ISGroup Cybersicherheitsberatung

Mindestanforderungen an CSIRTs gemäß NIS2

Die NIS2-Richtlinie definiert verschiedene Mindestanforderungen für Computer Security Incident Response Teams (CSIRT). Diese Anforderungen decken diverse Aspekte ab, darunter Kommunikation, Infrastruktur, technische Kapazitäten und operative Aufgaben.

[Callforaction-NIS2]

Kommunikation und Verfügbarkeit:

  • Mehrere Kommunikationskanäle: CSIRTs müssen eine hohe Verfügbarkeit der Kommunikationskanäle gewährleisten und Single Points of Failure vermeiden. Sie sollten verschiedene Methoden bereitstellen, damit Unternehmen sie kontaktieren können und umgekehrt, um eine ständige Erreichbarkeit sicherzustellen.
  • Klare Kommunikationskanäle: Die gewählten Kommunikationskanäle müssen klar identifiziert und der Nutzerbasis sowie den Partnern des CSIRT bekannt gemacht werden. Diese Transparenz stellt sicher, dass Unternehmen das CSIRT bei Bedarf leicht erreichen können.

Sicherheit und Infrastruktur:

  • Sicherer Standort: CSIRTs müssen von sicheren Standorten aus operieren und ihre physischen Räumlichkeiten sowie IT-Systeme vor unbefugtem Zugriff, Umweltrisiken und anderen Gefahren schützen.
  • Sichere und resiliente Infrastruktur: Eine dedizierte, sichere und resiliente Kommunikations- und Informationsinfrastruktur ist für CSIRTs entscheidend, um Informationen mit wesentlichen und wichtigen Einrichtungen sowie Stakeholdern auszutauschen. Diese Infrastruktur sollte eine sichere und zuverlässige Kommunikation ermöglichen, die resistent gegen Störungen ist.
  • Sichere Werkzeuge für den Informationsaustausch: Die Mitgliedstaaten sind verpflichtet sicherzustellen, dass ihre CSIRTs zur Entwicklung sicherer Werkzeuge für den Informationsaustausch beitragen. Diese Zusammenarbeit zielt darauf ab, vertrauenswürdige Mechanismen für den Austausch sensibler Cybersicherheitsinformationen zu etablieren.

Technische Kapazitäten und Ressourcen:

  • Angemessene Ressourcen: Die Mitgliedstaaten sind verpflichtet, ihren CSIRTs ausreichende Ressourcen zuzuweisen, damit diese ihre Aufgaben effektiv erfüllen können. Diese Ressourcen umfassen Personal, Finanzierung und technische Infrastruktur.
  • Kollektive technische Expertise: Die Mitgliedstaaten müssen sicherstellen, dass ihre benannten CSIRTs kollektiv über die technischen Fähigkeiten verfügen, die zur Erfüllung ihrer in Artikel 11 Absatz 3 der NIS2-Richtlinie festgelegten Pflichten erforderlich sind. Dies erfordert die Bereitstellung ausreichender Ressourcen für Ausbildung und Entwicklung, um die technische Kompetenz der CSIRTs zu verbessern.

Operative Aufgaben und Verantwortlichkeiten:

  • Überwachung und Analyse: CSIRTs sind damit beauftragt, Bedrohungen, Schwachstellen und Cybersicherheitsvorfälle auf nationaler Ebene zu überwachen und zu analysieren. Sie sollten wesentliche und wichtige Einrichtungen auf Anfrage bei der Überwachung ihrer Netzwerk- und Informationssysteme in Echtzeit oder nahezu in Echtzeit unterstützen.
  • Frühwarnung und Meldungen: CSIRTs spielen eine entscheidende Rolle bei der Herausgabe von Frühwarnungen, Meldungen und Bulletins. Sie müssen Informationen über Bedrohungen, Schwachstellen und Cybersicherheitsvorfälle zeitnah – idealerweise in nahezu Echtzeit – an relevante Stakeholder verbreiten, einschließlich wesentlicher und wichtiger Einrichtungen, zuständiger Behörden und anderer interessierter Parteien.
  • Reaktion auf Vorfälle und Unterstützung: Bei auftretenden Vorfällen wird von den CSIRTs eine koordinierte Reaktion erwartet. Sie sollten betroffene wesentliche und wichtige Einrichtungen unterstützen, um die Auswirkungen von Vorfällen zu mindern und den Normalbetrieb wiederherzustellen.
  • Forensische Analyse und Lagebild: CSIRTs sind für die Sammlung und Analyse forensischer Daten nach Vorfällen verantwortlich. Diese Analyse trägt zu einem dynamischen Verständnis von Risiken und Vorfällen bei und hilft, ein umfassendes Lagebild zur Cybersicherheit aufrechtzuerhalten.
  • Proaktive Schwachstellenscans: Auf Anfrage sollten CSIRTs in der Lage sein, proaktive Scans der Netzwerk- und Informationssysteme wesentlicher oder wichtiger Einrichtungen durchzuführen. Diese Scans zielen darauf ab, Schwachstellen zu identifizieren, die bei einer Ausnutzung erhebliche Auswirkungen haben könnten.
  • Zusammenarbeit und gegenseitige Unterstützung innerhalb des CSIRT-Netzwerks: CSIRTs sind verpflichtet, aktiv am CSIRT-Netzwerk teilzunehmen, die Zusammenarbeit zu fördern und anderen Mitgliedern basierend auf ihren Fähigkeiten und ihrer Expertise gegenseitige Unterstützung zu leisten. Dieser kollaborative Ansatz verbessert die allgemeine Resilienz des Netzwerks und ermöglicht eine koordiniertere und effektivere Reaktion auf Cybersicherheitsvorfälle. Für NIS-Subjekte sieht die Richtlinie zudem die Pflicht zur Benennung eines CSIRT-Referenten vor, eine von der allgemeinen Kontaktstelle getrennte Rolle.
  • Koordinierung der Schwachstellenoffenlegung: CSIRTs können als Koordinatoren für die Schwachstellenoffenlegung fungieren und als vertrauenswürdige Vermittler zwischen denjenigen, die Schwachstellen melden, und den Herstellern oder Anbietern von IKT-Produkten, die potenziell verwundbar sind, agieren.

Zusätzliche Anforderungen:

  • Anfragenmanagement: CSIRTs sollten über ein System verfügen, um eingehende Anfragen effizient zu verwalten und zu eskalieren, insbesondere während Cybersicherheitsvorfällen. Dies stellt einen schlanken Ansatz bei der Bearbeitung von Informations- und Unterstützungsanfragen sicher.
  • Vertraulichkeit und Zuverlässigkeit: Die Wahrung der Vertraulichkeit und die Gewährleistung der operativen Zuverlässigkeit sind für CSIRTs von grundlegender Bedeutung. Dies beinhaltet den Schutz sensibler Informationen, die Einhaltung von Datenschutzbestimmungen und die Aufrechterhaltung konsistenter und zuverlässiger Dienste.
  • Personal und Kompetenz: CSIRTs sollten angemessen mit Personal ausgestattet sein, um einen kontinuierlichen Dienst zu leisten und eine 24/7-Verfügbarkeit zu gewährleisten. Zudem sollten Mitarbeiter eine angemessene Schulung erhalten, um die notwendigen Kompetenzen zur effektiven Bewältigung ihrer Aufgaben zu entwickeln. Es ist erwähnenswert, dass die Unterscheidung zwischen Kontaktstelle und CSIRT-Referent, eingeführt durch die ACN-Bestimmung Nr. 333017/2025, die internen Rollen klärt, die Organisationen besetzen müssen.
  • Redundanz und Backup: Die Implementierung von Redundanzmaßnahmen und die Bereitstellung von Backup-Arbeitsplätzen sind für CSIRTs entscheidend, um die operative Kontinuität bei Störungen aufrechtzuerhalten. Dies umfasst Backup-Systeme, alternative Kommunikationskanäle und eine externe Datenspeicherung.
  • Internationale Zusammenarbeit: CSIRTs werden ermutigt, kooperative Beziehungen zu ihren Pendants in anderen Ländern aufzubauen, insbesondere zu nationalen CSIRTs in Drittstaaten. Diese Zusammenarbeit zielt darauf ab, den Informationsaustausch zu erleichtern, bewährte Verfahren zu teilen und die globalen Cybersicherheitsbemühungen zu stärken.

Risikobasierte Priorisierung:

Die Quellen betonen, dass CSIRTs ihre Aufgaben auf Basis eines risikobasierten Ansatzes priorisieren können. Diese Flexibilität ermöglicht es ihnen, Ressourcen zuzuweisen und sich auf die kritischsten Aktivitäten zu konzentrieren, basierend auf der sich entwickelnden Bedrohungslage und den potenziellen Auswirkungen von Vorfällen. Diese risikobasierte Priorisierung stellt eine effizientere Nutzung der Ressourcen und eine effektivere Reaktion auf die dringendsten Cybersicherheitsherausforderungen sicher.

Die Quellen merken auch an, dass die Anforderungen an CSIRTs zusätzlich zu bestehenden nationalen oder EU-Rechtsvorschriften zum Datenschutz und zum Schutz klassifizierter Informationen gelten. Für Organisationen, die ihren Anwendungsbereich prüfen und einen strukturierten Anpassungsprozess einleiten müssen, deckt die von ISGroup angebotene Unterstützung zur Einhaltung der NIS2-Richtlinie sowohl die Erstbewertung als auch die Implementierung der erforderlichen Maßnahmen ab. Weitere Details zu Fristen und Anmeldeverfahren für das ACN-Verzeichnis finden Sie im Artikel zu ACN und dem NIS2-Verzeichnis.

Häufig gestellte Fragen zu CSIRT-Anforderungen in der NIS2

  • Müssen alle NIS2-Subjekte ein eigenes internes CSIRT einrichten?
  • Nein. Die NIS2-Richtlinie sieht vor, dass nationale CSIRTs von den Mitgliedstaaten eingerichtet werden. Wesentliche und wichtige Einrichtungen sind nicht verpflichtet, ein autonomes internes CSIRT zu schaffen, müssen jedoch in der Lage sein, mit dem zuständigen nationalen CSIRT zu interagieren und die Meldepflichten für Vorfälle einzuhalten. Einige große Organisationen entscheiden sich dennoch dafür, interne Incident-Response-Kapazitäten aufzubauen.
  • Was ist der Unterschied zwischen dem CSIRT-Referenten und der NIS2-Kontaktstelle?
  • Dies sind zwei unterschiedliche Rollen. Die Kontaktstelle ist der Ansprechpartner der Organisation gegenüber den zuständigen Behörden für allgemeine NIS2-bezogene Kommunikation. Der CSIRT-Referent hingegen ist die für die operative Interaktion mit dem nationalen CSIRT im Falle eines Vorfalls benannte Person. Die ACN-Bestimmung Nr. 333017/2025 hat diese Unterscheidung und die damit verbundenen Benennungspflichten geklärt.
  • Wie startet man konkret einen NIS2-Compliance-Prozess für eine der Richtlinie unterliegende Organisation?
  • Der Ausgangspunkt ist die Prüfung, ob die Organisation in den NIS2-Anwendungsbereich fällt, und die Anmeldung im ACN-Verzeichnis innerhalb der vorgesehenen Fristen. Anschließend muss eine Risikobewertung durchgeführt, die zu implementierenden Sicherheitsmaßnahmen identifiziert und die Verfahren zur Meldung von Vorfällen definiert werden. Ein strukturierter Prozess umfasst auch die Schulung des Personals und die regelmäßige Überprüfung der getroffenen Maßnahmen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *