EU NIS-2: Stärkung der Cybersicherheit für Kritische Infrastrukturen

 

  1. Anforderungen und Umsetzung von Maßnahmen zur Cybersicherheit für besonders wichtige Betreiber
  2. Netzwerksicherheit: Schlüsselkomponenten für eine umfassende IT-Sicherheitsstrategie gem. NIS2
  3. Maßnahmen der Cybersicherheit
  4. Ziele, Zweck und Kontrollmaßnahmen von EU NIS-2 und des IT-Sicherheitsgesetzes
  5. IT-Sicherheitsanforderungen und Cyber Security Best Practices von NIS2
  6. IT-Sicherheitsgesetz 3.0 in Deutschland vs. EU-Cybersicherheitsrichtlinie
  7. Die Reinigung, primär Sauberkeit der physischen Netzwerk-Umgebung ist unser Beitrag zur IT-Security

 

Anforderungen und Umsetzung von Maßnahmen zur Cybersicherheit für besonders wichtige Betreiber

NIS-2 steht für "Network Information Security Directive 2" und ist eine EU-Richtlinie, die Security- und Sicherheitsstandards für Informationssysteme von Behörden, Einrichtungen und Unternehmen in der Europäischen Union festlegt. Sie baut auf der vorherigen NIS-Richtlinie auf und zielt darauf ab, die Cybersicherheit in kritischen Infrastrukturen wie Energie, Verkehr, Gesundheit und Finanzen zu verbessern. NIS-2 beinhaltet Maßnahmen zur Erhöhung der Widerstandsfähigkeit gegenüber Cyberangriffen sowie zur Meldung und Bewältigung von Sicherheitsvorfällen. NIS-2 ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in kritischen Infrastrukturen wie Energie, Verkehr, Gesundheit und Finanzen zu stärken. Sie legt Sicherheitsstandards für Netzwerk- und Informationssysteme fest und umfasst Maßnahmen zur Erhöhung der Widerstandsfähigkeit gegenüber Cyberangriffen sowie zur Meldung und Bewältigung von Sicherheitsvorfällen.

Die NIS2-Richtlinie ist eine EU-Vorschrift, die darauf abzielt, die Cybersicherheit kritischer Infrastrukturen in der Europäischen Union zu stärken und Sicherheitsstandards für Informationssysteme festzulegen. Die NIS-2-Richtlinie betrifft Unternehmen, Einrichtungen, Betreiber von Infrastruktur, Anlagen, Informationen und Diensten und legt Sicherheitsstandards für Informationssysteme kritischer Sektoren der Mitgliedstaaten fest. NIS-2 legt Anforderungen und Maßnahmen zur Cybersicherheit für besonders wichtige Betreiber von kritischen Infrastrukturen fest. Diese Richtlinie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und Sicherheitsvorfälle effektiv zu bewältigen. Die Umsetzung dieser Maßnahmen soll dazu beitragen, die Integrität, Vertraulichkeit und Verfügbarkeit von Informationssystemen zu gewährleisten.

Die NIS-2-Richtlinie, auch bekannt als NIS2-Direktive, bezieht sich auf eine EU-Vorschrift, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu stärken. Sie legt Standards und Anforderungen für Informationssysteme von Einrichtungen, Unternehmen und Verwaltung fest, insbesondere für kritische Infrastrukturen. Die NIS2-Umsetzung bezieht sich auf die konkreten Schritte, die von den Mitgliedstaaten unternommen werden, um die Bestimmungen dieser Richtlinie in nationales Recht zu überführen und sie in der Praxis umzusetzen. Dies umfasst die Festlegung von Regeln, Verfahren und Mechanismen zur Verbesserung der Cybersicherheit und zur Bewältigung von Cyberbedrohungen.

 

Netzwerksicherheit: Schlüsselkomponenten für eine umfassende IT-Sicherheitsstrategie gem. NIS2

Die NIS2 Security Richtlinie (Directive) unterstützt die Zusammenarbeit zwischen Behörden und wichtigen Sektoren, um die Sicherheit (Security) digitaler Infrastruktur und Dienste, im öffentlichen Sektor sowie kritischer Unternehmen, Einrichtungen und Anlagen zu gewährleisten, wobei die Umsetzung hoher Sicherheitsstandards und die Bewältigung digitaler Auswirkungen auf die Lieferkette von entscheidender Bedeutung sind. Netzwerksicherheit bildet eine entscheidende Komponente einer umfassenden IT-Sicherheitsstrategie gemäß den Anforderungen der NIS2-Richtlinie. Zu den Schlüsselkomponenten gehören robuste Firewall-Systeme zur Absicherung von Netzwerkperimetern, Intrusion Detection und Prevention Systeme (IDS/IPS) zur Echtzeit-Erkennung und Abwehr von Angriffen, regelmäßige Schwachstellen-Scans und Patch-Management, Zugangskontrollen und Authentifizierungsmechanismen, Verschlüsselung für die Sicherung von Datenübertragungen sowie umfassende Sicherheitsrichtlinien und Schulungen für Mitarbeiter. Diese Maßnahmen tragen dazu bei, die Widerstandsfähigkeit des Netzwerks gegenüber Cyberbedrohungen zu erhöhen und potenzielle Sicherheitsrisiken zu mindern.

 

Maßnahmen der Cybersicherheit

Cybersecurity bezeichnet den Schutz von Computersystemen, Netzwerken, Daten und Services vor Cyberangriffen und unbefugtem Zugriff. Maßnahmen der Cybersicherheit umfassen die Festlegung von Standards und Vorgaben in Unternehmen, Verwaltung und Einrichtungen, um Netzwerk- und Informationssysteme vor Cyberbedrohungen zu schützen. Dazu gehören unter anderem die Implementierung von Firewalls, Intrusion Detection und Prevention Systemen (IDS/IPS), regelmäßige Schwachstellen-Scans, Zugangskontrollen, Verschlüsselungstechnologien und Sicherheitsrichtlinien für Mitarbeiter. Diese Maßnahmen dienen dazu, die Integrität, Vertraulichkeit und Verfügbarkeit von Daten und Systemen zu gewährleisten und potenzielle Sicherheitsrisiken zu minimieren.

 

Ziele, Zweck und Kontrollmaßnahmen von EU NIS-2 und des IT-Sicherheitsgesetzes

Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) betrifft kritische Infrastrukturen und stellt sicher, dass das Cybersicherheitsniveau für Netzwerke, Lieferketten und Dienste auf hohem Niveau liegt, wobei Behörden, Verwaltung und Institutionen zusammenarbeiten, um wesentliche Lösungen für die Betroffenheit von Endpoint, Cloud und Netzwerken zu unterstützen. Die NIS2-Sicherheitsrichtlinie setzt ausgesprochen klare NIS-2-Standards für verschiedene KRITIS-Sektoren für durchschlagende und robuste Cyber- und Informationssicherheit. Die EUR NIS 2-Richtlinie verfolgt mehrere NIS-Ziele und Vorbeugungsmaßnahmen, die darauf abzielen, den Informationsschutz zu festigen, die Reaktionsfähigkeit auf Cyberrisiken zu verbessern und die Kerninfrastruktur im Euroraum zu bewahren.

Das NIS2-Umsetzungsgesetz unterstützt die Sicherheit, Stabilität und Wettbewerbsfähigkeit der EU auf globaler Ebene. Die NIS2-Vorgaben, unter Leitung des Bundesinnenministeriums, setzen unumgängliche Anforderungen und Normen zur Netzwerk-Abwehr von Cyber-Angriffen und kräftigen die NIS-2-Absicherung digitaler Anlagen. Die Security-Vorgaben gelten für große Unternehmen und für kleine Betriebseinheiten, wodurch eine umfassende Cyberresilienz in allen Segmenten gewährleistet ist. Die implementierten Aktivitäten verordnen hohe NIS-Pflichten für notwendige Solutions der KRITIS. Die Einsetzung der Cyber-Vorgaben erfolgt im Kontext des BSIG und IT-Sicherheitsgesetz und beinhaltet auch die Einführung von Internetsicherheitszertifizierungen für Resilienzinfrastrukturen und Anlagen. Dadurch ist eine umfassende Sicherheitsinfrastruktur geschaffen, um die Infrastrukturen-Widerstandsfähigkeit gegenüber Cyberangriffe zu intensivieren und die IT-Landschaft insgesamt sicherer zu machen.

Zu den Hauptzielen und Zwecken der NIS-2-Richtlinie (NIS2) gehören:

Die NIS2 Regel soll umsetzen, dass KRITIS-Verantwortliche angemessenes Risikomanagement ergreifen, um Einheiten und Files vor Internetattacken zu bewahren. Dadurch soll die Stabilität der KRITIS-Kategorien gestärkt werden. NIS-2 legt Wert auf die schnelle und nützliche NIS-Reaktion auf Websicherheitsvorfälle. Schutzinfrastrukturbetreiber von Sicherheitseinrichtungen der Grundversorgung sind gezwungen, erhebliche Vorfälle zu melden, um eine koordinierte Security-Reaktion zu ermöglichen. Die Norm fördert die Kooperation der EU-Mitgliedstaaten und stellt sicher, dass bewährte Security-Praktiken und Erkenntnisse ausgetauscht werden, um eine zweckdienliche Cybersicherheitsstrategie zu implementieren.

Wichtige KRITIS-Betreiber werden aufgefordert, Risikobewertungen und Risikomanagement durchzuführen und Schutzvorkehrungen zu implementieren, um die Wahrscheinlichkeit und Netzwerk-Auswirkungen von Security-Angriffen zu minimieren. EU NIS-2 hat das übergeordnete Ziel, Gemeinwesen und Wirtschaft vor schwerwiegenden Netzwerk-Störungen und Risikopotenzialen zu verteidigen, die aufgrund von Cyberangriffen auf elementare Anlagen verursacht werden könnten.

.

IT-Sicherheitsanforderungen und Cyber Security Best Practices von NIS2

Netzwerk-Sicherheitsanforderungen und Cyber Security Best Practices in EURO NIS2 sind darauf ausgerichtet, die Robustheit gegenüber Cyberrisikopotenzial zu erhöhen, sodass bedeutsame Serviceleistungen und Versorgungsanlagen angemessen geschützt sind. Es minimiert die Auswirkungen von Cyberangriffen auf die Organisationen und garantiert Netzsicherheit in der EU. Die NIS-2-Richtlinie weist umfassende Sicherheitserwartungen und bewährte Risikomanagement-Praktiken aus, um die Netzwerkabwehr in kritischen Sektoren zu bekräftigen:

Mindestsicherheitsstandards für besonders wichtige Kritis-Betreiber und AWS: Die NIS-2 Anweisung bindet KRITIS-Akteure und Lieferer tragender Services, bestimmte Mindestsicherheitsauflagen zu erfüllen. Die Bedingungen umfassen technische und organisatorische Maßregeln, um Online-Angriffen auf Elektrotechnik und Informationssysteme zu vereiteln. Das sind unter anderem die Implementierung von Schutzmaßnahmen, die regelmäßige Aktualisierung von Sicherheitsrichtlinien und Einrichtung von Notfallplänen.

Verpflichtungen im Zusammenhang mit Cyber-Security: Die Bestimmung ermutigt besonders wichtige Schutzinfrastrukturbetreiber unerlässlichen Versorgungsinfrastrukturen und Provider unabdinglicher Dienste, Risikomanagement-Verfahren zu etablieren. Es umfasst die Identifikation und Bewertung von Netzwerk-Risiken, die Entwicklung von Strategien zur Risikominimierung sowie die kontinuierliche Überwachung und Anpassung von Risikomanagement.

Präventionsmaßnahmen zur Cyber- & IT-Secure: Die Anweisung fördert bewährte Anwendungsbereich-Praktiken und Vorsichtsmaßnahmen zur Echtheit, Verfügbarkeit und Vertraulichkeit von Informationsmanagementsystemen. Das sind Verschlüsselung, Authentifizierung von Benutzern, Segmentierung von Netzen und Schulung des Personals.

Sicherheitsaudits und Prüfungen: Kritische-Infrastrukturen-Betreiber und Provider lebensrettender DienstleistungenEinrichtungen werden aufgefordert, Sicherheitsaudits und Prüfungen ihrer Information Technology durchzuführen, um die Wirksamkeit der Sicherheitsrichtlinien zu überwachen. Das unterstützt die kontinuierliche Verbesserung der Internetsicherheit.

 

IT-Sicherheitsgesetz 3.0 in Deutschland vs. EU-Cybersicherheitsrichtlinie

Das IT-Sicherheitsgesetz 3.0 und die EU-Cybersicherheitsrichtlinie (Network and Information Systems Directive) sind zwei verschiedene Rechtsinstrumente mit Schwerpunkten und Anwendungsbereichen der Cybersicherheit. Das IT-Schutzgesetz gilt in Deutschland und ist ein NIS-Gesetz, das auf die Cyber-Sicherheit von Informations- und Kommunikationstechnologie (IKT) im Land abzielt. Das Computersicherheitsgesetz hat die Zielvorgabe, die IT-Infrastruktur zu beschützen, explizit in den NIS-2-Bereichen, die als Teil der kritischen NIS-Infrastruktur (Versorgungsnetz) des Landes gelten. Es zielt darauf ab, die Widerstandsvermögen und Cyberresilienz der Informationstechnologie, Informations- und Kommunikationstechnik in Lebenserhaltungsunternehmen und Amtsstellen zu versprechen. Die NIS-Richtlinie ist eine EU-Richtlinie, die auf die gesamte Europäische Gemeinschaft abzielt, und wurde entwickelt, um die Cyberrisikoprävention in der EU zu verbessern.

Die EU-NIS-2-Richtlinie und das IT-Sicherheitsgesetz haben beide das Ziel, die Cybersicherheit zu stärken und kritische Infrastrukturen zu schützen. NIS-2 zielt darauf ab, einheitliche Sicherheitsstandards für Netzwerk- und Informationssysteme in der EU festzulegen und Maßnahmen zur Vorbeugung und Bewältigung von Cyberangriffen zu etablieren. Dazu gehören Kontrollmaßnahmen wie die Festlegung von Sicherheitsanforderungen, die Meldung von Sicherheitsvorfällen und die Durchführung von Risikobewertungen. Das IT-Sicherheitsgesetz verfolgt ähnliche Ziele auf nationaler Ebene und legt ebenfalls Sicherheitsstandards für kritische Infrastrukturen fest, ergänzt durch spezifische Kontrollmaßnahmen wie Audits und Zertifizierungen, um die Einhaltung der Sicherheitsvorschriften sicherzustellen.

 

Die Reinigung, primär Sauberkeit der physischen Netzwerk-Umgebung ist unser Beitrag zur IT-Security

Physische Sicherheit: Die Infrastrukturen-Sauberkeit und Ordnung der physischen Cyber-Umgebung kann einen erheblichen Einfluss auf die physische Safety haben. Das gilt im Besonderen in sicherheitskritischen Einrichtungen, in denen Schmutz und Staub die Leistung von Geräten oder die Sichtbarkeit von Überwachungskameras beeinträchtigen.

KRITIS-Sicherheit: In Umgebungen, in denen existentielle ITK-Infrastrukturen betrieben werden, wie Rechenzentren, Data Center, Serverräumen, NIS-Server-, Computer-, Rechner-, System- und Serverschränken oder Energieanlagen, ist die Netzwerk-Sauberkeit der IT-Umgebung maßgeblich, um die Zuverlässigkeit und Verfügbarkeit der IT-Architektur sicherzustellen.

Datensicherheit und Datenschutz: In Rechenzentren und Serverräumen ist die IT-Sauberkeit unentbehrlich, damit interne KRITIS-IT wie Servertechnik, Hosts, Storages, Switches, LAN, Netzwerkbetrieb und Hardwarekomponenten für die elektronische Datenverarbeitung optimal funktionieren und um das Risiko von Hardwareausfällen aufgrund von Staub und Schmutz zu minimieren.

Die IT-Reinigung gem. DIN EN ISO 14644-1 Klasse 8 ist also ein elementarer Aspekt der Gesamtsicherheit und stellt die physische und operationelle Korrektheit von Sicherheitsinfrastrukturen, Datentechnik und IT-Systemen sicher. Je nach KRITIS-Branche und Umgebung sind spezifische Reinigungsprotokolle und -verfahren erforderlich, um den Sicherheitsmerkmalen gerecht zu werden.

Links

 

Neu

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Stäube und Verschmutzungen.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Baustaub-Kontamination kommt, stehen Organisationen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Staubfreiheit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Dust Concentration ISO 14644 - 1 Class 8

BSI Edition 2023

BSI: Elementare Gefährdungen

BSI Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-200-3 Risikomanagement

BSI 200-4 Business Continuity Management - Community Draft

BSI 100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windows Server 2019

Leitfaden zur Basis-Absicherung nach IT-Grundschutz in 3 Schritten.

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeine Serveranlage

INF.2:Rechenzentrum

Checklisten zum IT-Grundschutz-Kompendium

ISO 14644 bei der Beuth Verlag GmbH

Frank Keding

Frank Keding: Risiken und Bedrohungen für Unternehmenszentralen

"Genau wie die Einhaltung der DSGVO ist Informationssicherheit kein Zustand, sondern ein kontinuierlicher Prozess."