Videotechnologie und Cybersicherheit für KRITIS

Cybersecurity für KRITIS-Betreiber und NIS-2-Einrichtungen

Zählen Unternehmen zu sog. KRITIS-Betreibern oder NIS-2-Einrichtungen, werden diese hinsichtlich der Cybersicherheit gesetzlich reguliert,

in der Europäischen Union (EU) durch eine verpflichtende Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS 2-Richtlinie)
in allen europäischen Ländern durch nationale Gesetze, welche die EU-NIS2-Richtlinie in nationales Recht umsetzen

Verschärfung der Regeln

Als Hersteller von Videoüberwachungslösungen tragen wir Verantwortung für die Sicherheit unserer Produkte – insbesondere im Einsatz und Kontext kritischer Infrastrukturen (KRITIS) und unter der neuen europäischen NIS-2-Richtlinie.

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie, die die Cybersicherheit in wichtigen Sektoren und Branchen stärken soll. Sie erweitert den Anwendungsbereich der bisherigen NIS1-Richtlinie und führt strengere Anforderungen und Sanktionen ein. Betroffene Betreiber und Unternehmen müssen ihre Netz- und Informationssysteme besser schützen und Sicherheitsvorfälle melden.

Aktueller Stand der Technik gefordert

Es geht bei allen Regularien zur KRITIS-Cybersicherheit immer um die Sicherstellung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse. Diese müssen dem aktuellen Stand der Technik entsprechen, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu erreichen.

In Deutschland: Optionale Garantieerklärung seitens Hersteller / Vorlieferanten

In Deutschland müssen seit 2022 neben den KRITIS-Betreibern optional auch Hersteller und Vorlieferanten eine Garantieerklärung / Vertrauenswürdigkeitsprüfung bei kritischen Komponenten ablegen gemäß § 9b Absatz (3) BSIG.

Das Dallmeier Versprechen

Videosicherheitslösungen und Produkte von Dallmeier verfügen über ein Höchstmaß an technischen Vorkehrungen und Funktionen, mit denen Kunden und KRITIS-Betreiber cybersicherheitskonforme Videosicherheitslösungen implementieren können.

Dallmeier steht für ein Höchtsmaß an Sicherheit bzgl. Recht und Compliance, Datenschutz und Cybersecurity:

made in Europe, made in Germany
konform zur DSGVO
konform zu EU-weiten Cybersicherheitsvorschriften wie der EU-NIS-Richtlinie oder nationalen Vorschriften wie dem deutschem IT-Sicherheitsgesetz 2.0 / BSIG

NIS2-Einzelanforderungen

Gespiegelt an Dallmeier ISO 27001-Prozessen

NIS2-Anforderung	NIS2-Richtlinie (EU)	NIS2-Umsetzungsgesetz / BSIG (Deutschland)	Dallmeier ISO 27001	Dallmeier als Vorlieferant / Hersteller
Stand der Technik	Art. 21 (1), EG 85	§ 30	ISO 27001 = technologieneutral ISO als Grundlage für Stand der Technik in der IT-Sicherheit (Handreichung TeleTrust) + Stand der Technik Videoüberwachungstechnik + Hinweis (*): Dallmeier erfüllt	✓
Security by Design	Art. 21 (2) e)	§ 30	A.5.20, A.5.24, A.5.36, 5.37, A.6.08, A.8.09, A.8.19, A.8.20, A.8.21	✓
Sicherheit der Lieferkette	Art. 21 (2) d), Art. 21 (3)	§ 30	A.5.19, A.5.20, A.5.21, A.5.22, A.5.23	✓
Sicherheit der Integrationskette	Art. 21 (2) d) und e)	§ 30	A.5.19, A.5.20, A.5.21, A.5.22, A.5.23	✓
Regelmäßige Updates und Patches	Art. 21 (2) e) und g)	§ 30	A.5.35, A.5.36, A.5.07, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.08, A.8.16	✓
Authentifizierung und Autorisierung	Art. 21 (2) i) und j)	§ 30	A.5.12, A.5.13, A.5.14, A.5.15, A.5.16, A.5.17, A.5.18, A.8.01, A.8.02, A.8.03	✓
Kryptografie und Datenverschlüsselung	Art. 21 (2) f)	§ 30	A.8.20, A.8.21, A.8.22, A.8.24	✓
Meldewesen und Schwachstellenmanagement	Art. 21 (2) e)	§ 30	A.5.07, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.08, A8.07, A8.08, A8.15, A8.16	✓
Datenschutz durch IT-Sicherheit	Ableitung aus Art. 20, Art. 21 (1), Art. 23 (4), EG 14 und 51	§ 30	insbesondere: A.5.34 Privatsphäre und Schutz personenbezogener Daten (PII)	✓
Schulungen und Awarenessmaßnahmen	Art. 20 (1) und (2), Art. 21 (2) d) und g); EG 88 und 89	§ 30	A.5.1, A. 5.2, A.5.3, A.6.3, A. 5.23, A.5.28	✓

Nutzen für NIS2-Kunden

Cyberresilienz entlang der gesamten Lieferkette
Nachweis der NIS2-Compliance gegenüber Aufsichtsbehörden
Vermeidung Ausfallkosten durch stabile Business Continuity

Vermeidung Bußgeld für Einrichtung
Vermeidung persönliche Haftung Geschäftsleitung

(*)
_{^{There is no provision in ISO 27001 or in any law that states in a general and binding manner: “Anyone who complies with ISO 27001 automatically complies with the state of the art.”}}

_{^{Why not?}}

_{^{ISO 27001 is an international management standard for information security management systems (ISMS).}}
_{^{It defines processes and controls, but it is technology-neutral and does not specify which specific security measures are “state of the art.”}}

_{^{Where does the reference to ISO 27001 ↔ “state of the art” come from?}}

_{^{Authorities such as the BSI or data protection supervisory authorities often say:}}
_{^{The introduction of an ISMS in accordance with ISO 27001 supports compliance with the state of the art because the standard systematically records security risks and selects appropriate measures.}}
_{^{In practice, ISO 27001 is often accepted as proof that an organization works in a state-of-the-art manner in terms of organization and processes.}}
_{^{ISO 27001 alone = a good foundation, but does not automatically fulfill “state of the art.”}}
_{^{Combination of ISO 27001 + current technical security standards = strong evidence.}}

Weitere Informationen

EU NIS 2-Richtlinie zur Cybersicherheit seit November 2022 in Kraft:

EU Parlament online: Das EU-Parlament und der Rat haben im November 2022 dem NIS 2 Entwurf zugestimmt
Offizielles Dokument: Hohes gemeinsames Cybersicherheitsniveau in der Union (P9_TA(2022)0383)

EU Richtlinie Resilienz kritischer Infrastrukturen seit November 2022 in Kraft:

EU Parlament online: Parlament nimmt neue Regeln zum Schutz kritischer Infrastruktur in der EU an

Unsere KRITIS-Expertise und Kernkompetenz Videotechnik

Nachfolgend noch vier Informationen in eigener Sache bzw. für Ihr KRITIS-Video-Projekt:

Info 1 / Top Tipp: KRITIS Praxisleitfaden Videotechnik

Der KRITIS Praxisleitfaden Videotechnik von Dallmeier schafft Überblick für Sicherheitsverantwortliche
80 Seiten Orientierung für Entscheider zum Thema Videotechnik
Fordern Sie hier ihr persönliches Exemplar an

Info 2 / Blogbeitrag „Der EU-Rechtsrahmen für Kritische Infrastrukturen und andere Schlüsselsektoren“