.png?width=181&height=57&name=device42%20(12).png "device42 (12)")
Navigieren der NIS2-Richtlinie und KRITIS-Gesetzgebung
By
Joerg Hesselink
·
2 minute read
In einer zunehmend digital geprägten Welt ist Cybersicherheit wesentlicher Bestandteil der Governance und des Infrastrukturmanagements. Die Network and Information Security 2 (NIS2) Richtlinie und das KRITIS-Gesetz sind zwei bedeutende Gesetzestexte der Europäischen Union bzw. Deutschlands, die darauf abzielen, die Sicherheit kritischer Infrastrukturnetzwerke und -systeme zu erhöhen. In diesem Blog werden sowohl die NIS2-Richtlinie als auch das KRITIS-Gesetz sowie deren Auswirkungen und ihre Anwendung auf Rechenzentren, als einem kritischen digitalen Vermögenswert in unserer modernen Wirtschaft, erörtert.
Die NIS2-Richtlinie: Das Cybersicherheits-Regelwerk der EU
Die NIS2-Richtlinie ist Teil der Gesetzgebung in der EU, die erste, die sich speziell mit Cybersicherheit auf EU-Ebene befasst. Ihr Hauptziel ist es, Cybersicherheit in allen Mitgliedstaaten auf einem einheitlich hohen Niveau zu etablieren. Die Richtlinie gilt für Unternehmen, die innerhalb der EU zentrale Dienste und Infrastrukturen bereitstellen wie Energie, Verkehr, Finanzwirtschaft und Gesundheitswesen. Sie werden der Cybersicherheitsaufsicht unterstellt. Mit anderen Worten, die NIS2-Richtlinie ist das Cybersicherheits-Regelwerk für Infrastruktur-Betreiber in der EU.
Sobald Betreiber von Rechenzentren, als das Rückgrat digitaler Transaktionen, Entscheidungen zur Cybersicherheit innerhalb der EU treffen, unterliegen sie der NIS2-Richtlinie. Gerade Rechenzentren sind einer Vielzahl von Cybersicherheitsrisiken ausgesetzt, von Denial-of-Service (DoS)-Angriffen über Social Engineering bis hin zu Datendiebstahl. Die Richtlinie soll sicherstellen, dass sie als wichtige Assets gut vor Cyberangriffen geschützt sind.
KRITIS: Deutsches Gesetz zum Schutz kritischer Infrastrukturen
KRITIS steht für „Kritische Infrastrukturen“. Welche Unternehmen und Organisationen dazu zählen, identifiziert und definiert in Deutschland das KRITIS-Gesetz. Es definiert auch die Anforderungen an die Betreiber der KRITIS Infrastruktur. Laut BSI KRITIS-Verordnung bezieht sich kritische Infrastruktur auf Einrichtungen, Anlagen oder Komponenten, die aufgrund ihrer Bedeutung für die Versorgung der Bevölkerung als entscheidend für das Funktionieren der Gesellschaft gelten.
Beispiele für solche kritischen Infrastrukturen sind unter anderem: Energie-, Wasser- und Lebensmittelversorgung, Transport und Verkehr, Telekommunikation und Informationstechnologie, Finanzwesen und Versicherungen, Gesundheitswesen, öffentliche Verwaltung und Sicherheitsdienste. Bemerkenswert ist, dass auch Rechenzentren als kritische Infrastruktur eingestuft werden. Das KRITIS-Gesetz zielt darauf ab, sicherzustellen, dass diese wichtigen Vermögenswerte angemessen geschützt und gewartet werden.
Cybersicherheit und Rechenzentren
Rechenzentren nehmen bei nahezu allen digitalen Transaktionen in unserer Wirtschaft eine zentrale Rolle ein und sind deshalb in Hinblick auf Cyber-Bedrohungen besonders gefährdet. Die komplexen Strukturen bestehen aus zahlreichen technischen Komponenten wie unterbrechungsfreie Stromversorgungen (USVs), Notstromaggregate, Lüftungs- und Kühlsysteme, Brandschutz- und Gebäudesicherheitssysteme. Rasche technologische Entwicklungen führen manchmal zu Schwachstellen, die von bösartigen Hackern ausgenutzt werden könnten.
Sowohl die NIS2-Richtlinie als auch das KRITIS-Gesetz adressieren diese Bedenken und stellen sicher, dass Rechenzentren strenge Cybersicherheitsstandards erfüllen. Die NIS2-Richtlinie geht sogar noch einen Schritt weiter, indem sie die rechtliche Verantwortung der Dienstleister definiert: Befindet sich der Hauptsitz des Anbieters, der die Cyberrisikomaßnahmen durchführt, außerhalb der EU, richtet sich die Umsetzung von NIS2 nach der Herkunft der Mehrzahl der Kunden.
Fazit
In einer Ära, in der Cyber-Bedrohungen ein wachsendes Problem darstellen, sind die NIS2-Richtlinie der EU und das KRITIS-Gesetz Deutschlands entscheidende Werkzeuge zur Sicherung der digitalen Landschaft. Die umfassenden Standards und Richtlinien für das Management zum Schutz kritischer Infrastruktur stellen sicher, dass das digitale Rückgrat unserer Gesellschaft angesichts wachsender Herausforderungen der Cybersicherheit die erforderliche Resilienz aufweist.