Eine geplante Durchführungsverordnung der Europäischen Kommission zielt darauf ab, technische und methodologische Anforderungen für Cybersicherheits-Risikomanagementmaßnahmen festzulegen.
Die Durchführungsverordnung spezifiziert zudem die Fälle, in denen ein Vorfall als signifikant betrachtet wird, hier für Anbieter von DNS-Diensten, TLD-Name-Registrierungen, Cloud-Computing-Diensten, Datenzentren, Content-Delivery-Netzwerken, Managed Services und Sicherheitsdiensten, Online-Marktplätzen, Suchmaschinen, sozialen Netzwerken und Vertrauensdienste.
Rechtsgrundlage
Die Verordnung basiert auf der NIS2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments, welche Maßnahmen für ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der Union festlegt. Hinsichtlich der Umsetzung der NIS2-Richtlinie in Deutschland sollte man dazu die §§2 Nr.11, 32 I Nr.1/2, 35 sowie 30 III NIS2-Umsetzungsgesetz beachten.
Geltungsbereich
Die Verordnung gilt für folgende relevante Entitäten:
- DNS-Dienstanbieter
- TLD-Name-Registries
- Cloud-Computing-Dienstanbieter
- Datenzentrum-Dienstanbieter
- Content-Delivery-Netzwerk-Anbieter
- Managed Service-Anbieter
- Managed Security Service-Anbieter
- Online-Marktplatz-Anbieter
- Online-Suchmaschinen-Anbieter
- Anbieter von sozialen Netzwerkdiensten
- Vertrauensdiensteanbieter
Hauptaspekte und Anforderungen
1. Technische und methodologische Anforderungen (Artikel 2): Die Verordnung legt spezifische Anforderungen fest, die relevante Entitäten umsetzen müssen, um Cybersicherheitsrisiken zu managen. Diese Anforderungen umfassen:
- Informationssystem-Sicherheitsrichtlinien
- Zugangskontrollrichtlinien
- Überwachung und Anomalieerkennung
- Geschäftsaufwirkungsanalysen
- Sicherheitsmaßnahmen für Lieferketten
- Regelmäßige Sicherheitstests
- Patch-Management-Verfahren
- Netzwerksicherheitslösungen
- Malware-Erkennung und -Reparatur
- Cyber-Hygiene-Praktiken und Schulungen
- Asset-Management und Klassifizierung
2. Signifikante Vorfälle (Artikel 3): Ein Vorfall wird als signifikant betrachtet, wenn er bestimmte Kriterien erfüllt, wie z.B.:
- Finanzielle Verluste über 100.000 EUR oder 5% des Jahresumsatzes
- Erhebliche Reputationsschäden
- Exfiltration von Geschäftsgeheimnissen
- Todesfälle oder erhebliche Gesundheitsschäden
- Unautorisierter Zugriff auf Netz- und Informationssysteme
- Weitere spezifische Kriterien je nach Art des Dienstanbieters
Verpflichtungen der betroffenen Unternehmen bei einem erheblichen Vorfall
1. Meldepflicht: Unternehmen, die einen signifikanten Vorfall erleben, sind verpflichtet, diesen unverzüglich an die zuständigen nationalen Behörden oder an das Computer Security Incident Response Team (CSIRT) zu melden. Dies umfasst detaillierte Informationen über die Art des Vorfalls, die betroffenen Systeme und die getroffenen Gegenmaßnahmen.
2. Risikobewertung und Maßnahmen: Betroffene Unternehmen müssen eine gründliche Bewertung des Vorfalls durchführen und geeignete Maßnahmen ergreifen, um die Auswirkungen zu minimieren und zukünftige Vorfälle zu verhindern. Dies schließt die Implementierung von technischen und organisatorischen Maßnahmen ein, die in der Verordnung spezifiziert sind.
3. Spezifische Kriterien für Dienstanbieter (Artikel 5-14): Jede Kategorie von Dienstanbietern hat zusätzliche, spezifische Kriterien zur Bestimmung signifikanter Vorfälle. Zum Beispiel:
- DNS-Dienstanbieter: Unverfügbarkeit des Domain-Name-Auflösungsdienstes für mehr als 10 Minuten
- Cloud-Computing-Dienstanbieter: Ausfall eines oder mehrerer Dienste für mehr als 10 Minuten
- Datenzentrum-Dienstanbieter: Physischer Zugriff auf Datenzentren wird kompromittiert
- Online-Marktplatz-Anbieter: Unverfügbarkeit des Marktplatzes für mehr als 5% der Nutzer
- Soziale Netzwerkdienste: Kompromittierung der Integrität, Vertraulichkeit oder Authentizität von Daten mit Auswirkungen auf mehr als 5% der Nutzer
4. Wiederkehrende Vorfälle (Artikel 4): Mehrere Vorfälle, die individuell nicht als signifikant gelten, können kollektiv als ein signifikanter Vorfall betrachtet werden, wenn sie innerhalb von sechs Monaten zweimal auftreten und dieselbe Ursache haben.
5. Einhaltung und Inkrafttreten (Artikel 16): Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft und gilt ab dem 18. Oktober 2024.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024