine Betriebseinheiten, wodurch eine umfassende Cyberresilienz in allen Segmenten gewährleistet ist. Die implementierten Aktivitäten verordnen hohe NIS-Pflichten für notwendige Solutions der KRITIS. Die Einsetzung der Cyber-Vorgaben erfolgt im Kontext des BSIG und IT-Sicherheitsgesetz und beinhaltet auch die Einführung von Internetsicherheitszertifizierungen für Resilienzinfrastrukturen und Anlagen. Dadurch ist eine umfassende Sicherheitsinfrastruktur geschaffen, um die Infrastrukturen-Widerstandsfähigkeit gegenüber Cyberangriffe zu intensivieren und die IT-Landschaft insgesamt sicherer zu machen.

 

Compliance der Network-Information-Security (NIS) Directive für die Infrastructure Resilience

Zu den Hauptzielen und Zwecken der Network Information Security Directive (NIS-2-Richtlinie, NIS2) für Infrastructure Resilience gehören:

Die NIS2 Regel soll umsetzen, dass KRITIS-Verantwortliche angemessenes Risikomanagement ergreifen, um Einheiten und Files vor Internetattacken zu bewahren. Mit der Compliance soll die Stabilität der KRITIS-Kategorien gestärkt werden. NIS-2 legt Wert auf die schnelle und nützliche NIS-Reaktion auf Websicherheitsvorfälle. Schutzinfrastrukturbetreiber von Sicherheitseinrichtungen der Grundversorgung sind gezwungen, erhebliche Vorfälle zu melden, um eine koordinierte Security-Reaktion zu ermöglichen. Die Norm fördert die Kooperation der EU-Mitgliedstaaten und stellt sicher, dass bewährte Security-Praktiken und Erkenntnisse ausgetauscht werden, um eine zweckdienliche Cybersicherheitsstrategie zu implementieren.

Wichtige KRITIS-Betreiber werden aufgefordert, Risikobewertungen und Risikomanagement durchzuführen und Schutzvorkehrungen zu implementieren, um die Wahrscheinlichkeit und Netzwerk-Auswirkungen von Security-Angriffen zu minimieren. EU NIS-2 hat das übergeordnete Ziel, Gemeinwesen und Wirtschaft vor schwerwiegenden Netzwerk-Störungen und Risikopotenzialen zu verteidigen, die aufgrund von Cyberangriffen auf elementare Anlagen verursacht werden könnten.

.

IT-Sicherheitsanforderungen und Cyber Security Best Practices von NIS2

Netzwerk-Sicherheitsanforderungen und Cyber Security Best Practices in EURO NIS2 sind darauf ausgerichtet, die Robustheit gegenüber Cyberrisikopotenzial zu erhöhen, sodass bedeutsame Serviceleistungen und Versorgungsanlagen angemessen geschützt sind. Es minimiert die Auswirkungen von Cyberangriffen auf öffentliche Organisationen und garantiert Netzsicherheit in der EU. Die NIS-2-Richtlinie weist umfassende Sicherheitserwartungen und bewährte Risikomanagement-Praktiken aus, um die Netzwerkabwehr in kritischen Sektoren zu bekräftigen:

Mindestsicherheitsstandards für besonders wichtige Kritis-Betreiber und AWS: Die NIS-2 Anweisung bindet KRITIS-Akteure und Lieferer tragender Services, bestimmte Mindestsicherheitsauflagen zu erfüllen. Die Bedingungen umfassen technische und organisatorische Maßregeln, um Online-Angriffen auf Elektrotechnik und Informationssysteme zu vereiteln. Das sind unter anderem die Implementierung von Schutzmaßnahmen, die regelmäßige Aktualisierung von Sicherheitsrichtlinien und Einrichtung von Notfallplänen.

Verpflichtungen im Zusammenhang mit Cyber-Security: Die Bestimmung ermutigt besonders wichtige Schutzinfrastrukturbetreiber unerlässlichen Versorgungsinfrastrukturen und Provider unabdinglicher Dienste, Risikomanagement-Verfahren zu etablieren. Es umfasst die Identifikation und Bewertung von Netzwerk-Risiken, die Entwicklung von Strategien zur Risikominimierung sowie die kontinuierliche Überwachung und Anpassung von Risikomanagement.

Präventionsmaßnahmen zur Cybersecurity, Netz- & IT-Secure: Die Anweisung fördert bewährte Anwendungsbereich-Praktiken und Vorsichtsmaßnahmen zur Echtheit, Verfügbarkeit und Vertraulichkeit von Informationsmanagementsystemen. Das sind Verschlüsselung, Authentifizierung von Benutzern, Segmentierung von Netzen und Schulung des Personals. Sicherheitsaudits und Prüfungen: Kritische-Infrastrukturen-Betreiber und Provider lebensrettender DienstleistungenEinrichtungen werden aufgefordert, Sicherheitsaudits und Prüfungen ihrer Technology durchzuführen, um die Wirksamkeit der Sicherheitsrichtlinien zu überwachen. Das unterstützt die kontinuierliche Verbesserung der Internetsicherheit.

 

IT-Sicherheitsgesetz 3.0 in Deutschland vs. EU-Cybersicherheitsrichtlinie

Das IT-Sicherheitsgesetz 3.0 und die EU-Cybersicherheitsrichtlinie (Network and Information Systems Directive) sind zwei verschiedene Rechtsinstrumente mit Schwerpunkten und Anwendungsbereichen der Cybersicherheit. Das IT-Schutzgesetz gilt in Deutschland und ist ein NIS-Gesetz, das auf die Cyber-Sicherheit von Informations- und Kommunikationstechnologie (IKT) im Land abzielt. Informationssicherheitsrichtlinien und das Computersicherheitsgesetz hat die Zielvorgabe, die IT-Infrastruktur zu beschützen, explizit in den NIS-2-Bereichen, die als Teil der kritischen NIS-Infrastruktur (Versorgungsnetz) des Landes gelten. Es zielt darauf ab, die Widerstandsvermögen und Cyberresilienz der Informationstechnologie und Kommunikationstechnik in Lebenserhaltungsunternehmen und Amtsstellen zu versprechen. Die NIS-Richtlinie ist eine EU-Richtlinie, die auf die gesamte Europäische Gemeinschaft abzielt, und wurde entwickelt, um die Cyberrisikoprävention in der EU zu verbessern.

Die EU-NIS-2-Richtlinie und das IT-Sicherheitsgesetz haben beide das Ziel, die Cybersicherheit zu verstärken und kritische Infrastructure zu schützen. NIS-2 zielt darauf ab, einheitliche Sicherheitsstandards für Netzwerk- und Informationssysteme in der EU festzulegen und Maßnahmen zur Vorbeugung und Bewältigung von Cyberangriffen zu etablieren. Dazu gehören Kontrollmaßnahmen wie die Festlegung von Sicherheitsanforderungen, die Meldung von IT-Sicherheitsvorfällen und die Durchführung von Risikobewertungen. Das IT-Sicherheitsgesetz verfolgt ähnliche Ziele auf nationaler Ebene und legt ebenfalls Sicherheitsstandards für kritische Verantwortlichkeiten und digitale Einrichtung fest, ergänzt durch spezifische und nationale Kontrollmaßnahmen wie Audits und Zertifizierungen, um die Einhaltung informationstechnologischer Sicherheitsvorschriften sicherzustellen.

 

Die Reinigung, primär Services zur Sauberkeit der physischen Netzwerk-Umgebung ist unser Beitrag zur IT-Security

Physische Sicherheit: Die Infrastrukturen-Sauberkeit und Ordnung der physischen Cyber-Umgebung kann einen erheblichen Einfluss auf die physische Safety haben. Das gilt im Besonderen in sicherheitskritischen Einrichtungen, in denen Schmutz und Staub die Leistung von Geräten oder die Sichtbarkeit von Überwachungskameras beeinträchtigen. KRITIS-Sicherheit: In Umgebungen, in denen existentielle ITK-Infrastrukturen betrieben werden, wie Rechenzentren, Data Center, Serverräumen, NIS-Server-, Computer-, Rechner-, System- und Serverschränken oder Energieanlagen, ist die Netzwerk-Sauberkeit der IT-Umgebung maßgeblich, um die Zuverlässigkeit und Verfügbarkeit der IT-Architektur sicherzustellen.

Datensicherheit und Datenschutz: In Rechenzentren und Serverräumen ist die IT-Sauberkeit unentbehrlich, damit interne KRITIS-IT wie Servertechnik, Hosts, Storages, Switches, LAN, Netzwerkbetrieb und Hardwarekomponenten für die elektronische Datenverarbeitung optimal funktionieren und um das Risiko von Hardwareausfällen aufgrund von Staub und Schmutz zu minimieren. Die IT-Reinigung gem. DIN EN ISO 14644-1 Klasse 8 ist also ein elementarer Aspekt der Gesamtsicherheit und stellt die physische und operationelle Korrektheit von Sicherheitsinfrastrukturen, Datentechnik und IT-Systemen sicher. Je nach KRITIS-Branche und Umgebung sind spezifische Reinigungsprotokolle, -services und -verfahren erforderlich, um den Sicherheitsmerkmalen gerecht zu werden.

Links

 

Neu

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Stäube und Verschmutzungen.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Baustaub-Kontamination kommt, stehen Organisationen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Staubfreiheit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Dust Concentration ISO 14644 - 1 Class 8

BSI Edition 2023

BSI: Elementare Gefährdungen

BSI Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-200-3 Risikomanagement

BSI 200-4 Business Continuity Management - Community Draft

BSI 100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windows Server 2019

Leitfaden zur Basis-Absicherung nach IT-Grundschutz in 3 Schritten.

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeine Serveranlage

INF.2:Rechenzentrum

Checklisten zum IT-Grundschutz-Kompendium

ISO 14644 bei der Beuth Verlag GmbH

Frank Keding

Frank Keding: Risiken und Bedrohungen für Unternehmenszentralen

"Genau wie die Einhaltung der DSGVO ist Informationssicherheit kein Zustand, sondern ein kontinuierlicher Prozess."