ISGroup Cybersicherheitsberatung

Wie geht die NIS2-Richtlinie mit Betriebskontinuität und Krisenmanagement um?

Die NIS2-Richtlinie befasst sich mit der Betriebskontinuität und dem Krisenmanagement durch eine Reihe von Anforderungen, die darauf abzielen, die Cybersicherheitslage wesentlicher und wichtiger Einrichtungen zu stärken, die Zusammenarbeit zu fördern und Rahmenbedingungen für das Vorfall- und Krisenmanagement zu schaffen. Wenn Sie besser verstehen möchten, was das Hauptziel der NIS2-Richtlinie ist, können Sie dies in dem entsprechenden Artikel nachlesen.

[Callforaction-NIS2]

Maßnahmen zur Betriebskontinuität

  • Artikel 21: Dieser Artikel legt fest, dass wesentliche und wichtige Einrichtungen angemessene technische, operative und organisatorische Maßnahmen ergreifen müssen, um Cybersicherheitsrisiken für ihre Systeme und Dienste zu bewältigen. Dies umfasst Maßnahmen zur “Verhinderung oder Minimierung der Auswirkungen von Vorfällen” auf ihren Betrieb und die Empfänger ihrer Dienste.
  • Spezifische Anforderungen an die Betriebskontinuität: Artikel 21 Absatz 2 führt explizit “Kontinuitätsmaßnahmen, wie Backup-Management und Disaster Recovery, sowie Krisenmanagement” als Schlüsselelemente der geforderten Maßnahmen zum Cybersicherheitsrisikomanagement auf. Organisationen, die einen Plan zur Anpassung an die NIS2-Richtlinie strukturieren möchten, müssen genau bei diesen operativen Anforderungen ansetzen.
  • Fokus auf die Sicherheit der Lieferkette: Die Richtlinie erkennt die Bedeutung der Sicherheit der Lieferkette für die Gewährleistung der Betriebskontinuität an.
    • Artikel 21 Absatz 2 beinhaltet die “Sicherheit der Lieferkette” als notwendiges Element des Cybersicherheitsrisikomanagements. Dies betrifft Aspekte der Sicherheit in den Beziehungen zwischen den Einrichtungen und ihren direkten Lieferanten oder Dienstleistern.
    • Artikel 22 Absatz 1 überträgt den Mitgliedstaaten in Zusammenarbeit mit der Kommission und der ENISA die Aufgabe, koordinierte Risikobewertungen der Sicherheit kritischer Lieferketten durchzuführen. Die Bewältigung von Schwachstellen und Abhängigkeiten innerhalb kritischer Lieferketten ist entscheidend für die Gewährleistung der Betriebskontinuität, insbesondere im Falle von Unterbrechungen.

Rahmenwerk für das Krisenmanagement

  • Nationale Krisenmanagementbehörden: Artikel 9 Absatz 1 legt fest, dass jeder Mitgliedstaat eine oder mehrere zuständige Behörden für das Management großflächiger Cybersicherheitsvorfälle und -krisen benennen oder einrichten muss. Diese Behörden werden als “Behörden für das Cybersicherheitskrisenmanagement” bezeichnet.
  • Nationale Reaktionspläne: Jeder Mitgliedstaat ist verpflichtet, einen “nationalen Plan für die Reaktion auf großflächige Cybersicherheitsvorfälle und -krisen” zu verabschieden. Dieser Plan muss Folgendes vorsehen:
    • Ziele und Verfahren für das Management von Cybersicherheitsvorfällen und -krisen.
    • Rollen und Verantwortlichkeiten der Cybersicherheits-Krisenmanagementbehörden.
    • Integration der Verfahren für das Cybersicherheitskrisenmanagement in den allgemeinen nationalen Krisenmanagementrahmen.
    • Nationale Vorsorgemaßnahmen, einschließlich Übungen und Schulungsaktivitäten.
    • Identifizierung relevanter Interessengruppen aus dem öffentlichen und privaten Sektor.
    • Verfahren und Vereinbarungen zur Gewährleistung der wirksamen Teilnahme des Mitgliedstaats an der koordinierten Bewältigung großflächiger Vorfälle und Krisen auf EU-Ebene.
  • EU-CyCLONe (European Cyber Crisis Liaison Organisation Network): Artikel 16 richtet das EU-CyCLONe ein, um das koordinierte Management großflächiger Cybersicherheitsvorfälle und -krisen auf operativer Ebene zu unterstützen. Dieses Netzwerk:
    • Besteht aus Vertretern der Cybersicherheits-Krisenmanagementbehörden der Mitgliedstaaten. Die Kommission nimmt ebenfalls teil, entweder als Vollmitglied (wenn der Vorfall oder die Krise die von der NIS2-Richtlinie regulierten Dienste erheblich beeinträchtigt) oder als Beobachter.
    • Zielt darauf ab, die Vorbereitung zu verbessern, ein gemeinsames Lagebild zu entwickeln, Auswirkungen zu bewerten, das Krisenmanagement zu koordinieren und die politische Entscheidungsfindung während großflächiger Cybersicherheitsvorfälle und -krisen zu unterstützen.
  • Zusammenarbeit und Informationsaustausch: Die NIS2 legt den Schwerpunkt auf die Zusammenarbeit und den Informationsaustausch zwischen Mitgliedstaaten, zuständigen Behörden und relevanten Einrichtungen, um das Krisenmanagement zu verbessern. Dies umfasst Bestimmungen zu:
    • Kooperationsgruppe: Artikel 14 richtet eine Kooperationsgruppe ein, die sich aus Vertretern jedes Mitgliedstaats zusammensetzt, um die strategische Zusammenarbeit und den Informationsaustausch im Bereich der Cybersicherheit zu erleichtern. Diese Gruppe hat die Aufgabe, zu politischen Entscheidungen beizutragen, bewährte Verfahren zu diskutieren und strategische Leitlinien für das Krisenmanagement bereitzustellen.
    • CSIRT-Netzwerk: Artikel 15 richtet ein CSIRT-Netzwerk ein, das aus Vertretern der nationalen CSIRTs besteht. Dieses Netzwerk konzentriert sich auf die operative Zusammenarbeit, einschließlich des Austauschs von Informationen über Vorfälle, der Diskussion koordinierter Reaktionen und der gegenseitigen Unterstützung bei Cybersicherheitsvorfällen. Für NIS-subjektive Stellen ist es auch nützlich, die Verpflichtungen zur Benennung eines CSIRT-Ansprechpartners gemäß der italienischen Gesetzgebung zu kennen.

Schulung und Sensibilisierung

  • Artikel 20 Absatz 2: Obwohl dieser Artikel hauptsächlich auf das Cybersicherheitsrisikomanagement ausgerichtet ist, verlangt er von den Mitgliedstaaten, sicherzustellen, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen eine angemessene Schulung erhalten. Darüber hinaus ermutigt er diese Einrichtungen, ihren Mitarbeitern ähnliche Schulungen anzubieten, um sie mit dem Wissen und den Fähigkeiten auszustatten, die erforderlich sind, um Risiken zu identifizieren und Praktiken des Cybersicherheitsrisikomanagements zu bewerten. Obwohl nicht explizit angegeben, umfasst diese Schulung wahrscheinlich Aspekte der Betriebskontinuität und des Krisenmanagements.

Was bedeutet das alles für Organisationen, die der NIS2 unterliegen?

  • Die NIS2 verfolgt einen proaktiven Ansatz zur Betriebskontinuität, indem sie Maßnahmen zum Cybersicherheitsrisikomanagement vorschreibt und die Bedeutung der Kontinuitätsplanung hervorhebt.
  • Die Richtlinie schafft umfassende Rahmenbedingungen für das Krisenmanagement sowohl auf nationaler als auch auf EU-Ebene, mit dem Ziel, eine koordinierte und wirksame Reaktion auf großflächige Cybersicherheitsvorfälle und -krisen zu gewährleisten.
  • Der Informationsaustausch und die Zusammenarbeit stehen im Mittelpunkt des NIS2-Ansatzes, da anerkannt wird, dass Cyberbedrohungen oft nationale Grenzen überschreiten und gemeinsame Anstrengungen erfordern.

Durch diese Anforderungen zielt die NIS2 darauf ab, die Widerstandsfähigkeit wesentlicher und wichtiger Einrichtungen zu verbessern und im weiteren Sinne die Widerstandsfähigkeit des Binnenmarktes und der EU-Gesellschaft gegenüber sich entwickelnden Cyberbedrohungen zu stärken. Für diejenigen, die ihre Position in Bezug auf die Registrierungspflichten überprüfen müssen, ist es auch nützlich, die Informationen zur ACN und der Liste der NIS2-subjektiven Stellen zu konsultieren.

Häufig gestellte Fragen zur Betriebskontinuität in der NIS2

  • Welche konkreten Maßnahmen muss eine Organisation ergreifen, um die Anforderungen an die Betriebskontinuität der NIS2 zu erfüllen?
  • Artikel 21 verlangt mindestens einen dokumentierten Backup- und Disaster-Recovery-Plan, Krisenmanagementverfahren und eine regelmäßige Bewertung der Risiken in der Lieferkette. Die Maßnahmen müssen in einem angemessenen Verhältnis zur Größe und zum Risikoprofil der Organisation stehen.
  • Wer ist in Italien für das Cybersicherheits-Krisenmanagement auf nationaler Ebene verantwortlich?
  • In Italien ist die Nationale Agentur für Cybersicherheit (ACN) die zuständige Behörde für das Management von Cybersicherheitskrisen gemäß NIS2. Die ACN koordiniert auch die Beziehungen zum EU-CyCLONe-Netzwerk auf europäischer Ebene.
  • Verpflichtet die NIS2 Organisationen auch dazu, ihr Personal im Krisenmanagement zu schulen?
  • Ja. Artikel 20 sieht vor, dass Mitglieder der Leitungsorgane eine angemessene Schulung zum Cybersicherheitsrisikomanagement erhalten, und ermutigt Organisationen, ähnliche Schulungswege auf alle Mitarbeiter auszudehnen, die an der operativen Sicherheit beteiligt sind.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *