Network and Information Security Directive 2 (NIS2)¶

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine umfassende EU-weite Cybersecurity-Gesetzgebung, die darauf abzielt, das Cybersecurity-Niveau in der gesamten Europäischen Union zu erhöhen.

Überblick¶

Die NIS2-Richtlinie wurde 2023 erlassen und ersetzt die ursprüngliche NIS-Richtlinie von 2016. Diese Aktualisierung war notwendig, um sich an die wachsende Digitalisierung und die sich ständig weiterentwickelnden Cybersecurity-Bedrohungen anzupassen.

Die Richtlinie erweitert die Anwendbarkeit von Cybersecurity-Vorschriften auf neue Sektoren und Einrichtungen und verbessert die Resilienz und Reaktionsfähigkeiten öffentlicher und privater Stellen, zuständiger Behörden und der gesamten EU.

Welche Sektoren sind von NIS2 betroffen?¶

Deutlich mehr Sektoren als in der vorherigen NIS-Richtlinie. Die Gesellschaft ist digitaler geworden und dadurch anfälliger für Cyberangriffe.

Viele Anwendungsfälle, für die die ayedo Kubernetes Distribution verwendet wird, fallen in den Anwendungsbereich von NIS2, einschließlich:

• Sektoren hoher Kritikalität
• Gesundheitswesen
• Banken und Finanzmärkte
• Öffentliche Verwaltung
• Energie und Transport
• Digitale Infrastruktur

Sektoren hoher Kritikalität¶

• Energie (Strom, Fernwärme, Öl, Gas, Wasserstoff)
• Transport (Luft, Schiene, Wasser, Straße)
• Banken
• Finanzmarktinfrastrukturen
• Gesundheitswesen einschließlich Herstellung pharmazeutischer Produkte
• Trinkwasser
• Abwasser
• Digitale Infrastruktur (Internet Exchange Points, DNS-Provider, TLD-Registrare, Cloud Computing Service Provider, Rechenzentren, Content Delivery Networks, Trust Service Provider, Anbieter öffentlicher elektronischer Kommunikationsnetze)
• ICT Service Management (Managed Service Provider, Managed Security Service Provider)
• Öffentliche Verwaltung
• Weltraum

Weitere kritische Sektoren¶

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemie
• Lebensmittel
• Herstellung von Medizinprodukten, Computern und Elektronik, Maschinen und Ausrüstung, Kraftfahrzeugen
• Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, Social-Networking-Plattformen)
• Forschungsorganisationen

NIS2 Art. 21(2) - Mindestanforderungen¶

Die NIS2-Richtlinie listet in Artikel 21(2) 10 Mindestanforderungen auf. Diese müssen in organisatorische Policies übersetzt und dann technisch umgesetzt werden.

Die ayedo Kubernetes Distribution unterstützt Sie bei der technischen Umsetzung folgender Anforderungen:

(b) Incident Handling¶

Anforderung: Konzepte zur Bewältigung von Sicherheitsvorfällen

Wie die Plattform unterstützt:

• Intrusion Detection: Falco, Cilium Network Monitoring
• 24/7 Monitoring: Proaktive Überwachung und Alerting
• Incident Response Plan: Dokumentierte Prozesse
• Forensics: Audit Logs für Incident-Analysen

Dokumentation:

• Compliance - Intrusion Detection
• Compliance - Audit Logs

© Business Continuity & Disaster Recovery¶

Anforderung: Business Continuity, Backup-Management und Wiederherstellung nach Katastrophen sowie Krisenmanagement

Wie die Plattform unterstützt:

• Automated Backups: Täglich via Velero
• Offsite Storage: Geografisch getrennte Backup-Speicherung
• High Availability: Multi-Node Control Plane
• Disaster Recovery: Getestete Recovery-Prozesse

Dokumentation:

• Compliance - Backup
• Platform Features - Backup & DR

(d) Supply Chain Security¶

Anforderung: Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte in Beziehungen zwischen Einrichtungen und direkten Anbietern oder Dienstleistern

Wie die Plattform unterstützt:

• Image Scanning: Vulnerability Scanning in Harbor
• SBOM: Software Bill of Materials für Plattform-Komponenten
• Image Signing: Content Trust via Notary
• Supplier Documentation: Transparente Dokumentation aller Komponenten

Dokumentation:

• Compliance - SBOM
• Compliance - Vulnerability Management

(e) Security in Acquisition, Development and Maintenance¶

Anforderung: Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen

Wie die Plattform unterstützt:

• Secure by Design: Sicherheit von Anfang an
• Automated Updates: Regelmäßige Security Patches
• Change Management: Dokumentierte Update-Prozesse
• Testing: Umfangreiche Tests vor Produktions-Rollout

Dokumentation:

• Platform Features - Updates

(h) Access Control¶

Anforderung: Policies und Verfahren zur Bewertung der Wirksamkeit von Cybersecurity-Risikomanagement-Maßnahmen

Wie die Plattform unterstützt:

• RBAC: Rollenbasierte Zugriffskontrolle
• Identity Management: Integration mit OIDC/SAML
• MFA: Multi-Factor Authentication
• Least Privilege: Minimale Berechtigungen

Dokumentation:

• Platform Features - Identity & Access Management

(i) Multi-Factor Authentication / Continuous Authentication¶

Anforderung: Verwendung von Multifaktor-Authentifizierung oder kontinuierlicher Authentifizierung, gesicherten Sprachkommunikations-, Video- und Textübertragungssystemen sowie Notfall-Kommunikationssystemen innerhalb der Einrichtung

Wie die Plattform unterstützt:

• OIDC Integration: Support für MFA via Identity Provider
• Certificate-based Auth: mTLS für Service-to-Service
• Keycloak: Identity Provider mit MFA-Support

Dokumentation:

• Keycloak auf ayedo.de

(j) Secured Communications & Emergency Systems¶

Anforderung: Gesicherte Kommunikationssysteme

Wie die Plattform unterstützt:

• TLS 1.3: Verschlüsselte Kommunikation
• mTLS: Service-to-Service-Verschlüsselung
• Certificate Management: Automatisierte PKI
• Network Encryption: Cilium mit encryption

Dokumentation:

• Compliance - Cryptography
• Platform Features - Cilium

Anforderungen außerhalb des Scopes¶

Einige NIS2-Anforderungen können nicht durch eine Container-Plattform allein erfüllt werden:

(a) Policies on Risk Analysis¶

Anforderung: Policies zur Risikoanalyse und Informationssystem-Sicherheit

Verantwortung: Management-Team

Dies ist eine organisatorische Anforderung, die vom Management-Team umgesetzt werden muss. Die ayedo Kubernetes Distribution kann diese Umsetzung technisch unterstützen, aber nicht die organisatorischen Entscheidungen treffen.

(f) Policies on Effectiveness Assessment¶

Anforderung: Policies und Verfahren zur Bewertung der Wirksamkeit von Cybersecurity-Risikomanagement-Maßnahmen

Verantwortung: Management-Team

Auch dies ist eine organisatorische Anforderung, die durch Management-Prozesse umgesetzt werden muss.

(g) Cyber Hygiene & Training¶

Anforderung: Grundlegende Cyber-Hygiene-Praktiken und Cybersecurity-Training

Verantwortung: Personalwesen / Training

Die Plattform ist keine Training-Lösung. ayedo kann Sie jedoch bei der Durchführung von Kubernetes-Sicherheitsschulungen unterstützen.

Kontakt: training@ayedo.de

Länder- und Sektorspezifische Anforderungen¶

Zusätzlich zu den NIS2-Mindestanforderungen existieren in einigen EU-Mitgliedstaaten spezifische nationale Umsetzungen:

Deutschland¶

• KRITIS: Anforderungen für kritische Infrastrukturen
• BSI IT-Grundschutz: Umfassender deutscher Sicherheitsstandard

Weitere EU-Staaten¶

Die nationale Umsetzung von NIS2 erfolgt sukzessive in allen EU-Mitgliedstaaten bis Oktober 2024.

Zusammenhang mit anderen Richtlinien¶

NIS2 steht in engem Zusammenhang mit weiteren EU-Initiativen:

• CER (Critical Entities Resilience): Resilienz kritischer Einrichtungen
• DORA (Digital Operational Resilience Act): Digitale operationale Resilienz im Finanzsektor
• GDPR/DSGVO: Datenschutz-Grundverordnung

Audit und Compliance-Nachweis¶

Für Auditoren und Compliance-Verantwortliche:

Dokumentation für Audits¶

Diese Compliance-Dokumentation bietet:

• Technische Maßnahmenbeschreibungen: Wie NIS2-Anforderungen technisch umgesetzt sind
• Audit-Trails: Nachweise über Audit Logs
• Sicherheitsarchitektur: Dokumentation der Defense-in-Depth-Strategie
• Prozessbeschreibungen: Incident Response, Backup, Updates

Zusammenarbeit mit Auditoren¶

ayedo unterstützt Sie bei Audits:

• Dokumentation: Bereitstellung aller erforderlichen technischen Dokumente
• Audit-Support: Beantwortung technischer Fragen
• Penetration Tests: Durchführung oder Unterstützung bei Pen-Tests

Kontakt: security@ayedo.de

Meldepflichten¶

NIS2 verpflichtet zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden:

• Frühwarnung: Innerhalb von 24 Stunden
• Erste Bewertung: Innerhalb von 72 Stunden
• Abschlussbericht: Innerhalb eines Monats

Wie ayedo unterstützt:

• Incident Detection: Automatische Erkennung von Vorfällen
• Forensics: Audit Logs für Untersuchungen
• Incident Response: 24/7-Support bei Sicherheitsvorfällen

Weiterführende Ressourcen¶

Offizielle Quellen¶

• EU NIS2 Directive
• NIS2 FAQs
• BSI - NIS2 Umsetzung Deutschland

ayedo-Dokumentation¶

• Compliance Übersicht
• BSI IT-Grundschutz
• GDPR
• ISO 27001

Support¶

Für Fragen zur NIS2-Compliance:

• E-Mail: security@ayedo.de
• Support: ayedo.de/support