NIS2: Cybersicherheit für kritische und wichtige Einrichtungen

Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen in 18 Sektoren zu umfassendem Cybersicherheits-Risikomanagement. Art. 21 Abs. 2 lit. d macht die Sicherheit der Lieferkette zur Pflicht - einschließlich aller Open-Source-Komponenten in Ihrer Software.

Sie haben gerade eine SBOM erstellt und sehen 800 Open-Source-Projekte. Für alle sind Sie verantwortlich. Ihr Leitungsorgan haftet persönlich (Art. 20 NIS2, Paragraph 38 NIS2UmsuCG). Das ist keine Aufgabe, die Sie intern lösen können: 800 Projekte bedeuten 15 und mehr Programmiersprachen, hunderte Maintainer ohne Vertrag, ohne SLA, ohne Einwirkungsmöglichkeit.

Wer ist betroffen? #

NIS2 erfasst 18 Sektoren in zwei Kategorien.

Sektoren hoher Kritikalität (Anhang I - 11 Sektoren) #

• Energie - Strom, Erdöl, Erdgas, Wasserstoff, Fernwärme
• Verkehr - Luft, Schiene, Wasser, Straße
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen - Krankenhäuser, Labore, Pharma, Medizinprodukte
• Trinkwasser
• Abwasser
• Digitale Infrastruktur - DNS, TLD, Rechenzentren, Cloud, CDN, Vertrauensdienste
• Verwaltung von IKT-Diensten (B2B) - Managed Service Provider, Managed Security Service Provider
• Öffentliche Verwaltung
• Weltraum

Sonstige kritische Sektoren (Anhang II - 7 Sektoren) #

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Chemie - Herstellung, Produktion, Vertrieb
• Lebensmittel - Herstellung, Verarbeitung, Vertrieb
• Verarbeitendes Gewerbe - Medizinprodukte, Elektronik, Optik, Maschinenbau, Kraftfahrzeuge, sonstiger Fahrzeugbau
• Digitale Dienste - Marktplätze, Suchmaschinen, soziale Netzwerke
• Forschung

Schwellenwerte in Deutschland (NIS2UmsuCG) #

Kategorie	Kriterium
Besonders wichtige Einrichtungen (Anlage 1)	Ab 250 Mitarbeiter ODER über 50 Mio. Euro Umsatz UND über 43 Mio. Euro Bilanzsumme
Wichtige Einrichtungen (Anlage 1+2)	Ab 50 Mitarbeiter ODER über 10 Mio. Euro Umsatz UND über 10 Mio. Euro Bilanzsumme
Betreiber kritischer Anlagen	Unabhängig von Größe (deutsche Sonderkategorie)

Telekommunikationsanbieter gelten bereits ab 50 Mitarbeitern oder über 10 Mio. Euro Umsatz als besonders wichtige Einrichtungen. Krankenhäuser haben eine verlängerte Umsetzungsfrist von fünf statt drei Jahren (Paragraph 61 Abs. 3 NIS2UmsuCG).

Was fordert NIS2? #

Sicherheit der Lieferkette (Art. 21 Abs. 2 lit. d) #

Sie müssen die Sicherheit Ihrer Lieferkette gewährleisten. Art. 21 Abs. 3 verlangt dabei ausdrücklich: die Bewertung der Schwachstellen unmittelbarer Anbieter und die Bewertung der Sicherheit der Entwicklungsprozesse Ihrer Anbieter. Für Open-Source-Komponenten bedeutet das: Sie müssen bewerten, wie sicher die Projekte entwickelt werden, von denen Ihre Software abhängt -auch wenn kein Vertrag und kein SLA existiert.

Schwachstellenmanagement (Art. 21 Abs. 2 lit. e) #

Management und Offenlegung von Schwachstellen sind Pflicht. Das umfasst nicht nur das Scannen, sondern auch die aktive Behandlung gefundener Schwachstellen und die koordinierte Offenlegung gemäß Art. 12 NIS2.

Bewertung der Wirksamkeit (Art. 21 Abs. 2 lit. f) #

Sie müssen Konzepte und Verfahren zur Bewertung der Wirksamkeit Ihrer Risikomanagement-Maßnahmen etablieren. Für Ihre Open-Source-Lieferkette bedeutet das: messbare, dokumentierte Prozesse, die ein Auditor nachvollziehen kann.

Meldepflichten (Art. 23) #

• Frühwarnung innerhalb von 24 Stunden (Art. 23 Abs. 4a)
• Meldung mit Bewertung innerhalb von 72 Stunden (Art. 23 Abs. 4b)
• Abschlussbericht innerhalb eines Monats (Art. 23 Abs. 4d)

In Deutschland: Paragraph 32 Abs. 1 Nr. 1-4 NIS2UmsuCG mit identischen Fristen.

ENISA-Umsetzungsleitlinie zu FOSS #

Die ENISA hat konkrete Leitlinien zur Behandlung von Open-Source-Software im Rahmen von NIS2 veröffentlicht. Diese definieren, was "angemessene Maßnahmen" bei der Sicherheit der OSS-Lieferkette bedeuten. Art. 21 Abs. 1 verlangt Maßnahmen, die den "Stand der Technik" und "einschlägige europäische und internationale Normen" berücksichtigen. Die ISO/IEC 18974 definiert diesen Stand der Technik für Open-Source-Security-Assurance.

Schulungspflicht für Leitungsorgane (Art. 20 Abs. 2) #

Mitglieder der Leitungsorgane müssen an Schulungen teilnehmen, um ausreichende Kenntnisse für die Erkennung und Bewertung von Risiken zu erwerben.

Konsequenzen bei Verstößen #

Bußgelder #

Kategorie	Höhe	Rechtsgrundlage
Wesentliche Einrichtungen	10 Mio. Euro oder 2 % weltweiter Jahresumsatz (höherer Wert)	Art. 34 Abs. 4 NIS2
Wichtige Einrichtungen	7 Mio. Euro oder 1,4 % weltweiter Jahresumsatz (höherer Wert)	Art. 34 Abs. 5 NIS2
Besonders wichtige (DE)	10 Mio. Euro fest bzw. 2 % bei Umsatz über 500 Mio. Euro	Paragraph 65 Abs. 5+6 NIS2UmsuCG
Wichtige (DE)	7 Mio. Euro bzw. 1,4 % bei Umsatz über 500 Mio. Euro	Paragraph 65 Abs. 5+7 NIS2UmsuCG

Persönliche Geschäftsführerhaftung #

• Persönliche Haftung der Leitungsorgane (Art. 20 Abs. 1, Art. 32 Abs. 6 NIS2)
• Tätigkeitsverbot als Eskalationsstufe: Natürlichen Personen kann vorübergehend untersagt werden, Leitungsaufgaben wahrzunehmen (Art. 32 Abs. 5 lit. b NIS2)
• In Deutschland: Geschäftsleitungen haften persönlich für schuldhaft verursachte Schäden (Paragraph 38 Abs. 2 NIS2UmsuCG) und müssen Maßnahmen umsetzen und überwachen (Paragraph 38 Abs. 1)
• Tätigkeitsverbot bei Unzuverlässigkeit (Paragraph 61 Abs. 9 Nr. 2 NIS2UmsuCG)

Öffentliche Sichtbarkeit #

• Die Behörde kann die öffentliche Bekanntmachung von Verstößen anordnen (Art. 32 Abs. 4 lit. h, Art. 33 Abs. 4 lit. g)
• Das CSIRT kann die Öffentlichkeit über Sicherheitsvorfälle informieren (Art. 23 Abs. 7)
• In Deutschland: Das BSI kann öffentliche Bekanntmachungen anordnen (Paragraph 61 Abs. 8 NIS2UmsuCG)

Weitere Konsequenzen #

• Vorübergehende Aussetzung von Zertifizierungen und Genehmigungen (Art. 32 Abs. 5 lit. a NIS2, Paragraph 61 Abs. 9 Nr. 1 NIS2UmsuCG)

Warum bestehende Lösungen nicht reichen #

Ein SCA-Scanner zeigt Ihnen registrierte CVEs. Das ist ein guter erster Schritt. Aber:

• Wer behebt die gefundenen Schwachstellen? Nicht der Scanner.
• Für jede registrierte CVE gibt es 4 bis 11 "Silent Fixes" -Sicherheitskorrekturen, die nie als CVE registriert wurden. Kein Scanner findet sie.
• Katalog-Anbieter betreuen ausgewählte Endprodukte, aber nicht deren eigene Abhängigkeiten. Die Mehrheit Ihrer SBOM bleibt unabgedeckt.
• Art. 21 Abs. 3 verlangt die Bewertung der Entwicklungsprozesse Ihrer Anbieter. Kein Scanner erkennt, ob der Entwickler eines kritischen Projekts aufgegeben hat, ob niemand mehr Sicherheitslücken behebt oder ob das Projekt kurz vor dem Aus steht. Genau das sind aber die Risiken, die Ihren Betrieb gefährden.

OTTRIA schließt diese Lücke: Nicht nur melden, sondern fixen. Nicht nur populäre Projekte, sondern Ihre gesamte SBOM.

Was OTTRIA übernimmt #

NIS2-Pflicht	OTTRIA-Leistung
Sicherheit der Lieferkette (Art. 21 Abs. 2 lit. d)	Risikobasierte Bewertung aller OSS-Projekte in Ihrer SBOM
Bewertung der Anbieter-Schwachstellen (Art. 21 Abs. 3)	Projekt-Gesundheitsanalyse, Maintainer-Reife, Verwaisungsrisiko
Bewertung der Entwicklungsprozesse (Art. 21 Abs. 3)	Analyse der Governance, Commit-Aktivität, Security-Praxis
Schwachstellenmanagement (Art. 21 Abs. 2 lit. e)	CVE-Scanning, Silent-Fix-Detection, aktive Upstream-Fixes
Koordinierte Offenlegung (Art. 12)	Disclosure-Management als Teil der Steward-Rolle
Stand der Technik (Art. 21 Abs. 1)	Unterstützung bei Erfüllung der ISO/IEC 18974
Bewertung der Wirksamkeit (Art. 21 Abs. 2 lit. f)	Messbare KPIs und dokumentierte Maßnahmenhistorie

Was OTTRIA nicht übernimmt #

• Ihre Entscheidung: OTTRIA liefert Risikobewertungen und Handlungsoptionen. Die Entscheidung, welches Risiko Sie akzeptieren, treffen Sie.
• Ihre Systeme: OTTRIA arbeitet ausschließlich in der Open-Source-Welt. Wir haben keinen Zugriff auf Ihre Systeme.
• Ihre Gesamtverantwortung: Die regulatorische Verantwortung bleibt bei Ihnen. OTTRIA reduziert Ihr Risiko und liefert Nachweise.
• Nicht-OSS-Komponenten: Für proprietäre Software und andere Lieferkettenrisiken sind andere Dienstleister zuständig.
• Organisatorische Maßnahmen: Interne Policies, Schulungen, HR-Awareness bleiben Ihre Aufgabe. OTTRIA kann zuarbeiten, ersetzt aber nicht Ihre interne Organisation.
• Lösungszeit-Garantien: Wir reagieren schnellstmöglich und dokumentieren jeden Schritt. Lösungszeiten lassen sich nicht vorhersagen.

Was legen Sie dem Prüfer vor? #

OTTRIA liefert Ihnen #

• Supply-Chain-Security-Dokumentation gemäß Art. 21 Abs. 2 lit. d
• Schwachstellenmanagement-Nachweise gemäß Art. 21 Abs. 2 lit. e
• Bewertung der Entwicklungsprozesse und Schwachstellen Ihrer OSS-Anbieter gemäß Art. 21 Abs. 3
• Maßnahmenprotokolle pro Vorfall: Was wurde wann gemacht, von wem, mit welchem Ergebnis
• SBOM mit Pflegestatus und Verwaisungswahrscheinlichkeit
• Nachweis der Berücksichtigung internationaler Normen (ISO/IEC 18974)

Sie ergänzen #

• Ihr Entscheidungslog: Welches Risiko haben Sie akzeptiert, welches mitigiert?
• Den Umsetzungsstatus in Ihrem System
• Ihre übergreifende Risikomanagement-Dokumentation gemäß Art. 21
• Ihre Meldepflicht-Prozesse gemäß Art. 23 / Paragraph 32 NIS2UmsuCG

Auditor-Narrativ #

Wenn Ihr Auditor fragt, wie Sie die Sicherheit Ihrer Open-Source-Lieferkette gewährleisten, können Sie dokumentieren:

*"Für die Sicherheit unserer Open-Source-Lieferkette gemäß Art. 21 Abs. 2 lit. d NIS2 haben wir OTTRIA als spezialisierten Dienstleister beauftragt. OTTRIA überwacht sämtliche Open-Source-Komponenten unserer SBOM, führt kontinuierliche Schwachstellenanalysen durch, koordiniert Upstream-Fixes und liefert prüffähige Dokumentation. Die Entscheidungen über Risikoakzeptanz und Maßnahmenumsetzung verbleiben bei unserem Leitungsorgan."*

Umsetzung in Deutschland #

NIS2UmsuCG und BSI #

NIS2 ist eine Richtlinie, keine Verordnung. Jeder Mitgliedstaat setzt sie national um. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das wesentliche Teile des BSIG (BSI-Gesetz) ändert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige Behörde.

Deutsche Besonderheiten #

• Dreistufige Kategorisierung: Besonders wichtig, wichtig und KRITIS -statt der EU-zweistufigen Einteilung (wesentlich/wichtig)
• Umsatzbasierte Bußgelder erst ab 500 Mio. Euro Gesamtumsatz (Paragraph 65 Abs. 6-7)
• Systeme zur Angriffserkennung verpflichtend für KRITIS-Betreiber (Paragraph 31 Abs. 2)
• BSI darf aktiv Schwachstellen detektieren - einschließlich Portscans (Paragraph 15)
• Untersagung kritischer Komponenten bestimmter Hersteller möglich (Paragraph 41)
• DORA-Unternehmen ausgenommen von NIS2 DE (Paragraph 28 Abs. 6)
• Registrierungspflicht beim BSI innerhalb von drei Monaten (Paragraph 33 Abs. 1)
• Dreijahres-Nachweiszyklus für KRITIS-Betreiber (Paragraph 39)

Abweichende Umsetzung in anderen EU-Ländern #

Da NIS2 eine Richtlinie ist, setzt jedes EU-Land sie anders um. Schwellenwerte, Aufsichtsstrukturen und Sanktionsregime können abweichen. Wenn Sie in mehreren EU-Ländern tätig sind, prüfen Sie die jeweilige nationale Umsetzung.

800 Projekte in der SBOM? Lassen Sie uns gemeinsam analysieren, wo Ihre größten Risiken liegen. Fordern Sie eine kostenlose SBOM-Analyse an.

SBOM-Analyse anfordern

Kostenloser Info-Abend zu NIS2 in Ihrer Region

Wie viel würde es kosten, das intern zu lösen? Sprechen Sie mit uns über den realistischen Aufwand.

Erstgespräch buchen

Weiterlesen

• Was ist NIS2?
• D&O-Haftung und die neuen Cybergesetze
• Was kostet Open-Source-Compliance?