ISGroup Cybersicherheitsberatung

Anforderungen zur Gewährleistung der Sicherheit von IKT-Systemen während des gesamten Lebenszyklus, von der Beschaffung bis zur Entsorgung

Die NIS2-Richtlinie skizziert zwar keinen explizit strukturierten Ansatz für den Lebenszyklus von IKT-Systemen von der Erstellung bis zur Außerbetriebnahme, bietet jedoch Leitlinien und Anforderungen, die die wichtigsten sicherheitsrelevanten Phasen abdecken – von der Beschaffung und Entwicklung bis hin zum laufenden Betrieb und der Entsorgung.

[Callforaction-NIS2]

Beschaffung und Entwicklung

  • Sicherheit der Lieferkette: Die Richtlinie unterstreicht, wie wichtig es ist, Cybersicherheitsrisiken innerhalb der Lieferketten zu berücksichtigen.
    • Artikel 21, Absatz 2(d): Verpflichtet wesentliche und wichtige Einrichtungen zur Implementierung von Risikomanagementmaßnahmen, die die „Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren direkten Anbietern oder Dienstleistern“ umfassen.
    • Artikel 21, Absatz 3: Legt fest, dass Einrichtungen bei der Bewertung der Angemessenheit der Sicherheitsmaßnahmen in der Lieferkette „die spezifischen Schwachstellen jedes direkten Anbieters oder Dienstleisters sowie die Gesamtqualität der Produkte und Cybersicherheitspraktiken ihrer Anbieter und Dienstleister, einschließlich ihrer sicheren Entwicklungsprozesse“ berücksichtigen müssen.
    • Artikel 22: Ermöglicht die Durchführung koordinierter Risikobewertungen für die Sicherheit kritischer Lieferketten auf EU-Ebene, was sich potenziell auf die Auswahl und Verwaltung von IKT-Anbietern auswirken kann.
  • Sichere Entwicklungspraktiken: Die Richtlinie betont, wie wichtig es ist, Sicherheit während der Entwicklung von IKT-Systemen zu berücksichtigen, auch bei intern entwickelten Systemen.
    • Artikel 21, Absatz 2(e): Führt die „Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich der Handhabung und Offenlegung von Schwachstellen“ als Schlüsselelement der geforderten Cybersicherheits-Risikomanagementmaßnahmen auf.
    • Artikel 21, Absatz 3: Wie oben erwähnt, unterstreicht dieser Absatz die Bedeutung der Berücksichtigung der „sicheren Entwicklungsprozesse“ von Anbietern bei der Bewertung von Lieferkettenrisiken.
  • Nutzung zertifizierter Produkte und Dienste: Obwohl nicht in allen Fällen obligatorisch, fördert die NIS2-Richtlinie – und kann in bestimmten Situationen die Nutzung – zertifizierter IKT-Produkte, -Dienste und -Prozesse verlangen.
    • Artikel 24, Absatz 1: Legt fest, dass Mitgliedstaaten von wesentlichen und wichtigen Einrichtungen „verlangen können“, IKT-Produkte, -Dienste und -Prozesse zu verwenden, die gemäß den europäischen Cybersicherheits-Zertifizierungssystemen der Verordnung (EU) 2019/881 zertifiziert sind.
    • Artikel 24, Absatz 2: Ermächtigt die Kommission zum Erlass delegierter Rechtsakte, um festzulegen, welche Kategorien wesentlicher und wichtiger Einrichtungen „verpflichtet sind“, zertifizierte Lösungen zu verwenden oder eine Zertifizierung zu erlangen.

Laufende Verwaltung

  • Cybersicherheits-Risikomanagement: Artikel 21 bildet den Eckpfeiler des Ansatzes der NIS2-Richtlinie für die laufende Verwaltung der IKT-Sicherheit und schreibt einen risikobasierten Ansatz vor. Für Organisationen, die ihre Position gegenüber diesen Verpflichtungen strukturieren oder überprüfen müssen, bietet der Weg zur NIS2-Konformität operative Unterstützung von der Lückenanalyse bis zur Implementierung der geforderten Maßnahmen.
    • Artikel 21, Absatz 1: Verpflichtet wesentliche und wichtige Einrichtungen zur Implementierung „geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen zur Bewältigung der Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihre Betriebsabläufe oder die Erbringung ihrer Dienste nutzen, um die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren.“
    • Artikel 21, Absatz 2: Bietet eine detaillierte Liste von 10 Schlüsselelementen, die diese Maßnahmen enthalten müssen. Diese Elemente decken verschiedene Aspekte des IKT-Systemlebenszyklus ab, wie Risikoanalyse, Vorfallmanagement, Betriebskontinuität, Lieferkettensicherheit, Schwachstellenmanagement, Nutzung von Kryptografie, Personalsicherheit, Zugriffskontrolle und Asset-Management.
  • Vorfallmanagement: Die NIS2-Richtlinie legt einen umfassenden Prozess für das Vorfallmanagement fest.
    • Artikel 23: Verpflichtet wesentliche und wichtige Einrichtungen dazu, erhebliche Sicherheitsvorfälle an ihr CSIRT oder die zuständige nationale Behörde zu melden.
  • Handhabung und Offenlegung von Schwachstellen: Die Richtlinie erkennt die Bedeutung eines proaktiven Umgangs mit Schwachstellen an.
    • Artikel 12: Schafft einen Rahmen für die koordinierte Offenlegung von Schwachstellen, fördert deren Meldung an Hersteller und Dienstleister und erleichtert verantwortungsbewusste Offenlegungspraktiken.
    • Artikel 12, Absatz 2: Sieht die Einrichtung einer EU-Schwachstellendatenbank vor, die von der ENISA verwaltet wird. Diese Datenbank dient als zentrales Archiv für öffentlich bekannte Schwachstellen in IKT-Produkten und -Diensten.
  • Schulung und Sensibilisierung: Die NIS2-Richtlinie erkennt die Bedeutung des menschlichen Faktors in der Cybersicherheit an.
    • Artikel 20: Verpflichtet die Mitgliedstaaten sicherzustellen, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen Schulungen erhalten, um ihr Verständnis für Risiken und Praktiken des Cybersicherheitsmanagements zu verbessern. Die Richtlinie fördert zudem ähnliche Schulungen für Mitarbeiter.

Entsorgung

Die NIS2-Richtlinie befasst sich nicht explizit mit der sicheren Entsorgung von IKT-Systemen. Dennoch betreffen einige Bestimmungen die Datensicherheit und Vertraulichkeit – Aspekte, die bei der Außerbetriebnahme berücksichtigt werden sollten:

  • Überlegungen zum Datenschutz: Obwohl nicht direkt in der NIS2 behandelt, muss die Entsorgung von IKT-Systemen den einschlägigen Datenschutzvorschriften, wie der DSGVO, entsprechen. Dies beinhaltet die Gewährleistung der sicheren Löschung oder Vernichtung sensibler Daten.
  • Vertraulichkeitsanforderungen: Artikel 23, Absatz 7, erlaubt die öffentliche Bekanntgabe von Vorfällen, betont jedoch, dass dies „in Absprache mit der betroffenen Einrichtung“ und unter Berücksichtigung der „Vertraulichkeit der bereitgestellten Informationen“ erfolgen muss. Obwohl dies auf die Meldung von Vorfällen bezogen ist, sollte dieser Grundsatz der Vertraulichkeit auch auf Daten und Informationen angewendet werden, die sich während der Entsorgung auf IKT-Systemen befinden.

Wie NIS2-Anforderungen über den gesamten IKT-Lebenszyklus angewendet werden

Obwohl dies nicht der Hauptfokus der Richtlinie ist, adressiert die NIS2 wichtige Aspekte der Sicherheit von IKT-Systemen über den gesamten Lebenszyklus hinweg. Die Richtlinie legt den Schwerpunkt auf:

  • Sichere Beschaffungs- und Entwicklungspraktiken.
  • Kontinuierliches Risikomanagement, Vorfallmanagement und Schwachstellenmanagement.
  • Die Bedeutung von Datenschutz und Vertraulichkeit, auch bei der Entsorgung.

Organisationen sollten die Anforderungen der Richtlinie unter Berücksichtigung des gesamten Lebenszyklus von IKT-Systemen interpretieren und umsetzen. Um zu vertiefen, was das Hauptziel der NIS2-Richtlinie ist und wie sich dies in konkrete Verpflichtungen übersetzt, ist es hilfreich, vom allgemeinen Rahmen auszugehen, bevor man in die technischen Details der einzelnen Phasen eintaucht.

Häufig gestellte Fragen

  • Verpflichtet die NIS2 zur Einhaltung eines spezifischen Verfahrens für die Entsorgung von IKT-Systemen?
  • Nein, die NIS2-Richtlinie regelt die Entsorgung nicht explizit. Die Bestimmungen zur Vertraulichkeit von Informationen und zum Risikomanagement erfordern jedoch indirekt, dass die Außerbetriebnahme mit derselben Sorgfalt behandelt wird wie andere Phasen des Lebenszyklus. Die DSGVO bleibt die primäre Referenz für die sichere Datenlöschung.
  • Ist die Zertifizierung von IKT-Produkten für alle NIS2-Subjekte obligatorisch?
  • Nicht pauschal. Artikel 24 sieht vor, dass Mitgliedstaaten die Verwendung von Produkten verlangen können, die gemäß europäischen Cybersicherheits-Zertifizierungssystemen zertifiziert sind, und dass die Kommission die Zertifizierung für bestimmte Kategorien von Einrichtungen obligatorisch machen kann. Bis zum Erlass solcher delegierten Rechtsakte bleibt die Zertifizierung empfohlen, aber nicht universell vorgeschrieben.
  • Wie bewertet man die Sicherheit von IKT-Anbietern gemäß Artikel 21?
  • Artikel 21, Absatz 3, erfordert die Berücksichtigung der spezifischen Schwachstellen jedes Anbieters, der Gesamtqualität seiner Cybersicherheitspraktiken und der angewandten sicheren Entwicklungsprozesse. In der Praxis bedeutet dies eine Risikobewertung der Lieferkette, die dokumentiert und regelmäßig aktualisiert werden sollte.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *