Interview mit Renaud André, Head of Segment Services & Utilities, DEEP
Mit NIS2 verlangt die europäische Regulierungsbehörde von kritischen Akteuren, Organisationen, die eine systemische Position einnehmen, die Sicherheitsmaßnahmen ihrer Informationssysteme zu verstärken.
Die neue Version der Richtlinie soll anspruchsvoller sein. Sie gilt auch für mehr Akteure in verschiedenen Sektoren und unterschiedlicher Größe. Im Hinblick auf das Inkrafttreten dieser neuen Anforderungen müssen sich die betroffenen Organisationen aktiv vorbereiten.
DEEP unterstützt die betroffenen Unternehmen und Organisationen bei der Bewältigung dieser Herausforderungen durch sein Fachwissen in den Bereichen Umgang mit sensiblen Daten, Sicherheit und Widerstandsfähigkeit.
Im Jahr 2016 führte die Europäische Union mit der ersten NIS-Richtlinie ein Regelwerk ein, das ein gemeinsames hohes Maß an Cybersicherheit in der gesamten EU gewährleisten sollte. Dabei ging es insbesondere um den Schutz vor Vorfällen, die systemrelevante Akteure betreffen und große Auswirkungen auf die gesamte EU haben können.
Die neuen Anforderungen betrafen vor allem Akteure, die in den einzelnen Mitgliedstaaten als Betreiber wesentlicher Dienste identifiziert wurden und in bestimmten Sektoren tätig sind, die als lebenswichtig gelten, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitale Infrastrukturen.
Erweitertes Feld, verstärkte Maßnahmen
Durch die schnelle Entwicklung inmitten einer digitalen Wirtschaft, in der alles zunehmend verbunden und vernetzt ist, hat der europäische Gesetzgeber Ende 2022 eine Überarbeitung dieser Richtlinie verabschiedet.
Durch NIS2 soll der bestehende Rechtsrahmen modernisiert werden, um die Digitalisierung von Wirtschaft und Gesellschaft zu unterstützen, wobei die Entwicklung der Bedrohungslandschaft im Bereich der Cybersicherheit berücksichtigt wird“, erklärt Renaud André. In diesem Sinne erweitert die Richtlinie den Anwendungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen, um die Widerstandsfähigkeit und Reaktionsfähigkeit auf Vorfälle von öffentlichen und privaten Akteuren sowie von zuständigen Behörden und der EU als Ganzes weiter zu verbessern.“
Inkrafttreten Mitte 2024
Die Richtlinie wurde auf EU-Ebene verabschiedet und muss in jedem Mitgliedstaat in nationales Recht umgesetzt werden, damit sie bis Oktober 2024 tatsächlich in Kraft treten kann. Obwohl die Liste der wesentlichen Betreiber aus Sicherheitsgründen nicht öffentlich bekannt gegeben wird, ist davon auszugehen, dass sie eine größere Anzahl von Akteuren umfassen wird.
Alle von der Richtlinie betroffenen Unternehmen müssen ihr Sicherheitsniveau erhöhen und eine Reihe von Anforderungen gegenüber der Regulierungsbehörde erfüllen, zu der in Luxemburg die ILR und die CSSF gehören.
Im Herzen unserer digitalen Gesellschaft können neben den großen Akteuren wie Banken, Flughafengesellschaften, Energieversorgern oder Betreibern digitaler Dienste wie DEEP auch kleinere Strukturen von dieser Richtlinie betroffen sein,“ versichert Renaud André. Viele innovative Akteure zum Beispiel können eine Rolle bei der Verwaltung von als systemisch angesehenen Operationen spielen, in den Bereichen Gesundheit, Finanzen, Zahlungen oder auch Energie.“
Sich ohne Verzögerung vorbereiten
Alle möglicherweise betroffenen Akteure müssen sich bereits jetzt, im Vorgriff auf eine mögliche Meldung, mit den neuen Anforderungen der neuen Richtlinie und den Erwartungen der Regulierungsbehörden auseinandersetzen.
„Zu diesen Anforderungen gehören die Dokumentation der Sicherheitsmaßnahmen, die Einrichtung von Verfahren zur Krisenbewältigung und die Meldung von Vorfällen innerhalb bestimmter Fristen“, so Renaud André. Diese Anforderungen können relativ komplex zu verstehen und schwer umzusetzen sein. Daher ist es wichtig, sich vorzubereiten. „Dies beginnt mit der Ermittlung der Herausforderungen und Risiken für das eigene Unternehmen oder die Dienstleister. In Zusammenarbeit mit den Regulierungsbehörden, in einem konstruktiven und proaktiven Ansatz, müssen die Akteure ihre Sicherheitsvorkehrungen umsetzen oder verstärken, und zwar so schnell wie möglich, indem sie nach den geeignetsten Lösungen suchen.“
Einen strukturierten Prozess einleiten
Zu diesen Themen gibt es eine Vielzahl von Antworten. Es gibt jedoch eine Reihe von Standards oder Normen, auf die man sich stützen kann, um einen robusten Ansatz für Sicherheit und Widerstandsfähigkeit aufzubauen.
Dazu gehören ISO27001, die bewährte Verfahren für die Einrichtung eines Informationssicherheitsmanagementsystems beschreibt, und ISO22301, die sich mit dem Management der Geschäftskontinuität befasst. Für in der Cloud gehostete Dienste kann auch das noch in der Entwicklung befindliche Europäische Zertifizierungsschema für Cybersicherheit für Cloud-Dienste (EUCS) erwähnt werden.
Renaud fährt fort: „Das richtige Verständnis dieser Standards ist eine Grundlage, um sich auf diese neuen Anforderungen vorzubereiten. Da wir selbst die Zertifizierungen für diese Standards erhalten haben, können wir den betroffenen Organisationen dabei helfen, ihren Ansatz zu strukturieren und die Richtlinie einzuhalten. Andererseits können wir mit den verschiedenen Fachkenntnissen von DEEP die Einführung von technischen Lösungen begleiten, die jedem ein hohes Maß an Sicherheit und Ausfallsicherheit garantieren.“
Für die betroffenen Akteure, die nunmehr als wesentliche Einheiten (EE) oder wichtige Einheiten (IE) eingestuft werden, wird es darum gehen, sich operativ auf Akteure zu stützen, die sich dieser Herausforderungen bewusst sind und in gleicher Weise daran beteiligt sind.
