Vorbereitungen für die nationale Umsetzungsfrist der NIS2-Richtlinie

27.08.2024

Amy Jaqueline Wittmann

Open Source

Amy Jaqueline Wittmann

Da die Umsetzungsfrist für die überarbeitete Richtlinie über Netz- und Informationssysteme (NIS2) näher rückt, müssen Unternehmen in der gesamten EU Maßnahmen ergreifen, um die Einhaltung der Richtlinie zu gewährleisten. Die NIS2, die am 16. Januar 2023 in Kraft trat, ersetzt die ursprüngliche NIS1-Richtlinie und zielt darauf ab, die Cybersicherheit in den Mitgliedstaaten zu harmonisieren und zu verbessern. Mit ihrem breiteren Anwendungsbereich, dem risikobasierten Ansatz und dem Fokus auf die Sicherheit der Lieferkette trägt die NIS2 den wachsenden Cyber-Bedrohungen und der entscheidenden Bedeutung des Schutzes wesentlicher Dienste und digitaler Infrastrukturen Rechnung.

 

Unternehmen haben bis zum 17. Oktober 2024 Zeit, ihre nationalen Gesetze an die NIS2 anzupassen. Um sich effektiv vorzubereiten, müssen Unternehmen die Anwendbarkeit der Richtlinie, die spezifischen Anforderungen und die möglichen Auswirkungen verstehen, einschließlich der Frage, wie sich die Richtlinie auf die Verwendung von Open-Source-Software und -Technologie auswirkt.

Umfang von NIS2

Schutzschild mit einem Schlüsselloch und Sternen

    1. Die NIS2 erweitert den Anwendungsbereich ihrer Vorgängerin, der NIS1, erheblich und deckt eine größere Anzahl von Sektoren und Dienstleistungen ab, die für die gesellschaftliche und wirtschaftliche Stabilität von entscheidender Bedeutung sind. Die Richtlinie gilt für Schlüsselsektoren wie Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung sowie für wichtige Sektoren wie Postdienste, Abfallwirtschaft, Lebensmittelproduktion und Anbieter digitaler Dienste wie Cloud Computing, Online-Marktplätze und Suchmaschinen.

 

    1. Unternehmen, die in diesen Sektoren tätig sind, müssen strenge Cybersicherheitsmaßnahmen ergreifen, regelmäßige Risikobewertungen durchführen und bedeutende Vorfälle den nationalen Behörden melden. Der erweiterte Geltungsbereich spiegelt die zunehmende Vernetzung kritischer Infrastrukturen und die Notwendigkeit robuster Cybersicherheitspraktiken in allen Bereichen der Gesellschaft wider. Unternehmen mit weniger als 50 Mitarbeitern oder einem Jahresumsatz oder einer Bilanzsumme von weniger als 10 Millionen Euro sind jedoch von dieser Verordnung ausgenommen. Es gibt Ausnahmen von dieser Ausnahme, wenn diese kleineren Unternehmen für kritische Infrastrukturen unerlässlich sind oder in bestimmten Hochrisikosektoren tätig sind.

 

    1. Anwendung auf Nicht-EU-Unternehmen: Die NIS2 gilt unter bestimmten Bedingungen auch für Nicht-EU-Unternehmen. Wenn ein Nicht-EU-Unternehmen in einem von der NIS2 abgedeckten Sektor tätig ist und Dienstleistungen innerhalb der EU erbringt, muss es die Richtlinie einhalten. Dies gilt auch für Unternehmen, die Dienstleistungen für EU-Bürger oder innerhalb des EU-Marktes erbringen. Solche Nicht-EU-Unternehmen müssen einen Vertreter in der EU benennen, um die Einhaltung der NIS2-Verpflichtungen sicherzustellen. Dieser Vertreter fungiert als Bindeglied zu den EU-Regulierungsbehörden und ist für die Einhaltung der Richtlinie durch das Unternehmen verantwortlich.

 

Auswirkungen auf Open Source Software und Technologie

NIS2 legt großen Wert auf die Sicherheit der Lieferkette und schreibt strenge Cybersicherheitsstandards für Organisationen vor, die als wesentlich oder wichtig eingestuft sind. Die kommerziellen Komponenten können in der Regel leicht identifiziert werden: Anhand der Lieferantenliste lassen sich die kommerziellen Komponenten schnell ausfindig machen. Bei den Open-Source-Komponenten ist dies schwieriger. Dies hat direkte Auswirkungen auf die Verwendung von Open-Source-Software:

    1. Erhöhte Sicherheitsanforderungen: Organisationen müssen sicherstellen, dass Open-Source-Technologien die NIS2-Cybersicherheitsstandards erfüllen. Dazu gehören regelmäßige Updates, Schwachstellenbewertungen und rechtzeitiges Patch-Management, um die mit Open-Source-Komponenten verbundenen Risiken zu minimieren.
    2. Sicherheit der Lieferkette: Die Richtlinie verlangt von Unternehmen, die Sicherheitspraktiken ihrer Open-Source-Software-Lieferanten zu bewerten. Dazu gehört die Bewertung der Herkunft und Wartung von Open-Source-Projekten, um sicherzustellen, dass sie keine Schwachstellen in kritische Systeme einbringen. Dazu gehört auch die Bewertung aller transitiv abhängigen Open-Source-Pakete. Die Integration solcher Pakete ist oft nicht sofort ersichtlich, auch nicht für die Entwickler. Alle Softwarekomponenten, die Software Bill of Materials (SBOM), müssen dokumentiert werden. Dies wird normalerweise von spezialisierten Unternehmen durchgeführt.
    3. Regelmäßige Prüfung aller verwendeten Open-Source-Pakete auf Sicherheitslücken. Jeden Tag werden neue Schwachstellen entdeckt, laut BSI etwa 70 pro Tag. Alle Komponenten der SBOM müssen regelmäßig auf neu entdeckte Schwachstellen überprüft werden.
    4. Meldung von Vorfällen und Haftung: Die NIS2 verlangt von Unternehmen, dass sie erhebliche Vorfälle im Bereich der Cybersicherheit, einschließlich solcher, die Open-Source-Software betreffen, an die nationalen Behörden melden (Dreistufige Meldepflicht für schwere Zwischenfälle – 24 Stunden Frühwarnung, 72 Stunden Berichterstattung über den Zwischenfall, ein Monat Abschlussbericht). Das Management kann auch dafür verantwortlich gemacht werden, dass die Verwendung von Open-Source-Technologie die Cybersicherheit des Unternehmens nicht gefährdet, was die rechtlichen und operativen Risiken erhöht.

Gemäß NIS2 können Unternehmen, die die Richtlinie nicht einhalten, mit erheblichen Geldstrafen belegt werden. Die Strafen können bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Die Unternehmensleitung kann auch persönlich für die Nichteinhaltung der Richtlinie haftbar gemacht werden und muss mit rechtlichen Schritten, einschließlich Geldstrafen oder dem Ausschluss aus dem Unternehmen, rechnen, wenn sie es versäumt, die Einhaltung der Richtlinie zu gewährleisten. Darüber hinaus können Unternehmen Schadensersatzforderungen von betroffenen Parteien ausgesetzt sein, wenn ihre Nichteinhaltung zu einem Sicherheitsvorfall führt, der Schaden verursacht.

Angesichts dieser Anforderungen müssen Unternehmen ihre Verwendung von Open-Source-Software sorgfältig verwalten, um die NIS2-Vorschriften einzuhalten und ihre Systeme vor neuen Bedrohungen zu schützen. Manager müssen nachweisen können, dass sie ihren treuhänderischen Pflichten nachgekommen sind, um eine persönliche Haftung zu vermeiden und ihr Unternehmen vor Geldstrafen, Bußgeldern oder Klagen zu schützen.

 

Checkliste für Unternehmen: Wichtige vorbereitende Schritte für die Einhaltung der Vorschriften

Um sich an die NIS2 anzupassen und die damit verbundenen Risiken zu bewältigen, sollten Unternehmen:

    • Risikobewertungen durchführen: Identifizieren Sie alle verwendeten Softwarekomponenten (SBOM) und bekannten Schwachstellen, auch im Zusammenhang mit Open-Source-Software, und implementieren Sie maßgeschneiderte Risikomanagementstrategien.
    • Entwickeln Sie einen Plan zur Reaktion auf Vorfälle: Erstellen Sie einen umfassenden Plan zur Erkennung, Meldung und Behebung von Cybersicherheitsvorfällen.
    • Gewährleisten Sie die Sicherheit der Lieferkette: Bewerten und sichern Sie die Cybersicherheitspraktiken der Lieferanten, einschließlich derjenigen, die Open-Source-Software bereitstellen.
    • Testen Sie regelmäßig auf neue Schwachstellen. Angesichts der großen Anzahl von Komponenten und Schwachstellen sollte dies automatisiert werden.
    • Implementieren Sie Sicherheit durch Design: Integrieren Sie Cybersicherheitsmaßnahmen in das Design und die Entwicklung von Produkten und Dienstleistungen.
    • Schulen Sie Ihre Mitarbeiter: Informieren Sie Ihre Mitarbeiter über bewährte Verfahren der Cybersicherheit und weisen Sie sie auf die besonderen Risiken von Open-Source-Software hin.
    • Bleiben Sie auf dem Laufenden: Halten Sie sich über die Entwicklungen bei der Umsetzung von NIS2 auf dem Laufenden und nehmen Sie nach Möglichkeit an Konsultationen teil.

Durch diese Schritte können sich Unternehmen besser auf die NIS2-Verpflichtungen vorbereiten und ihre allgemeine Cybersicherheitslage verbessern.

NIS2 FAQ

    1. Was ist NIS2 und warum ist es wichtig?
      NIS2 oder die überarbeitete Richtlinie über Netz- und Informationssysteme ist eine EU-Richtlinie, die die Cybersicherheit in der gesamten Europäischen Union verbessern soll. Sie trat am 16. Januar 2023 in Kraft und ersetzte die ursprüngliche NIS-Richtlinie (NIS1). Die NIS2 erweitert den Anwendungsbereich der regulierten Unternehmen, verfolgt einen risikobasierten Ansatz und konzentriert sich auf die Sicherheit der Lieferkette. Sie ist von entscheidender Bedeutung für die Verbesserung der Widerstandsfähigkeit wesentlicher Dienste und digitaler Infrastrukturen gegenüber sich entwickelnden Bedrohungen der Cybersicherheit.
    2. Wie wirkt sich NIS2 auf die Nutzung von Open-Source-Software aus?
      NIS2 hat erhebliche Auswirkungen auf Organisationen, die Open-Source-Software verwenden. Die Richtlinie verlangt, dass Open-Source-Technologien strenge Cybersicherheitsstandards erfüllen, einschließlich regelmäßiger Updates, Schwachstellenbewertungen und Patch-Management. Außerdem müssen Unternehmen die Sicherheitspraktiken ihrer Open-Source-Lieferanten bewerten und sicherstellen, dass diese Technologien keine Schwachstellen in kritische Systeme einbringen. Die Nichteinhaltung dieser Vorschriften kann zu Meldepflichten für Vorfälle und einer erhöhten Haftung des Managements führen.
    3. Was ist der Anwendungsbereich von NIS2 und gibt es Unternhemen außerhalb der EU?
      NIS2 gilt für eine breite Palette wesentlicher und wichtiger Sektoren, darunter Energie, Transport, Gesundheitswesen, digitale Infrastruktur und mehr. Die Richtlinie gilt auch für Nicht-EU-Unternehmen, die in diesen Sektoren tätig sind und Dienstleistungen innerhalb der EU erbringen. Nicht-EU-Unternehmen müssen einen Vertreter in der EU benennen, der die Einhaltung der NIS2 gewährleistet und als Ansprechpartner für die EU-Regulierungsbehörden fungiert.
    4. Was sind die wichtigsten Verpflichtungen im Rahmen von NIS2?
      Organisationen, die der NIS2 unterliegen, müssen:
    • Risikobewertungen durchführen, um Schwachstellen in der Cybersicherheit zu erkennen und zu beheben, auch in Open-Source-Software.
    • Einen Plan zur Reaktion auf Vorfälle entwickeln und umsetzen, um Vorfälle im Bereich der Cybersicherheit sofort zu erkennen, zu melden und zu beheben.
    • Sichern Sie Ihre Lieferkette, indem Sie sicherstellen, dass Lieferanten, einschließlich Open-Source-Projekten, die erforderlichen Sicherheitsstandards einhalten.
    • Integrieren Sie Maßnahmen zur Cybersicherheit in den Entwurf und die Entwicklung von Produkten und Dienstleistungen („security by design“).
    • Melden Sie bedeutende Vorfälle im Bereich der Cybersicherheit, einschließlich solcher, die Open-Source-Software betreffen, an die zuständige nationale Behörde.
    1. Was sind die Strafen für die Nichteinhaltung der NIS2?
      Die Strafen für die Nichteinhaltung von NIS2 können schwerwiegend sein und variieren je nach Land, da jeder EU-Mitgliedstaat die Richtlinie in nationales Recht umsetzt. Unternehmen können mit Geldstrafen, rechtlichen Schritten und Rufschädigung rechnen. Darüber hinaus kann die Unternehmensleitung persönlich für die Nichteinhaltung von Cybersicherheitsverpflichtungen haftbar gemacht werden, insbesondere wenn Open-Source-Software Schwachstellen aufweist, was zu weiteren Sanktionen führt.