NIS2, KRITIS-Dachgesetz und Digital Operational Resilience Act (DORA)

Eine Erläuterung der wesentlichen Anforderungen von NIS2, KRITIS-Dachgesetz und DORA, sowie die Bedeutung eines ganzheitlichen Sicherheitsmanagements. Und nicht zuletzt werden die Auswirkungen auf Zulieferer, die nicht direkt unter die Regularien fallen, beleuchtet.

Ein ganzheitliches Sicherheitsmanagement ist in der heutigen, zunehmend vernetzten Welt von zentraler Bedeutung. In diesem Zusammenhang stehen die NIS2-Richtlinie, das KRITIS-Dachgesetz und der Digital Operational Resilience Act (DORA) im Vordergrund, die jeweils spezifische Anforderungen und Rahmenbedingungen für die Cybersicherheit und Resilienz definieren. Diese Regularien fordern umfassende Sicherheitsstrategien, die weit über traditionelle Ansätze hinausgehen und die gesamte Wertschöpfungskette eines Unternehmens und einer Organisation betreffen. Insbesondere die Absicherung der Lieferkette spielt hierbei eine wichtige Rolle, da Schwachstellen bei Zulieferern massive Auswirkungen auf die Sicherheit und Resilienz kritischer Infrastrukturen haben können.

Einordnung EU-Richtlinie vs. EU- Verordnung

In der Europäischen Union gibt es verschiedene rechtliche Instrumente, um EU-weite Regeln und Standards festzulegen. Die EU-Richtlinie und die EU-Verordnung sind zwei zentrale Rechtsinstrumente, die sich in ihrem Anwendungsbereich, ihrer Verbindlichkeit und ihrer Umsetzungsweise unterscheiden.
EU-Richtlinien geben verbindliche Ziele vor, die von den Mitgliedsstaaten in nationales Recht umzusetzen sind. Sie lassen Spielraum für Anpassungen und länderspezifische Lösungen.
Hier sind die NIS2-Richtlinie und die RCE (Resilienz) Richtlinie einzuordnen. Beide Richtlinien müssen in nationales Recht umgesetzt werden.  Während die NIS2 Richtlinie die IT- und Cybersicherheit regelt, erfasst die RCE-Richtlinie analoge Gefährdungen und die Resilienz. NIS2 wird durch das IT-Sicherheitsgesetz 3.0 (BSIG 3.0) und die RCE Richtlinie durch das KRITIS-Dachgesetz umgesetzt. Das Gesetzgebungsverfahren ist noch nicht abgeschlossen, dennoch stehen die wichtigsten Vorgaben fest.
Eine EU-Verordnung gilt direkt und einheitlich in allen EU-Ländern, ohne dass die Mitgliedsstaaten sie in nationales Recht überführen müssen. Das beste Beispiel ist die DSGVO. Hier ist der DORA einzuordnen, also unmittelbar geltendes Recht im Finanzsektor. 

NIS2-Richtlinie – Erhöhte Anforderungen an Cybersicherheit

Die NIS2-Richtlinie der Europäischen Union erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie und verlangt ein hohes Maß an Cybersicherheit in einer Vielzahl kritischer und wesentlicher Sektoren, darunter Energie, Gesundheit, Transport und Finanzen. Es soll hier nicht auf den Anwendungsbereich eingegangen werden, man schätzt jedoch über 30.000 Unternehmen, die unter die Regelungen fallen werden.

Die Anforderungen umfassen im Wesentlichen:

Risikomanagement und Sicherheitsmaßnahmen
Unternehmen müssen systematische Risikomanagement-Strategien entwickeln, die Bedrohungen identifizieren und geeignete Schutzmaßnahmen implementieren. Dazu gehören Firewalls, Verschlüsselung, Zugriffskontrollen und Überwachungssysteme.

Vorfallsmanagement
Es müssen Verfahren zur Erkennung, Analyse und Bewältigung von Sicherheitsvorfällen existieren, um die Auswirkung auf den Betrieb zu minimieren.

Meldepflichten
Cybervorfälle mit potenziellen Auswirkungen auf den Betrieb sind unverzüglich an die zuständigen Behörden zu melden.
Schulung und Sensibilisierung
Regelmäßige Schulungen sollen sicherstellen, dass alle Ebenen eines Unternehmens sich der Risiken bewusst sind und entsprechend handeln.

Lieferkettensicherheit
Unternehmen müssen sicherstellen, dass auch ihre Lieferanten Sicherheitsanforderungen einhalten und entsprechende Maßnahmen implementieren. Die gesamte Lieferkette wird auf Sicherheitslücken überprüft, um ein umfassendes Risikomanagement zu gewährleisten.

KRITIS-Dachgesetz – Ein einheitlicher Rechtsrahmen für kritische Infrastrukturen

Das KRITIS-Dachgesetz in Deutschland erweitert die NIS2-Richtlinie, um kritische Infrastrukturen in Deutschland umfassend zu schützen. Es gilt für Sektoren wie Energie, Wasser, Gesundheit, IT und Telekommunikation. Im Gegensatz zu NIS 2 sind hier Schwellenwerte von Bedeutung, um in den Anwendungsbereich zu fallen. Es geht vor allen Dingen darum die Versorgungssicherheit der Bevölkerung zu gewährleisten, insbesondere durch Schutzmaßnahmen gegen analoge Gefährdungen wie z.B. Sabotage, Klimawandel etc.

Die zentralen Anforderungen umfassen:

Erweiterte Meldepflichten
Betreiber kritischer Infrastrukturen müssen ein umfassendes Berichtssystem einführen und alle potenziellen Risiken melden.

Regelmäßige Risikoanalysen und Schutzmaßnahmen
Unternehmen sind verpflichtet, Schwachstellen systematisch zu identifizieren und gezielte Sicherheitsmaßnahmen zu entwickeln.

Krisenmanagement und Notfallpläne
Es werden Notfallpläne und Wiederaufnahmepläne gefordert, die regelmäßig getestet werden, um die Funktionsfähigkeit in Krisensituationen sicherzustellen.

Sicherheitsnachweise von Zulieferern
Unternehmen müssen die Sicherheitsstandards ihrer Lieferanten regelmäßig prüfen und sicherstellen, dass Zulieferer ein hohes Sicherheitsniveau aufweisen.

Digital Operational Resilience Act (DORA) – Anforderungen an den Finanzsektor

DORA richtet sich speziell an Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. 
Die Anforderungen umfassen:

IT-Risikomanagement
Finanzunternehmen müssen Risikomanagementsysteme für die IT-Umgebung implementieren, die sowohl interne als auch externe IT-Risiken abdecken.

Überwachung und Berichterstattung von IT-Vorfällen
Unternehmen müssen IT-Vorfälle dokumentieren und den Behörden regelmäßig Bericht erstatten.

Sorgfaltspflicht gegenüber Drittanbietern
Finanzunternehmen müssen die Sicherheitsmaßnahmen von Drittanbietern überprüfen und sicherstellen, dass sie den DORA-Standards entsprechen.

Cyber-Resilienztests
Regelmäßige Stresstests und Sicherheitsüberprüfungen der IT-Systeme sind erforderlich, um die Resilienz gegen Bedrohungen zu gewährleisten.

Risikominimierung in der Lieferkette
Finanzdienstleister müssen sicherstellen, dass auch die Lieferanten den geforderten Sicherheitsstandards entsprechen.

Lieferkettensicherheit – zentraler Bestandteil aller drei Regularien  - Konkrete Anforderungen und Umsetzung:

Regelmäßige Sicherheitsüberprüfungen
Unternehmen müssen sicherstellen, dass die Sicherheitsstandards ihrer Lieferanten regelmäßig überprüft und Schwachstellen behoben werden.

Vertragliche Anforderungen
Sicherheitsanforderungen werden in Verträgen mit Lieferanten festgehalten und beinhalten oft den Schutz sensibler Daten und Meldepflichten bei Sicherheitsvorfällen.

Einsatz von Zertifizierungen
Zulieferer werden oft verpflichtet, Zertifizierungen wie ISO/IEC 27001 zu erlangen, um die Einhaltung der Cybersicherheitsstandards nachzuweisen.

Durchführung von Audits
Unternehmen führen regelmäßige Sicherheitsaudits durch, um die Einhaltung der Sicherheitsstandards bei ihren Lieferanten zu überprüfen.

Bedeutung eines ganzheitlichen Sicherheitsmanagements

Ein ganzheitliches Sicherheitsmanagement ist entscheidend, um den Anforderungen dieser Regularien gerecht zu werden und potenzielle Risiken effektiv zu managen. Die Vorteile eines solchen Managementansatzes umfassen:

Schutz vor wirtschaftlichen Schäden und Reputationsverlust
Ein integriertes Sicherheitsmanagement hilft, finanzielle Verluste durch Sicherheitsvorfälle zu minimieren und bewahrt das Vertrauen der Kunden und Partner.

Sicherstellung der Geschäftskontinuität
Ein umfassendes Managementsystem schützt die Betriebsabläufe und stellt sicher, dass kritische Geschäftsprozesse auch bei Cyberangriffen fortgeführt werden können.

Erfüllung gesetzlicher und regulatorischer Anforderungen
Ein umfassendes Sicherheitsmanagement hilft Unternehmen dabei, die Einhaltung rechtlicher Anforderungen nachzuweisen und sich vor Sanktionen zu schützen.

Integration der Lieferkettensicherheit
Die Sicherheit in der gesamten Lieferkette wird gewährleistet, indem Lieferanten regelmäßig überprüft und ihre Sicherheitsmaßnahmen an den geforderten Standards ausgerichtet werden.

Systematische Risikoanalyse und proaktive Gefahrenabwehr
Durch eine kontinuierliche Risikoanalyse können Unternehmen potenzielle Bedrohungen frühzeitig erkennen und präventive Maßnahmen ergreifen.

Sicherheitsbewusstsein und Unternehmenskultur
Ein ganzheitliches Sicherheitsmanagement fördert eine Kultur der Sicherheit, in der alle Mitarbeitenden für die Bedrohungen sensibilisiert sind und entsprechend handeln.

Anpassungsfähigkeit an technologische Entwicklungen
Ein flexibles Sicherheitsmanagement ermöglicht es Unternehmen, sich kontinuierlich an neue Technologien und Bedrohungen anzupassen.

Unterstützung der digitalen Transformation
Mit einem ganzheitlichen Ansatz können Unternehmen die Chancen der Digitalisierung nutzen, ohne dabei Sicherheitsrisiken einzugehen.

Auswirkungen auf Zulieferer

Auch Zulieferer, die selbst nicht direkt unter die Regularien fallen, sind von den Anforderungen der NIS2-Richtlinie, des KRITIS-Dachgesetzes und DORA betroffen. Sie müssen in zusätzliche Sicherheitsmaßnahmen investieren, um den Anforderungen ihrer Kunden gerecht zu werden und ihre Systeme an die hohen Sicherheitsanforderungen anpassen. Zulieferer werden vertraglich verpflichtet, den Sicherheitsstandard ihrer Kunden zu entsprechen und bei Sicherheitsvorfällen eine schnelle Kommunikation zu gewährleisten. Die Anforderungen an die Lieferkettensicherheit fordern von Zulieferern, ihre Maßnahmen kontinuierlich zu verbessern und auf dem neuesten Stand zu halten.

Fazit

Die NIS2-Richtlinie, das geplante KRITIS-Dachgesetz und DORA setzen neue Standards für die Cybersicherheit kritischer Infrastrukturen und den Finanzsektor. Ein ganzheitliches Sicherheitsmanagement, das die gesamte Wertschöpfungskette einbezieht, ist unverzichtbar, um den wachsenden Bedrohungen und den regulatorischen Anforderungen gerecht zu werden. Insbesondere die Lieferkettensicherheit spielt eine zentrale Rolle, da Sicherheitslücken bei Zulieferern die Sicherheit des gesamten Unternehmens gefährden können. Ein durchdachtes Sicherheitsmanagement schützt Unternehmen nicht nur vor finanziellen Verlusten, sondern stärkt auch das Vertrauen von Kunden und Partnern und unterstützt die langfristige Widerstandsfähigkeit und Wettbewerbsfähigkeit.

Autor: Holger Berens, Vorstandsvorsitzender des BSKI - Bundesverband für den Schutz Kritischer Infrastrukturen e.V.