Durchführungsverordnung zur Cybersicherheits-Risikomanagement bei IT-Infrastruktur-Anbieter

Eine geplante Durchführungsverordnung der Europäischen Kommission zielt darauf ab, technische und methodologische Anforderungen für Cybersicherheits-Risikomanagementmaßnahmen festzulegen.

Die Durchführungsverordnung spezifiziert zudem die Fälle, in denen ein Vorfall als signifikant betrachtet wird, hier für Anbieter von DNS-Diensten, TLD-Name-Registrierungen, Cloud-Computing-Diensten, Datenzentren, Content-Delivery-Netzwerken, Managed Services und Sicherheitsdiensten, Online-Marktplätzen, Suchmaschinen, sozialen Netzwerken und Vertrauensdienste.

Rechtsgrundlage

Die Verordnung basiert auf der NIS2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments, welche Maßnahmen für ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der Union festlegt. Hinsichtlich der Umsetzung der NIS2-Richtlinie in Deutschland sollte man dazu die §§2 Nr.11, 32 I Nr.1/2, 35 sowie 30 III NIS2-Umsetzungsgesetz beachten.

Geltungsbereich

Die Verordnung gilt für folgende relevante Entitäten:

  • DNS-Dienstanbieter
  • TLD-Name-Registries
  • Cloud-Computing-Dienstanbieter
  • Datenzentrum-Dienstanbieter
  • Content-Delivery-Netzwerk-Anbieter
  • Managed Service-Anbieter
  • Managed Security Service-Anbieter
  • Online-Marktplatz-Anbieter
  • Online-Suchmaschinen-Anbieter
  • Anbieter von sozialen Netzwerkdiensten
  • Vertrauensdiensteanbieter

Hauptaspekte und Anforderungen

1. Technische und methodologische Anforderungen (Artikel 2): Die Verordnung legt spezifische Anforderungen fest, die relevante Entitäten umsetzen müssen, um Cybersicherheitsrisiken zu managen. Diese Anforderungen umfassen:

  • Informationssystem-Sicherheitsrichtlinien
  • Zugangskontrollrichtlinien
  • Überwachung und Anomalieerkennung
  • Geschäftsaufwirkungsanalysen
  • Sicherheitsmaßnahmen für Lieferketten
  • Regelmäßige Sicherheitstests
  • Patch-Management-Verfahren
  • Netzwerksicherheitslösungen
  • Malware-Erkennung und -Reparatur
  • Cyber-Hygiene-Praktiken und Schulungen
  • Asset-Management und Klassifizierung

2. Signifikante Vorfälle (Artikel 3): Ein Vorfall wird als signifikant betrachtet, wenn er bestimmte Kriterien erfüllt, wie z.B.:

  • Finanzielle Verluste über 100.000 EUR oder 5% des Jahresumsatzes
  • Erhebliche Reputationsschäden
  • Exfiltration von Geschäftsgeheimnissen
  • Todesfälle oder erhebliche Gesundheitsschäden
  • Unautorisierter Zugriff auf Netz- und Informationssysteme
  • Weitere spezifische Kriterien je nach Art des Dienstanbieters

Verpflichtungen der betroffenen Unternehmen bei einem erheblichen Vorfall

1. Meldepflicht: Unternehmen, die einen signifikanten Vorfall erleben, sind verpflichtet, diesen unverzüglich an die zuständigen nationalen Behörden oder an das Computer Security Incident Response Team (CSIRT) zu melden. Dies umfasst detaillierte Informationen über die Art des Vorfalls, die betroffenen Systeme und die getroffenen Gegenmaßnahmen.

2. Risikobewertung und Maßnahmen: Betroffene Unternehmen müssen eine gründliche Bewertung des Vorfalls durchführen und geeignete Maßnahmen ergreifen, um die Auswirkungen zu minimieren und zukünftige Vorfälle zu verhindern. Dies schließt die Implementierung von technischen und organisatorischen Maßnahmen ein, die in der Verordnung spezifiziert sind.

3. Spezifische Kriterien für Dienstanbieter (Artikel 5-14): Jede Kategorie von Dienstanbietern hat zusätzliche, spezifische Kriterien zur Bestimmung signifikanter Vorfälle. Zum Beispiel:

  • DNS-Dienstanbieter: Unverfügbarkeit des Domain-Name-Auflösungsdienstes für mehr als 10 Minuten
  • Cloud-Computing-Dienstanbieter: Ausfall eines oder mehrerer Dienste für mehr als 10 Minuten
  • Datenzentrum-Dienstanbieter: Physischer Zugriff auf Datenzentren wird kompromittiert
  • Online-Marktplatz-Anbieter: Unverfügbarkeit des Marktplatzes für mehr als 5% der Nutzer
  • Soziale Netzwerkdienste: Kompromittierung der Integrität, Vertraulichkeit oder Authentizität von Daten mit Auswirkungen auf mehr als 5% der Nutzer

4. Wiederkehrende Vorfälle (Artikel 4): Mehrere Vorfälle, die individuell nicht als signifikant gelten, können kollektiv als ein signifikanter Vorfall betrachtet werden, wenn sie innerhalb von sechs Monaten zweimal auftreten und dieselbe Ursache haben.

5. Einhaltung und Inkrafttreten (Artikel 16): Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft und gilt ab dem 18. Oktober 2024.

Fachanwalt für IT-Recht Jens Ferner