Newsletter
Exklusive Expertentipps, Anwenderberichte und mehr.
Das bringen die EU-Richtlinien NIS2 und RCE/CER:
Dieser Blogbeitrag befasst sich mit den EU-Sicherheits- und Resilienz-Richtlinien NIS2 und RCE/CER.
Diese internationalen EU-Regelungen zielen auf Kritische Infrastrukturen und andere essentielle und wichtige Unternehmen und Einrichtungen in der EU ab.
Dieser Blogbeitrag wurde in Deutschland verfasst, mit einigen hilfreichen Verweisen auf die aktuelle deutsche KRITIS-Regulierung zum eigenen Verständnis, zielt aber primär auf den aktuellen internationalen EU-Rechtsrahmen ab.
Sie erhalten einen groben inhaltlichen Überblick über die im Dezember 2022 verabschiedeten zwei EU-Richtlinien:
(*) CER im deutschsprachigen Sprachraum oft verwendet
Gesteigerte Awareness für Sicherheit und Resilienz durch geopolitische Veränderungen
Spätestens seit der veränderten geopolitischen Sicherheitslage erlangte der Schutz Kritischer Infrastrukturen (KRITIS) und anderer systemkritischer Unternehmen gesteigerte Aufmerksamkeit in der Europäischen Union: Bei den KRITIS-Betreibern in der EU, in der EU-Bevölkerung, aber auch bei den politischen Akteuren in der EU und den einzelnen EU-Ländern.
Die KRITIS-Regulierung und die Regulierung anderer essentieller und wichtiger und systemkritischer Unternehmen („essential/important/critical entities“) wird sich von daher in den nächsten Jahren in der EU deutlich weiterentwickeln und verschärfen. Mehr Pflichten, mehr technische und organisatorischen Anforderungen, mehr Betroffenheit (niedrigere Schwellenwerte bzw. andere Einteilungs- bzw. Betroffenheitskriterien wie Mitarbeiteranzahl und Umsatz) und neben Cybersecurity-Vorschriften erstmalig auch verpflichtende Schutzstandards für die physische Sicherheit und Resilienz werden auf die betroffenen EU-Unternehmen zukommen.
In vielen Fällen schließen diese Vorschriften auch Hersteller und Vorlieferanten mit ein, Stichwort Vertrauenswürdigkeit und Sicherheit in der Lieferkette.
21 (d) „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“
Unsere Interpretation zu Artikel 21 (d): Sicherheit in der Lieferkette / Supply Chain
Cybersecurity, Resilienz und physische Sicherheit gemeinsam und übergreifend „denken“
Ziel der neuen EU-Richtlinien NIS2 und RCE/CER ist nicht nur die Cybersicherheit, sondern – v.a. durch RCE gefordert – die Resilienz und die ganzheitliche Sicherheit inkl. physischer Sicherheit von Kritischen Infrastrukturen und weiteren wesentlichen und wichtigen und systemrelevanten Unternehmen.
Die drei Dimensionen von KRITIS-Resilienz
Bezugnehmend auf diese gesetzliche EU-Regulatorik sind aus unserer Sicht folgende inhaltlichen drei Dimensionen von Resilienz zu beachten, um ganzheitliche KRITIS-Resilienz zu erreichen:
Rechtlicher Regulierungsrahmen HEUTE
Beispiel einer nationalen Umsetzung von EU-Recht: In Deutschland reguliert aktuell das IT-Sicherheitsgesetz 2.0 respektive das BSIG die Cybersecurity von klassischen KRITIS-Sektoren.
Es geht bei allen Regularien zur KRITIS-Cybersicherheit immer um die Sicherstellung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse. Diese müssen dem aktuellen Stand der Technik entsprechen, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu erreichen. Ein angekündigtes KRITIS-Dachgesetz soll in Deutschland künftig (2023ff) neben der Cybersecurity auch die generelle Resilienz und speziell die physische Sicherheit von KRITIS-Sektoren regulieren.
In den anderen EU-Ländern wird die Cybersecurity (und eventuell bereits Teilaspekte von Resilienz) durch entsprechende Landesgesetze reguliert, welche die europäische NIS-Richtlinie in nationales Recht umsetzen.
In Österreich beispielsweise heißt das Pendant zum deutschen IT-Sicherheitsgesetz / BSIG in Anlehnung an die EU-Richtlinie „NISG“.
Ihre Aufgaben HEUTE:
Rechtlicher Regulierungsrahmen MORGEN (Jahr 2023ff)
Mit der Richtlinie zur Netz- und Informationssicherheit (NIS2) werden neue Regeln eingeführt, um ein hohes gemeinsames Niveau der Cybersicherheit in der EU zu fördern – sowohl für Unternehmen als auch für Länder. Durch die Richtlinie werden auch die Cybersicherheitsanforderungen für mittlere und große Unternehmen, die in Schlüsselsektoren tätig sind und Dienstleistungen anbieten, verschärft.
Mit der RCE Richtlinie werden neue Regeln eingeführt, um die RESILIENZ und auch die physische Sicherheit von kritischen Einrichtungen zu stärken.
Neben der bestehenden EU- bzw. nationalen Cyber-Regulierung von klassischen Kern-KRITIS-Sektoren stehen im Zeitraum 2023 bis 2024 folgende neuen und erweiterten Anforderungen im Fokus der europaweiten Sicherheits-Regulierung:
1) Inhaltliche Erweiterung
2) Scope und Betroffenheit
3) Entities
Der EU-Rechtsrahmen nachfolgend in der Schnellübersicht
Die EU-Richtlinien im Wortlaut (Original)
Komplexe EU-Regulierung „schreit“ nach Harmonisierung
Bei den EU-Richtlinien zeigt sich leider neben dem Urproblem der EU, die Interessen von 27 Einzelstaaten „unter einen Hut zu bringen“, die detailreiche und heterogene EU-Bürokratie und die „föderale nationale Umsetzungsfreiheit mit diversen nationalen Öffnungsklauseln“ mit der berechtigten hörbaren Meinung aus dem Markt:
„Die ganze Regulierung ist sehr komplex und unübersichtlich, sie schreit direkt nach Harmonisierung.“
Unser Versuch der „Entmystifizierung“ und „Harmonisierung“ in einfachen Worten:
Noch viele Detail- und Umsetzungsfragen offen
Die einzelnen Definitionen, Einteilungen und Abgrenzungen am „EU-Papier“ werden in der Realität und der nationalen Umsetzung zu Überschneidungen oder Mehrfachbetroffenheit oder Abgrenzungsschwierigkeiten und Fragen zum Vorrang einzelner Vorschriften führen und noch spannende Detail-Fragen offen lassen, die der jeweilige nationale Gesetzgeber bzw. die zuständigen nationalen Behörden zu klären haben.
Ihre Aufgaben MORGEN:
Nachfolgend noch drei Informationen in eigener Sache bzw. für Ihr KRITIS-Video-Projekt:
Info 1 / Top Tipp: KRITIS Praxisleitfaden Videotechnik
Info 2 / Tipp 2:
Info 3 / Tipp 3: Externe unabhängige Infoquelle