NIS2: Cybersicherheit für kritische und wichtige Einrichtungen
Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Betreiber wesentlicher und
wichtiger Einrichtungen in 18 Sektoren zu umfassendem
Cybersicherheits-Risikomanagement. Art. 21 Abs. 2 lit. d macht die Sicherheit
der Lieferkette zur Pflicht - einschließlich aller Open-Source-Komponenten in
Ihrer Software.
Sie haben gerade eine SBOM erstellt und sehen 800 Open-Source-Projekte. Für alle
sind Sie verantwortlich. Ihr Leitungsorgan haftet persönlich (Art. 20 NIS2,
Paragraph 38 NIS2UmsuCG). Das ist keine Aufgabe, die Sie intern lösen können:
800 Projekte bedeuten 15 und mehr Programmiersprachen, hunderte Maintainer ohne
Vertrag, ohne SLA, ohne Einwirkungsmöglichkeit.
Wer ist betroffen?
NIS2 erfasst 18 Sektoren in zwei Kategorien.
Sektoren hoher Kritikalität (Anhang I - 11 Sektoren)
- Energie - Strom, Erdöl, Erdgas, Wasserstoff, Fernwärme
- Verkehr - Luft, Schiene, Wasser, Straße
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen - Krankenhäuser, Labore, Pharma, Medizinprodukte
- Trinkwasser
- Abwasser
- Digitale Infrastruktur - DNS, TLD, Rechenzentren, Cloud, CDN, Vertrauensdienste
- Verwaltung von IKT-Diensten (B2B) - Managed Service Provider, Managed Security Service Provider
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren (Anhang II - 7 Sektoren)
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie - Herstellung, Produktion, Vertrieb
- Lebensmittel - Herstellung, Verarbeitung, Vertrieb
- Verarbeitendes Gewerbe - Medizinprodukte, Elektronik, Optik, Maschinenbau, Kraftfahrzeuge, sonstiger Fahrzeugbau
- Digitale Dienste - Marktplätze, Suchmaschinen, soziale Netzwerke
- Forschung
Schwellenwerte in Deutschland (NIS2UmsuCG)
| Kategorie | Kriterium |
|---|
| Besonders wichtige Einrichtungen (Anlage 1) | Ab 250 Mitarbeiter ODER über 50 Mio. Euro Umsatz UND über 43 Mio. Euro Bilanzsumme |
| Wichtige Einrichtungen (Anlage 1+2) | Ab 50 Mitarbeiter ODER über 10 Mio. Euro Umsatz UND über 10 Mio. Euro Bilanzsumme |
| Betreiber kritischer Anlagen | Unabhängig von Größe (deutsche Sonderkategorie) |
Telekommunikationsanbieter gelten bereits ab 50 Mitarbeitern oder über 10
Mio. Euro Umsatz als besonders wichtige Einrichtungen. Krankenhäuser haben eine
verlängerte Umsetzungsfrist von fünf statt drei Jahren (Paragraph 61 Abs. 3
NIS2UmsuCG).
Was fordert NIS2?
Sicherheit der Lieferkette (Art. 21 Abs. 2 lit. d)
Sie müssen die Sicherheit Ihrer Lieferkette gewährleisten. Art. 21 Abs. 3
verlangt dabei ausdrücklich: die Bewertung der Schwachstellen unmittelbarer
Anbieter und die Bewertung der Sicherheit der Entwicklungsprozesse Ihrer
Anbieter. Für Open-Source-Komponenten bedeutet das: Sie müssen bewerten, wie
sicher die Projekte entwickelt werden, von denen Ihre Software abhängt -auch
wenn kein Vertrag und kein SLA existiert.
Schwachstellenmanagement (Art. 21 Abs. 2 lit. e)
Management und Offenlegung von Schwachstellen sind Pflicht. Das umfasst nicht
nur das Scannen, sondern auch die aktive Behandlung gefundener Schwachstellen
und die koordinierte Offenlegung gemäß Art. 12 NIS2.
Bewertung der Wirksamkeit (Art. 21 Abs. 2 lit. f)
Sie müssen Konzepte und Verfahren zur Bewertung der Wirksamkeit Ihrer
Risikomanagement-Maßnahmen etablieren. Für Ihre Open-Source-Lieferkette bedeutet
das: messbare, dokumentierte Prozesse, die ein Auditor nachvollziehen kann.
Meldepflichten (Art. 23)
- Frühwarnung innerhalb von 24 Stunden (Art. 23 Abs. 4a)
- Meldung mit Bewertung innerhalb von 72 Stunden (Art. 23 Abs. 4b)
- Abschlussbericht innerhalb eines Monats (Art. 23 Abs. 4d)
In Deutschland: Paragraph 32 Abs. 1 Nr. 1-4 NIS2UmsuCG mit identischen Fristen.
ENISA-Umsetzungsleitlinie zu FOSS
Die ENISA hat konkrete Leitlinien zur Behandlung von Open-Source-Software im
Rahmen von NIS2 veröffentlicht. Diese definieren, was "angemessene Maßnahmen"
bei der Sicherheit der OSS-Lieferkette bedeuten. Art. 21 Abs. 1 verlangt
Maßnahmen, die den "Stand der Technik" und "einschlägige europäische und
internationale Normen" berücksichtigen. Die ISO/IEC 18974 definiert diesen Stand
der Technik für Open-Source-Security-Assurance.
Schulungspflicht für Leitungsorgane (Art. 20 Abs. 2)
Mitglieder der Leitungsorgane müssen an Schulungen teilnehmen, um ausreichende
Kenntnisse für die Erkennung und Bewertung von Risiken zu erwerben.
Konsequenzen bei Verstößen
Bußgelder
| Kategorie | Höhe | Rechtsgrundlage |
|---|
| Wesentliche Einrichtungen | 10 Mio. Euro oder 2 % weltweiter Jahresumsatz (höherer Wert) | Art. 34 Abs. 4 NIS2 |
| Wichtige Einrichtungen | 7 Mio. Euro oder 1,4 % weltweiter Jahresumsatz (höherer Wert) | Art. 34 Abs. 5 NIS2 |
| Besonders wichtige (DE) | 10 Mio. Euro fest bzw. 2 % bei Umsatz über 500 Mio. Euro | Paragraph 65 Abs. 5+6 NIS2UmsuCG |
| Wichtige (DE) | 7 Mio. Euro bzw. 1,4 % bei Umsatz über 500 Mio. Euro | Paragraph 65 Abs. 5+7 NIS2UmsuCG |
Persönliche Geschäftsführerhaftung
- Persönliche Haftung der Leitungsorgane (Art. 20 Abs. 1, Art. 32 Abs. 6 NIS2)
- Tätigkeitsverbot als Eskalationsstufe: Natürlichen Personen kann vorübergehend untersagt werden, Leitungsaufgaben wahrzunehmen (Art. 32 Abs. 5 lit. b NIS2)
- In Deutschland: Geschäftsleitungen haften persönlich für schuldhaft verursachte Schäden (Paragraph 38 Abs. 2 NIS2UmsuCG) und müssen Maßnahmen umsetzen und überwachen (Paragraph 38 Abs. 1)
- Tätigkeitsverbot bei Unzuverlässigkeit (Paragraph 61 Abs. 9 Nr. 2 NIS2UmsuCG)
Öffentliche Sichtbarkeit
- Die Behörde kann die öffentliche Bekanntmachung von Verstößen anordnen (Art. 32 Abs. 4 lit. h, Art. 33 Abs. 4 lit. g)
- Das CSIRT kann die Öffentlichkeit über Sicherheitsvorfälle informieren (Art. 23 Abs. 7)
- In Deutschland: Das BSI kann öffentliche Bekanntmachungen anordnen (Paragraph 61 Abs. 8 NIS2UmsuCG)
Weitere Konsequenzen
- Vorübergehende Aussetzung von Zertifizierungen und Genehmigungen (Art. 32 Abs. 5 lit. a NIS2, Paragraph 61 Abs. 9 Nr. 1 NIS2UmsuCG)
Warum bestehende Lösungen nicht reichen
Ein SCA-Scanner zeigt Ihnen registrierte CVEs. Das ist ein guter erster
Schritt. Aber:
- Wer behebt die gefundenen Schwachstellen? Nicht der Scanner.
- Für jede registrierte CVE gibt es 4 bis 11 "Silent Fixes" -Sicherheitskorrekturen, die nie als CVE registriert wurden. Kein Scanner findet sie.
- Katalog-Anbieter betreuen ausgewählte Endprodukte, aber nicht deren eigene Abhängigkeiten. Die Mehrheit Ihrer SBOM bleibt unabgedeckt.
- Art. 21 Abs. 3 verlangt die Bewertung der Entwicklungsprozesse Ihrer Anbieter. Kein Scanner erkennt, ob der Entwickler eines kritischen Projekts aufgegeben hat, ob niemand mehr Sicherheitslücken behebt oder ob das Projekt kurz vor dem Aus steht. Genau das sind aber die Risiken, die Ihren Betrieb gefährden.
OTTRIA schließt diese Lücke: Nicht nur melden, sondern fixen. Nicht nur
populäre Projekte, sondern Ihre gesamte SBOM.
Was OTTRIA übernimmt
| NIS2-Pflicht | OTTRIA-Leistung |
|---|
| Sicherheit der Lieferkette (Art. 21 Abs. 2 lit. d) | Risikobasierte Bewertung aller OSS-Projekte in Ihrer SBOM |
| Bewertung der Anbieter-Schwachstellen (Art. 21 Abs. 3) | Projekt-Gesundheitsanalyse, Maintainer-Reife, Verwaisungsrisiko |
| Bewertung der Entwicklungsprozesse (Art. 21 Abs. 3) | Analyse der Governance, Commit-Aktivität, Security-Praxis |
| Schwachstellenmanagement (Art. 21 Abs. 2 lit. e) | CVE-Scanning, Silent-Fix-Detection, aktive Upstream-Fixes |
| Koordinierte Offenlegung (Art. 12) | Disclosure-Management als Teil der Steward-Rolle |
| Stand der Technik (Art. 21 Abs. 1) | Unterstützung bei Erfüllung der ISO/IEC 18974 |
| Bewertung der Wirksamkeit (Art. 21 Abs. 2 lit. f) | Messbare KPIs und dokumentierte Maßnahmenhistorie |
Was OTTRIA nicht übernimmt
- Ihre Entscheidung: OTTRIA liefert Risikobewertungen und Handlungsoptionen. Die Entscheidung, welches Risiko Sie akzeptieren, treffen Sie.
- Ihre Systeme: OTTRIA arbeitet ausschließlich in der Open-Source-Welt. Wir haben keinen Zugriff auf Ihre Systeme.
- Ihre Gesamtverantwortung: Die regulatorische Verantwortung bleibt bei Ihnen. OTTRIA reduziert Ihr Risiko und liefert Nachweise.
- Nicht-OSS-Komponenten: Für proprietäre Software und andere Lieferkettenrisiken sind andere Dienstleister zuständig.
- Organisatorische Maßnahmen: Interne Policies, Schulungen, HR-Awareness bleiben Ihre Aufgabe. OTTRIA kann zuarbeiten, ersetzt aber nicht Ihre interne Organisation.
- Lösungszeit-Garantien: Wir reagieren schnellstmöglich und dokumentieren jeden Schritt. Lösungszeiten lassen sich nicht vorhersagen.
Was legen Sie dem Prüfer vor?
OTTRIA liefert Ihnen
- Supply-Chain-Security-Dokumentation gemäß Art. 21 Abs. 2 lit. d
- Schwachstellenmanagement-Nachweise gemäß Art. 21 Abs. 2 lit. e
- Bewertung der Entwicklungsprozesse und Schwachstellen Ihrer OSS-Anbieter gemäß Art. 21 Abs. 3
- Maßnahmenprotokolle pro Vorfall: Was wurde wann gemacht, von wem, mit welchem Ergebnis
- SBOM mit Pflegestatus und Verwaisungswahrscheinlichkeit
- Nachweis der Berücksichtigung internationaler Normen (ISO/IEC 18974)
Sie ergänzen
- Ihr Entscheidungslog: Welches Risiko haben Sie akzeptiert, welches mitigiert?
- Den Umsetzungsstatus in Ihrem System
- Ihre übergreifende Risikomanagement-Dokumentation gemäß Art. 21
- Ihre Meldepflicht-Prozesse gemäß Art. 23 / Paragraph 32 NIS2UmsuCG
Auditor-Narrativ
Wenn Ihr Auditor fragt, wie Sie die Sicherheit Ihrer Open-Source-Lieferkette
gewährleisten, können Sie dokumentieren:
*"Für die Sicherheit unserer Open-Source-Lieferkette gemäß Art. 21 Abs. 2 lit. d
NIS2 haben wir OTTRIA als spezialisierten Dienstleister beauftragt. OTTRIA
überwacht sämtliche Open-Source-Komponenten unserer SBOM, führt kontinuierliche
Schwachstellenanalysen durch, koordiniert Upstream-Fixes und liefert prüffähige
Dokumentation. Die Entscheidungen über Risikoakzeptanz und Maßnahmenumsetzung
verbleiben bei unserem Leitungsorgan."*
Umsetzung in Deutschland
NIS2UmsuCG und BSI
NIS2 ist eine Richtlinie, keine Verordnung. Jeder Mitgliedstaat setzt sie
national um. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs-
und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das wesentliche Teile des BSIG
(BSI-Gesetz) ändert. Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) ist die zuständige Behörde.
Deutsche Besonderheiten
- Dreistufige Kategorisierung: Besonders wichtig, wichtig und KRITIS -statt der EU-zweistufigen Einteilung (wesentlich/wichtig)
- Umsatzbasierte Bußgelder erst ab 500 Mio. Euro Gesamtumsatz (Paragraph 65 Abs. 6-7)
- Systeme zur Angriffserkennung verpflichtend für KRITIS-Betreiber (Paragraph 31 Abs. 2)
- BSI darf aktiv Schwachstellen detektieren - einschließlich Portscans (Paragraph 15)
- Untersagung kritischer Komponenten bestimmter Hersteller möglich (Paragraph 41)
- DORA-Unternehmen ausgenommen von NIS2 DE (Paragraph 28 Abs. 6)
- Registrierungspflicht beim BSI innerhalb von drei Monaten (Paragraph 33 Abs. 1)
- Dreijahres-Nachweiszyklus für KRITIS-Betreiber (Paragraph 39)
Abweichende Umsetzung in anderen EU-Ländern
Da NIS2 eine Richtlinie ist, setzt jedes EU-Land sie anders um. Schwellenwerte,
Aufsichtsstrukturen und Sanktionsregime können abweichen. Wenn Sie in mehreren
EU-Ländern tätig sind, prüfen Sie die jeweilige nationale Umsetzung.
800 Projekte in der SBOM? Lassen Sie uns gemeinsam analysieren, wo Ihre
größten Risiken liegen. Fordern Sie eine kostenlose SBOM-Analyse an.
SBOM-Analyse anfordern
Wie viel würde es kosten, das intern zu lösen? Sprechen Sie mit uns über den
realistischen Aufwand.
Erstgespräch buchen
Weiterlesen
