In Italien wurde das Gesetz zur Beauftragung der Regierung mit der Umsetzung der Richtlinie veröffentlicht.
Netz- und Informationssicherheit2 ,Codename NIS2, ist die am 17. Januar 2023 in Kraft getretene europäische Richtlinie, die darauf abzielt, die Cybersicherheit zu stärken und kritische Infrastrukturen in Europa und den einzelnen Mitgliedstaaten zu schützen, indem sie auf die Zunahme immer raffinierterer und bösartigerer Cyber-Bedrohungen reagiert und eine robuste Verteidigungsstrategie entwickelt.
Wie wir schon oft gesagt haben, auch in diesem Blog, bringt die Entwicklung der Technologie, insbesondere der künstlichen Intelligenz, die ständige Verbindung aller privaten und beruflichen Geräte und die Fernarbeit, die während der Pandemie freigegeben wurde, ein zunehmendes Cyberrisiko mit sich.
Hinzu kommt die komplexe globale geopolitische Lage, die zunehmend eine sehr gefährliche Auswirkung im Netz hat: Staatlich gefördertesHacking, Cyberspionage und Cyberkriegsführung sind sicherlich nichts Neues, da sich die globalen Spannungen und Konflikte zunehmend im digitalen Raum manifestieren. All dies geht einher mit einer zunehmenden Professionalisierung der Cyberkriminalität.
Eine, gelinde gesagt, explosive Kombination, die das Risiko von Angriffen auf wichtige Sektoren unverhältnismäßig erhöht: Energie, Bildung, Gesundheit, öffentliche Verwaltung, Verkehr, Medien und Telekommunikation.
Dies sind alles Bereiche, die es sich sicher nicht leisten können, ihre Aktivitäten zu unterbrechen oder ihre wertvollen Datenbestände zu gefährden und die daher eine sehr attraktive und lukrative Beute für Kriminelle sind.
Eine starke Beschleunigung des Risikos, die die Europäische Union dazu zwang, die vorherige NIS-Richtlinie von 2016, die 2018 in Italien umgesetzt wurde und die nach Ansicht vieler mangelhaft war, durch die Herausgabe der NIS2 grundlegend zu überarbeiten.
Die Ziele und Maßnahmen der NIS2
Die neue Richtlinie ist daher ein notwendiger Schritt nach vorn auf dem Gebiet der digitalen Widerstandsfähigkeit und des Bedrohungsmanagements.
Sie verbessert nicht nur die Cybersicherheit, sondern will einen Fahrplan aufstellen, um eine ununterbrochene Unternehmensleistung zu gewährleisten und eine gut ausgebildete und digital fähige Belegschaft in jeder Arbeitsorganisation zu fördern.
Sie verfolgt dabei eine Reihe von Zielen, die von der Ausweitung des Anwendungsbereichs über die Abschaffung der – inzwischen überholten – Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste, die Verbesserung der Koordinierung in Bezug auf die vorgesehenen Sicherheitsmaßnahmen und die den Aufsichtsbehörden zur Verfügung stehenden Mittel bis hin zur Reduzierung des Ermessensspielraums der Mitgliedstaaten reichen.
Um seine Ziele zu erreichen, hat NIS2 eine Reihe von Maßnahmen geplant, darunter:
- Die Implementierung von Asset-Management-Praktiken zur Identifizierung und zum Schutz kritischer Informationssysteme und Ressourcen.
- Meldung an die zuständigen Behörden und Aufrechterhaltung der Reaktionsfähigkeit bei Zwischenfällen.
- Die Umsetzung von IT-Sicherheitsstrategien und Risikomanagement-Protokollen.
- Die Definition von Protokollen für das Management von Vorfällen, Meldepflichten und Reaktionsplänen.
- Die Entwicklung einer Strategie zur Gewährleistung der Kontinuität kritischer Dienste bei IT-Störungen.
- Die Umsetzung von Maßnahmen zur Sicherheit der Lieferkette, um die Sicherheit von Drittanbietern zu prüfen und zu gewährleisten.
- Schulung und Sensibilisierung der Mitarbeiter für optimale IT-Sicherheitsprotokolle.
- Die unverzügliche Meldung von Vorfällen an die zuständigen Stellen.
- Die Beseitigung von Unstimmigkeiten und die Stärkung der Kommunikation und Zusammenarbeit zwischen den Mitgliedsstaaten.
An der NIS2 beteiligte Akteure und Sektoren
Eine der wichtigsten Neuerungen, die mit der NIS2-Richtlinie eingeführt wurden, ist das breite Spektrum der beteiligten Sektoren.
Die als veraltet geltende Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste wird aufgegeben zugunsten der Unterscheidung zwischen
Wesentliche Themen (Akteure in hochkritischen Sektoren wie öffentliche Verwaltungen und Unternehmen in den Bereichen Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur usw.);
und wichtige Stakeholder (alle Stakeholder in anderen kritischen Sektoren, von mittleren Unternehmen aufwärts, wie Post- und Kurierdienste, Abfallwirtschaft, Anbieter digitaler Dienste usw.).
Der Anwendungsbereich der NIS2 erstreckt sich daher auch auf andere Unternehmen, darunter Sektoren wie die chemische Produktion, die Herstellung von Medizinprodukten, die Lebensmittelverarbeitung und soziale Netzwerkdienste, die bisher nicht in den Geltungsbereich der NIS fielen.
Obwohl diese Klassifizierungen ähnliche Verpflichtungen haben, werden die wesentlichen Unternehmen einer strengeren Prüfung durch die Aufsichtsbehörden und Durchsetzungsmaßnahmen unterworfen sein.
Nach den Größenkriterien sind alle großen Unternehmen in den identifizierten Sektoren automatisch beteiligt, d.h. solche mit mehr als 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Millionen Euro oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro.
Beteiligt sind auch mittlere Unternehmen, d.h. Unternehmen mit 50 bis 250 Beschäftigten oder einem Jahresumsatz oder einer Jahresbilanzsumme zwischen 10 und 50 Millionen Euro oder einer Jahresbilanzsumme von höchstens 43 Millionen Euro, die in den genannten Sektoren tätig sind.
Die Kriterien für die Bestimmung der öffentlichen Verwaltungen sind unterschiedlich, was den Mitgliedstaaten in der Umsetzungsphase mehr Spielraum für die Bewertung lässt. Schließlich werden einige spezifische Kategorien von Einrichtungen, einschließlich kleiner Unternehmen, in der Richtlinie genauer definiert.
Dies führt zu einer erheblichen Ausweitung des Spektrums der von der Richtlinie betroffenen Akteure: Nach Schätzungen der Europäischen Kommission werden die folgenden Akteure direkt betroffen sein etwa 110.000 Organisationen, die sich indikativ auf 67.000 wesentliche und 43.000 wichtige Themen verteilen. Auf italienischer Ebene könnte die Zahl bei insgesamt 15.000 Themen liegen. . Importanti naturalmente anche le ricadute sulla catena di fornitura.
Schutz der Lieferkette
Die neue Richtlinie verlangt von den Unternehmen, sich mit der Sicherheit der Lieferkette zu befassen, einschließlich der Risiken, die durch die Beziehungen zu den Lieferanten entstehen.
Letzteres ist ein entscheidender Aspekt, da viele Angriffe auf Schwachstellen von Drittanbietern zurückzuführen sind. Organisationen müssen daher die Qualität und Widerstandsfähigkeit der von ihnen genutzten Produkte und Dienstleistungen bewerten, um sicherzustellen, dass sie keine Schwachstelle für wichtige Dienstleister darstellen. Außerdem ist es für Unternehmen wichtig zu bewerten, wie ihre Drittanbieter die Cybersicherheit handhaben und ob die von ihnen eingesetzten Maßnahmen robust genug sind, um die gesamte Lieferkette zu schützen.
Um ein einheitliches IT-Sicherheitsniveau bei allen Anbietern zu gewährleisten und die Wahrscheinlichkeit von IT-Vorfällen zu verringern, müssen die Anbieter wesentlicher Dienste die erforderlichen Maßnahmen in die Verträge mit Drittanbietern aufnehmen.
Zusammenarbeit und Koordination auf europäischer Ebene: EU-CyCLONe
In der NIS2-Richtlinie wird viel Wert auf die Zusammenarbeit zwischen den Mitgliedstaaten gelegt.
In der Tat wurde die Gründung des EU-CyCLONe die sich aus Vertretern der EU-Länder zusammensetzt , die für das Cyber-Krisenmanagement zuständig sind, und, falls erforderlich, aus Vertretern der Europäischen Kommission.
Das Hauptziel von EU-CyCLONe ist es, die Art und Weise zu koordinieren, wie die verschiedenen Länder mit wichtigen Sicherheitsfragen umgehen, indem sie sicherstellen, dass sie gut auf den Umgang mit Cybervorfällen und -krisen vorbereitet sind, dass ein gemeinsames Verständnis darüber entwickelt wird, was während dieser Vorfälle und Krisen geschieht, dass die Auswirkungen von Vorfällen richtig eingeschätzt werden und dass die politischen Entscheidungsträger angeleitet werden, die besten Entscheidungen zu treffen.
EU-CyCLONe wird der Kooperationsgruppe regelmäßig über wichtige Cybersicherheitsvorfälle und -trends berichten, insbesondere über solche, die kritische Organisationen und Dienste betreffen.
Bis zum 17. Juli 2024 und danach alle 18 Monate wird die Organisation dem Europäischen Parlament und dem Rat einen Bericht vorlegen, in dem sie ihre jüngsten Aktivitäten darlegt.
Notfälle
Um eine schnelle Reaktion zu gewährleisten, verlangt die NIS2 von den betroffenen Organisationen eine rechtzeitige Meldung an das Computer Security Incident Response Team (CSIRT) oder eine zuständige nationale Behörde innerhalb von 24 Stunden nach dem Auftreten eines bedeutenden Cybervorfalls, d.h. eines Vorfalls, der zu einer erheblichen Unterbrechung von Prozessen oder einem finanziellen Verlust für die Organisation führt oder einer anderen Person erheblichen materiellen oder immateriellen Schaden zufügt. Falls erforderlich, können Organisationen auch um Unterstützung bei der Umsetzung von Abhilfemaßnahmen bitten. Die Behörden werden auf die Meldung reagieren, Hinweise zum Umgang mit dem Vorfall geben und ggf. andere betroffene Länder informieren.
Innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls muss die betroffene Organisation Einzelheiten zu dem Angriff sowie eine erste Einschätzung des Schadens vorlegen. Schließlich muss die betroffene Organisation innerhalb eines Monats nach Bekanntwerden des Vorfalls einen Bericht mit einer detaillierten Beschreibung des Schweregrads, der Auswirkungen, der Grundursache und der von der Organisation ergriffenen Abhilfemaßnahmen vorlegen.
Computer-Hygiene
Da Cyber-Bedrohungen immer komplexer und ausgeklügelter werden, ist es von entscheidender Bedeutung, dass Unternehmen ein grundlegendes Maß an Sicherheit und IT-Hygiene beibehalten, um wichtige Infrastrukturen zu schützen: regelmäßige Software- und Hardware-Updates, regelmäßige Passwortänderungen, Verwaltung neuer Installationen, Zugangsbeschränkungen auf Administratorenebene und Datensicherungen.
Da viele Angriffe über vernetzte Geräte erfolgen, sind Mitarbeiterschulungen und die Sensibilisierung der Benutzer für gängige Cyber-Bedrohungen von entscheidender Bedeutung für die Stärkung der Sicherheitskette.
