Um die Cybersicherheit in der Europäischen Union zu stärken und zu unterstützen, wurde die Richtlinie (EU) 2016/1148 – NIS (Netz- und Informationssystem) auf den Weg gebracht.
Obwohl die Richtlinie die Cyber-Resilienz der EU erheblich gestärkt hat, hat sie auch Mängel und einige Unstimmigkeiten bei der Anwendung aufgezeigt.
Dies erforderte eine Überarbeitung und Anpassung an die rasant voranschreitende digitale Transformation sowie die damit verbundenen koordinierten Reaktionen auf Cyberbedrohungen.
Die Einführung eines neuen Systems
Mit den neuen Richtlinien wird ein erweiterter und differenzierterer Anwendungsbereich eingeführt.
Damit sollen einheitliche Kriterien für Unternehmen geschaffen werden. Ausnahmen sind für Institutionen im Bereich der nationalen Sicherheit unter Berücksichtigung der Datenschutzvorschriften vorgesehen.
Es wird ein differenziertes System für „wesentliche“ und „wichtige“ Entitäten eingeführt:
Wesentliche Einrichtungen
- Energie (Strom, Fernwärme und Fernkälte, Erdöl, Erdgas, Wasserstoff)
- Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Management von ICT-Dienstleistungen (B2B)
- Öffentliche Verwaltung
- Raumfahrt
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Herstellung und Handel mit chemischen Stoffen
- Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
- Herstellung/Herstellung von Waren (Herstellung von medizinischen Geräten und Vito-Diagnostik, Herstellung von Computern, elektronischen und optischen Produkten, Herstellung von elektrischen Geräten, Maschinenbau, Herstellung von Kraftwagen und Sattelanhängern, Bau von sonstigen Fahrzeugen)
- Digitaler Dienstleister
- Forschung
Informationsaustausch und Unterstützung
Die Mitgliedstaaten und die Kommission werden aufgefordert, Mindeststandards für das Risikomanagement im Bereich der Cybersicherheit und die Berichterstattung festzulegen, ohne die Befugnisse der Kommission in verschiedenen Bereichen zu beeinträchtigen.
Sektorspezifische Unionsvorschriften, die strenger oder gleichwertig sind, können Vorrang haben.
Die Mitgliedstaaten müssen für einen wirksamen Umgang mit Sicherheitsvorfällen sorgen.
Expertise und Ressourcen der CSIRTs
Jeder Mitgliedstaat sollte über mindestens ein Computer Security Incident Response Team (CSIRT) verfügen, um Vertrauen aufzubauen und die grenzüberschreitende Zusammenarbeit zu fördern.
Die CSIRTs müssen über das notwendige Fachwissen und die notwendigen Ressourcen verfügen, um sensible Daten sicher zu verarbeiten und Netzwerke im Einklang mit den EU-Datenschutzvorschriften sicher zu überwachen.
Die Förderung offener Standards, Partnerschaften und die Unterstützung kleiner und mittlerer Unternehmen (KMU) sind ebenfalls von entscheidender Bedeutung.
| Kleinunternehmen (KU) | < 50 Mitarbeiter | ≤ 10 Mio. € Umsatz |
| Mittelständisches Unternehmen (MU) | < 250 Mitarbeiter | ≤ 50 Mio. € Umsatz |
| Großunternehmen (GC) | ≥ 250 Mitarbeiter | > 50 Mio. € Umsatz |
Initiative für Cybersicherheit auf Unionsebene
Für den Fall von Cybersicherheitskrisen sollen in Abstimmung mit anderen relevanten Akteuren, wie z.B. der Agentur der Europäischen Union für Cybersicherheit (ENISA), Strategien und Pläne entwickelt werden.
Ziel ist der Aufbau einer europäischen Schwachstellendatenbank.
Diese Datenbank arbeitet mit bestehenden Systemen, wie z. B. dem CVE-System (Common Vulnerabilities and Exposures) zusammen, um die Effizienz zu gewährleisten.
Schutz von Netz- und Informationssystemen
Ein weiterer Schwerpunkt liegt auf dem Schutz von Netz- und Informationssystemen.
Jeder Mitgliedstaat sollte einen Plan für die Vorsorge und Reaktion auf Sicherheitsvorfälle erstellen.
Unternehmen müssen Maßnahmen ergreifen, um die Kontinuität ihrer Dienstleistungen zu gewährleisten, und die EU-Mitgliedstaaten müssen Maßnahmen ergreifen, um ihre kritischen Infrastrukturen zu schützen.
Transparenz und Sensibilisierung der Öffentlichkeit
Ein weiteres wesentliches Element der Richtlinie ist die Schaffung von Transparenz durch die Offenlegung von Sicherheitsvorfällen.
Dies trägt dazu bei, das Vertrauen der Öffentlichkeit zu stärken und das Bewusstsein für Cybersicherheitsrisiken zu schärfen.
Bildungsinitiativen und Sensibilisierungskampagnen sollen dazu beitragen, die digitale Resilienz der Bürgerinnen und Bürger zu erhöhen und ihnen das Wissen zu vermitteln, das sie benötigen, um sicher im Internet zu navigieren.
Präventive Maßnahmen und Proaktivität
Die Entwicklung proaktiver Fähigkeiten zur Identifizierung und Reaktion auf Bedrohungen ist von entscheidender Bedeutung.
Die Meldung von Cybersicherheitsvorfällen ist ein Schlüsselelement dieses proaktiven Ansatzes.
Integrität des Internets und der Messaging-Dienste
Sowohl das Internet als auch Messaging-Dienste sind grundlegende Bestandteile der digitalen Gesellschaft.
Ihre Integrität muss durch die Anwendung robuster Sicherheitsstandards gewährleistet werden.
Der Zugang zu einem sicheren Kommunikationsmittel ist ein Grundrecht, und der Schutz der Privatsphäre und der Daten der Nutzer hat oberste Priorität.
Zusammenarbeit mit Drittländern und internationalen Organisationen
Die EU strebt eine Intensivierung der Zusammenarbeit mit Drittländern und internationalen Organisationen an.
Dazu gehören der Austausch von Best Practices, der Austausch von Informationen über Bedrohungen und die Entwicklung gemeinsamer Antworten auf globale Herausforderungen im Bereich der Cybersicherheit.
Harmonisierung von Cybersicherheitspraktiken und Risiken in der Lieferkette
Ein weiteres zentrales Anliegen der Richtlinie ist die Harmonisierung der Cybersicherheitspraktiken zwischen Anbietern von Online-Diensten und das Management von Risiken in der Lieferkette.
Service Provider müssen sicherstellen, dass ihre Systeme und die ihrer Partner den Anforderungen entsprechen und solide Sicherheitsstandards durchgängig eingehalten werden.
Vollstreckung und Sanktionen
Die zuständigen Behörden müssen die Befugnis haben, bei schwerwiegenden Cyberbedrohungen direkt einzugreifen.
Die Mitgliedstaaten können sowohl strafrechtliche als auch verwaltungsrechtliche Sanktionen verhängen, um die Einhaltung der Cybersicherheitsrichtlinie sicherzustellen.
Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
| Wesentliche Einrichtungen | Wichtige Einrichtungen |
| Regelmäßige, gezielte Sicherheitsüberprüfungen | Überprüfung nur bei begründetem Verdacht |
| Stichprobe | Vor-Ort-Kontrollen und externe Ex-post-Aufsichtsmaßnahmen |
| Geldbuße: 10 Millionen Euro oder 2 % des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) | Geldbußen in Höhe von 7 Mio. € oder 1,4 % des weltweiten Umsatzes |
Überprüfung und Aktualisierung
Die Richtlinien werden regelmäßig überprüft.
Damit soll sichergestellt werden, dass sie relevant und wirksam bleibt. Vor allem angesichts der sich ständig weiterentwickelnden Technologielandschaft.
Wie Emenda helfen kann
Es ist bekannt, dass dieselben 10 Software-Schwachstellen in den letzten 20 Jahren mehr Sicherheitsverletzungen verursacht haben als alle anderen Schwachstellen. Und doch entscheiden sich viele Unternehmen und Organisationen immer noch für den Ansatz, Schwachstellen erst nach dem Scan, nach dem Eindringen oder, schlimmer noch, nach dem Ereignis zu beheben!
In einer Welt, in der Code im Mittelpunkt so vieler alltäglicher Interaktionen steht – vom Bankwesen bis zum Gesundheitswesen, vom Transportwesen bis zum Einzelhandel – hebt Secure Code Warrior seinen (metaphorischen) Schutzschild und entwickelt einen von Menschen geführten Ansatz, der den Sicherheitsspezialisten in jedem Programmierer stärkt.
Secure Code Warrior macht die Verbesserung der sicheren Programmierkenntnisse eines Entwicklers zu einer positiven und ansprechenden Erfahrung. Die Erkenntnis, dass zeitnahes und relevantes Sicherheitswissen für Entwickler für den Erfolg von DevSecOps unerlässlich ist, befähigt sie nicht nur, Schwachstellen zu finden, sondern auch das Wissen und die Fähigkeiten zu erwerben, um sie zu beheben. Oder noch besser, zu verhindern, dass sie überhaupt auftreten.
Durch die Inspiration einer globalen Community von sicherheitsbewussten Entwicklern, diesen präventiven und sicheren Codierungsansatz zu übernehmen, zielt Secure Code Warrior darauf ab, eine von Menschen geleitete, menschenzentrierte Lösung zu entwickeln. Die Sicherheit zu verbessern und schlechte Codierungsmuster sowie die 10 häufigsten Schwachstellen (und natürlich auch die anderen) für immer zu beseitigen.
Kontaktieren Sie uns noch heute und machen Sie Softwaresicherheit zu einem integralen Bestandteil Ihres Entwicklungsprozesses: www.emenda.com/trial
Referenzen
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555&qid=1694062995145