NIS2 einfach meistern:
Nutzung von PKI und digitalen Identitäten

Ja und nein. Für bestimmte Aspekte des Gesetzes, wie zum Beispiel die Anwendung auf öffentliche Verwaltungen oder die genaue Definition der betroffenen Sektoren, wird es sicherlich Unterschiede geben. Die Definition der Cybersicherheitsmaßnahmen hingegen erfolgt einheitlich. Zu beachten ist, dass viele dieser Maßnahmen direkt von der EU-Kommission festgelegt werden. Andere Maßnahmen werden von nationalen Aufsichtsbehörden umgesetzt, die jedoch eng zusammenarbeiten, um gemeinsame Cybersicherheitsmaßnahmen zu definieren.

NIS2 ist nicht auf spezifische Umgebungen beschränkt, daher gelten die Anforderungen auch für das jeweilige OT-System, wenn Zweifel besteht, ob es zur betroffenen Einheit nach NIS2 gehört (z. B. Netzwerksicherheit, Cyber-Hygiene, Sicherheitsstandards auf dem neuesten Stand). Im OT-Bereich sollte jedoch auch die bevorstehende CRA-Verordnung berücksichtigt werden.

Hier gilt der Grundsatz, dass NIS2-betroffene Unternehmen sich um die Sicherheit in ihrer Lieferkette kümmern müssen. Das deutsche NIS2-Umsetzungsgesetz verlangt gemäß Artikel 30(2)-4, dass die Cybersicherheitsmaßnahmen mindestens die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“ umfasst.  (siehe auch weitere Ausführungen in vorheriger Antwort bzgl. Anforderungen für Softwarelieferanten) NIS2-betroffene Unternehmen müssen daher sicherstellen, dass der entsprechende Zulieferer Maßnahmen ergreift, so dass die Sicherheit und NIS2-konformität des betroffenen Unternehmens gewährleistet ist. Dies kann u. A.. bedeuten, dass verschlüsselt kommuniziert wird und auf gemeinsam genutzten Systemen MFA umgesetzt und grundlegende Maßnahmen zur Cyberhygiene und Riskiomanagement werden. Weiterhin ist auch hier zu berücksichtigen, dass es ggf. auch (strengere) branchenspezifische Anforderungen gibt, die schon umzusetzen sind, wie TISAX im automobilberiech oder DORA im Bankenumfeld

Das deutsche NIS2-Umsetzungsgesetz verlangt in Artikel 30(2)-4, dass die Cybersicherheitsmaßnahmen mindestens die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“ umfasst. Die NIS2-Richtlinie ist in dieser Hinsicht identisch. Präzisierungen dazu finden wir im erläuternden Teil des Umsetzungsgesetzes (Seite 148): „Unter Maßnahmen zur Sicherheit der Lieferkette sind beispielsweise vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen, Patchmanagement, sowie der Berücksichtigung von Empfehlungen des Bundesamt in Bezug auf deren Produkten und Dienstleistungen zu nennen. Ebenfalls kann dies beinhalten, Zulieferer und Dienstleister zur Beachtung von grundsätzlichen Prinzipien wie Security by Design oder Security by Default anzuhalten. Bei der Erwägung geeigneter Maßnahmen nach Absatz 4 Nummer 4 sind durch die Einrichtung die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse zu berücksichtigen. Einrichtungen müssen bei der Erwägung geeigneter Maßnahmen nach Satz 1 die Ergebnisse der gemäß Artikel 22 Absatz 1 der NIS-2-Richtlinie durchgeführten koordinierten Risikobewertungen kritischer Lieferketten berücksichtigen.“ In diesem Zusammenhang erwarten wir auch, dass Zertifizierungen und die Befolgung von Standards der Aufsichtsbehörden eine wichtige Rolle spielen werden.. Daher sind zum einen etablierte und in der EU anerkannte Gütesiegel (wie z.B. CommonCritera- Zertifizierungen, BSI-Zertifizierungen oder Gütesiegel anderer nationaler Institutionen, wie z.B. die französische ANSSI) ein sinnvoller Schritt. Allerdings sind natürlich solche Zertifizierungen nicht für alle Softwarekomponenten sinnvoll bzw. verhältnismäßig. Eine weitere / alternative Maßnahme ist das Einfordern und Beschreiben von Software-Entwicklungsprozessen nach “Stand der Technik”. Dazu gehört z. B. automatisierte Tests, statische Code-Analysen, SBOM, transparentes Schwachstellenmanagement und automatisierte Build- und Deploymentprozesse.

CC EAL4+ zertifiziert sind die Kernkomponenten Nexus Cerificate Manager und der OCSP Responder in der Version 8.0. Weitere Informationen auch hier: https://doc.nexusgroup.com/pub/common-criteria-certification-for-certificate-mana https://doc.nexusgroup.com/pub/common-criteria-certification-for-nexus-ocsp-respo

Bestimmte Artikel einer Richtlinie, die einzelnen Personen bestimmte Rechte einräumen, können in dem betreffenden Land unmittelbar anwendbar sein, auch wenn dieses Land die Richtlinie nicht rechtzeitig umgesetzt hat. Wenn zum Beispiel eine Richtlinie Mindesturlaubsansprüche festlegt und das Land diese Richtlinie nicht rechtzeitig umsetzt, können die Einzelpersonen diese Ansprüche direkt aus der Richtlinie geltend machen. Infolgedessen ist die Richtlinie selbst nie direkt anwendbar, wohl aber einige ihrer Einzelregelungen zum Schutz des Einzelnen. Im Falle der NIS2 ist dies nicht wirklich relevant, da die Richtlinie hauptsächlich Verpflichtungen für Unternehmen schafft. In der Praxis sollten wir in dieser Angelegenheit also das Inkrafttreten des Umsetzungsgesetzes berücksichtigen.

Nexus kann Sie sowohl bei der Implementierung unterstützen als auch SaaS-Lösungen anbieten, um NIS2-Konformität zu erreichen. Zudem verfügen wir über ein spezialisiertes Partnernetzwerk, das umfassende NIS2-Beratung bietet. Nexus Partner Network

Nexus entwickelt und vertreibt seit mehr als 25 Jahren ein eigenes Software-Produkt – den Nexus Certificate Manger. Dieses Produkt liefern wir sowohl als On-premise Softwarelösung (kann betrieben werden auf Microsoft Windows Servern oder Linux) also auch eine SaaS Lösung “Nexus GO PKI”. Wir bieten damit eine EAL4+ zertifizierte, performate, hochsichere, flexible und leistungsstarke Lösung “made in EU” an die sich in vielen Szenarien nicht nur höheren Funktionsumfang sondern auch als kostengünstiger (TCO betrachtung) im vergleich zu Microsoft ADCS darstellt.