NIS 2.0: einheitliche Anforderungen – individuelle Strategien

13. Oktober 2022 / Christoph Kukovic

Durch das Inkrafttreten der europäischen Richtlinie zur Netz- und Informationssystemsicherheit (NIS) wurde ein klares Ziel gesetzt: die Schaffung eines einheitlichen Levels zur Netz- und Informationssystemsicherheit in der Europäischen Union. Unterschiedliche Auslegungen in den jeweiligen Mitgliedstaaten führten jedoch zu einer uneinheitlichen Umsetzung. Dies betraf besonders den Bereich der konkreten Anforderungen, aber auch die Identifizierung der Betreiber wesentlicher Dienste und somit die Bestimmung des Scopes für die gesetzlichen Anforderungen.

Wesentlich breiterer Geltungsbereich von NIS 2.0

Genau hier soll nun mit NIS 2.0 nachgebessert werden: VERBUND wurde als Betreiber wesentlicher Dienste identifiziert und bisher konnte der Scope auf Basis der vorgegebenen Schwellenwerte – z.B.: eine Erzeugungsanlage, die mehr als 340 MW Engpassleistung^[1] hat – aus NIS 1.0 und der nationalen Umsetzung als NIS-Gesetz und NIS-Verordnung gut eingegrenzt werden. Diese Art der Scopedefinition soll sich mit der neuen Richtlinie auf eine wesentlich generischere Ebene verschieben.

Ausschlaggebend wird zukünftig die jeweilige Unternehmensgröße, bezogen auf Anzahl der MitarbeiterInnen und des Jahresumsatzes, sein. Durch diese neuen Festlegungen werden viele Unternehmen von den gesetzlichen Vorgaben doch deutlich stärker betroffen sein. Das bedeutet auch für VERBUND einen wesentlich breiteren Geltungsbereich der gesetzlichen Anforderungen des NIS-Gesetzes in Zukunft.

Fokus auf Lieferanten und Dienstleister

Natürlich entstehen dadurch neue Herausforderungen, denen man sich als Betreiber wesentlicher Dienste proaktiv stellen muss. „Die NIS-Landschaft vergrößert sich erheblich. Die Betreiber müssen eine neue Darstellung ihrer Systemlandschaft im Kontext NIS erstellen und diese mit allen Schnittstellen analysieren“, so Thomas Zapf, Leiter Informationssicherheit, Digitalisierung, IT und Telekom bei VERBUND. Hierbei wird auch bei VERBUND ersichtlich werden, dass Schnittstellenbereiche die größten Änderungen mit sich bringen werden, sowohl technische als auch organisatorische. Dabei müssen vor allem auch die Sicherheitsanforderungen an Hersteller und Dienstleister betrachtet werden, womit sich die Auswirkungen von NIS 2.0 auch in den Bereich außerhalb der NIS-Sektoren ausweiten.

Auch Klein- und Mittelbetriebe werden in der Rolle des Dienstleisters die Übertragung der gesetzlichen Anforderungen mittragen müssen. Dies wird sowohl die Situation als bestehender Dienstleister als auch die durch NIS 2.0 nochmals veränderten Anforderungen zu Neuanschaffungen beeinflussen. Die Richtlinie zur Netz- und Informationssystemsicherheit hat nicht nur die Betreiber selbst vor neue gesetzliche Anforderung gestellt, sondern bereits die Lieferanten und Dienstleister in den Fokus gerückt.

Risikobasierter Ansatz

VERBUND wird für NIS 2.0 den Scope im gesamten Unternehmen neu definieren und hier auch einen risikobasierten Ansatz einfließen lassen. Ein einheitliches Level im Sinne der EU-Richtlinie zu schaffen ist das Ziel. Klar ist jedoch, dass es über diesem einheitlichen Level trotz allem unterschiedliche Risikopotenziale und mehrere Levels von Kritikalität geben wird. Dabei muss jeweils auf die angemessene Behandlung der jeweiligen Risiken der Fokus gelegt werden, um keine ineffiziente Umsetzung der Netz- und Informationssystemrichtlinie im Unternehmen zu etablieren. Einen einheitlichen Ansatz zur Umsetzung von NIS 2.0 wird es nicht geben, jedes betroffene Unternehmen muss eine entsprechende Strategie festlegen, die nicht nur die gesetzlichen Anforderungen, sondern auch das Geschäftsrisiko für sich als wesentlichen Treiber für die Umsetzung von Maßnahmen zur Informationssicherheit berücksichtigt.

[1] Die maximale elektrische Dauerleistung, die ein Kraftwerk unter Normalbedingungen abgeben kann

Kontakt: Dipl.-Ing. Christoph Kukovic, Enterprise Security Architect bei der VERBUND AG