Wer sollte das lesen: politische Entscheidungsträger, Regierungsvertreter, strategische Planer.
Die NIS2-Richtlinie ist mehr als eine Reihe operativer Anforderungen für Organisationen, die kritische Infrastrukturen verwalten. Sie ist auch ein Rahmen für die Mitgliedstaatsgovernance: Sie verlangt von Regierungen, umfassende nationale Strategien für Cybersicherheit zu etablieren, Behörden zu benennen, sektorale Aufsicht zu koordinieren und nationales Risiko zu bewerten. Artikel 7 legt das Mandat fest.
Artikel 7 verlangt von jedem Mitgliedstaat, eine nationale Cybersicherheitsstrategie zu entwickeln und zu unterhalten, die strategische Ziele, sektorale Ansätze und Risikobewertung adressiert. Die Strategie ist kein detailliertes Compliance-Handbuch; sie ist ein politischer Rahmen, der den Ansatz der Regierung in Bezug auf Cybersicherheit über alle Sektoren leitet und die Ausweisung von Behörden, den Umfang von Regulierungen und die öffentlich-private Zusammenarbeit informiert.
Für politische Entscheidungsträger und Regierungsvertreter klärt das Verständnis der Anforderungen von Artikel 7 den Umfang strategischer Verpflichtungen und die Beziehung zwischen nationalen Strategien und den ausgewiesenen Behörden und Regulierungsorganen, die NIS2 umsetzen. Dieser Beitrag entpackt Artikel 7, untersucht die Elemente einer konformen nationalen Strategie und erörtert, wie nationale Strategien die sektorale Umsetzung informieren.
Anforderungen von Artikel 7: Die Kernelemente
Artikel 7 verlangt von Mitgliedstaaten, eine nationale Cybersicherheitsstrategie zu entwickeln und zu unterhalten, die Folgendes umfasst:
Strategische Ziele: Die Strategie muss definieren, was der Mitgliedstaat durch Cybersicherheitsgovernance erreichen will. Strategische Ziele können umfassen: Schutz kritischer Infrastruktur vor Cyberbedrohungen, Sicherstellung der Kontinuität wesentlicher Dienste, Entwicklung inländischer Cybersicherheitsfähigkeiten (Forschung, Fähigkeiten, Industrie) und Verbesserung der internationalen Zusammenarbeit bei Cyberbedrohungen.
Sektoraler Ansatz: Die Strategie muss Cybersicherheit über alle Sektoren ansprechen und anerkennen, dass verschiedene Sektoren unterschiedlichen Bedrohungen ausgesetzt sind und unterschiedliche Risikoprofile haben. Die Strategie sollte identifizieren, welche Sektoren am kritischsten sind, welchen Risiken jeder ausgesetzt ist und welcher Governance-Ansatz angemessen ist.
Risikobewertung: Die Strategie muss von einer nationalen Cybersicherheits-Risikobewertung informiert werden, die die wichtigsten Bedrohungen für die Nation, die Schwachstellen in kritischen Systemen und die potenziellen Auswirkungen größerer Vorfälle identifiziert. Diese Bewertung leitet die Priorisierung von Ressourcen und den Governance-Fokus.
Governance- und institutioneller Rahmen: Die Strategie sollte definieren, welche Behörden für die Cybersicherheitsaufsicht in jedem Sektor verantwortlich sind, wie Behörden sich koordinieren und wie der öffentliche und private Sektor zusammenarbeiten.
Sektorale Governance: Innerhalb der Strategie adressieren Mitgliedstaaten jeden kritischen Sektor (Energie, Gesundheit, Verkehr, digitale Infrastruktur usw.) mit Governance-Ansätzen, die die Charakteristika des Sektors widerspiegeln. Dies kann sektorspezifische Behörden, sektorspezifische Standards und sektorspezifische Vorfallsreaktionsverfahren umfassen.
Die Strategie ist kein statisches Dokument; sie sollte regelmäßig überprüft und aktualisiert werden (typischerweise alle 2-3 Jahre), um sich entwickelnde Bedrohungen, technologische Veränderungen und Lehren aus Vorfällen widerzuspiegeln.
Strategische Ziele und politische Ausrichtung
Das Element der strategischen Ziele einer nationalen Cybersicherheitsstrategie artikuliert die Cybersicherheitsprioritäten der Regierung. Strategische Ziele können umfassen:
Abschreckung und Attribution: Aufbau von Fähigkeiten zur Zuordnung von Cyberangriffen zu Bedrohungsakteuren und Auferlegung von Kosten für Angreifer (durch Sanktionen, Anklagen oder Gegenoperationen). Dies erfordert Geheimdienste, Strafverfolgungsbehörden und internationale Zusammenarbeit.
Schutz kritischer Infrastruktur: Sicherstellung, dass die für die nationale Funktionsfähigkeit kritischsten wesentlichen Dienste (Energie, Gesundheit, Finanzen, Kommunikation) widerstandsfähig gegen Cyberangriffe sind. Dies erfordert Governance-Rahmen, regulatorische Aufsicht und öffentlich-private Partnerschaften.
Fähigkeitenentwicklung: Aufbau inländischer Cybersicherheitsfähigkeiten durch Bildung, Kompetenzentwicklung, Forschungsinvestitionen und Unterstützung für die inländische Cyber-Industrie. Dies erkennt an, dass Cybersicherheit ein Wettbewerbsvorteil ist und dass Abhängigkeiten von ausländischen Anbietern von Cybersicherheitstools oder -expertise strategische Schwachstellen schaffen.
Internationale Zusammenarbeit: Etablierung von Partnerschaften mit anderen Regierungen und internationalen Organisationen zum Austausch von Bedrohungsinformationen, zur Koordination der Cyberdiplomatie und zur Entwicklung von Normen gegen destruktive Cyberoperationen.
Sicherheit von Bürgern und KMU: Erweiterung des Cybersicherheitsbewusstseins und der grundlegenden Sicherheitspraktiken auf Bürger und kleine und mittlere Unternehmen, um die Verbreitung kompromittierter persönlicher Geräte und kleiner Unternehmensnetzwerke zu reduzieren.
Jedes strategische Ziel übersetzt sich in konkrete Politiken: Ein Abschreckungsziel kann beispielsweise Investitionen in Cyber-Bedrohungsattributionsfähigkeiten erfordern; ein Ziel des Schutzes kritischer Infrastruktur kann sektorale Governance-Rahmen erfordern; ein Fähigkeitenentwicklungsziel kann Bildungsinvestitionen und F&E-Finanzierung erfordern.
Sektoraler Ansatz: Anerkennung von Unterschieden zwischen Industrien
Das Element des sektoralen Ansatzes erkennt an, dass verschiedene Sektoren unterschiedlichen Cybersicherheitsherausforderungen ausgesetzt sind und unterschiedliche Governance-Antworten erfordern. Eine nationale Strategie adressiert typischerweise wichtige Sektoren:
Energie (Stromerzeugung, Verteilung, Gasnetze): Energiesysteme sind hochgradig vernetzt und erstrecken sich über mehrere Länder (Stromnetze sind grenzüberschreitend). Störungen kaskadieren rasch. Governance muss sowohl physische Sicherheit als auch Cybersicherheit ansprechen und mit Nachbarländern koordinieren.
Gesundheit (Krankenhäuser, Pharmaunternehmen, Hersteller medizinischer Geräte): Gesundheitssysteme sind lebenswichtig; Cybervorfälle können die Patientensicherheit direkt beeinträchtigen. Governance muss Sicherheit mit operativer Flexibilität ausbalancieren (klinisches Personal muss schnell auf Patientenbedürfnisse reagieren können) und muss hochsensible persönliche Gesundheitsdaten schützen.
Finanzen (Banken, Zahlungssysteme, Finanzmärkte): Finanzsysteme sind systemisch bedeutsam; Störungen kaskadieren durch Volkswirtschaften. Governance muss operative Kontinuität und Betrugsprävention ansprechen.
Verkehr (Luftfahrt, Schiene, Schifffahrt, Straße): Verkehrssysteme sind kritisch für den Waren- und Personenverkehr in der EU. Governance muss sicherheitskritische Aspekte und grenzüberschreitende Koordination ansprechen.
Digitale Infrastruktur (Cloud-Anbieter, DNS-Dienste, Content-Delivery-Netzwerke): Anbieter digitaler Infrastruktur sind in nahezu alle anderen kritischen Sektoren eingebettet. Eine Störung bei einem großen Cloud-Anbieter betrifft Gesundheit, Finanzen, E-Commerce und andere.
Telekommunikation: Telekommunikationsnetze tragen kritische Dienste (Notfallkommunikation, Finanztransaktionen, Infrastrukturkontrolle). Governance muss sowohl Dienstkontinuität als auch Abhör-/Überwachungsschutzmaßnahmen ansprechen.
Für jeden Sektor adressiert die nationale Strategie:
Sektorspezifische Bedrohungen: Was sind die Hauptcyberbedrohungen für diesen Sektor? Wer sind wahrscheinliche Gegner? Welche Angriffsvektoren sind wahrscheinlich?
Sektorspezifische Schwachstellen: Welche Charakteristika des Sektors schaffen Cybersicherheitsschwachstellen? (Z. B. veraltete medizinische Geräte im Gesundheitswesen; die Abhängigkeit der Energie von industriellen Steuerungssystemen; Hochfrequenz-Handelssysteme der Finanzen.)
Sektorspezifische Governance: Welche Behörde überwacht die Cybersicherheit in diesem Sektor? Welche Vorschriften gelten? Wie kooperiert der Sektor mit der Regierung bei Bedrohungen und Vorfällen?
Sektorspezifische Fähigkeiten und Resilienz: Welche Fähigkeiten besitzt der Sektor zur Erkennung und Reaktion auf Vorfälle? Welche Lücken bestehen?
Nationale Risikobewertung
Artikel 7 verlangt, dass die nationale Strategie von einer nationalen Cybersicherheits-Risikobewertung informiert wird. Diese Bewertung identifiziert die wichtigsten Cyberbedrohungen, denen der Mitgliedstaat ausgesetzt ist, und die Schwachstellen in kritischen Systemen und bewertet die potenziellen Auswirkungen größerer Vorfälle.
Eine nationale Risikobewertung könnte beispielsweise identifizieren:
Geopolitische Bedrohungen: Cyberoperationen bestimmter Nationen oder staatlich geförderter Gruppen, die den Mitgliedstaat ins Visier nehmen. Diese können nach Nation, Motiv (Spionage, Störung, Desinformation), Zielsektoren und typischen Angriffsmustern charakterisiert werden.
Ransomware-Bedrohungen: Die Verbreitung und Charakteristika von Ransomware-Angriffen, typische Zielsektoren und Lösegeldforderungen.
Insider-Bedrohungen: Die Verbreitung von Datendiebstahl, Sabotage oder Störung durch Insider (aktuelle oder ehemalige Mitarbeiter).
Lieferkettenschwachstellen: Abhängigkeiten von Software oder Hardware bestimmter Anbieter und Risiken von Kompromittierung beim Anbieter.
Systemische Schwachstellen: Häufige Schwachstellen in kritischen Systemen, z. B. Abhängigkeit von bestimmten Software-Plattformen, gemeinsame Infrastrukturabhängigkeiten oder Altsysteme, die nicht gepatcht werden können.
Fähigkeitslücken: Bereiche, in denen die Verteidigungsfähigkeiten der Nation schwach sind, z. B. unzureichend qualifiziertes Cybersicherheitspersonal, begrenzte forensische Untersuchungsfähigkeiten oder schwache CSIRT-Ressourcen.
Die Risikobewertung informiert die Priorisierung: Ressourcen werden auf die größten Risiken gerichtet.
Governance-Rahmen und Behördenausweisung
Artikel 7 verlangt, dass die nationale Strategie den Governance-Rahmen artikuliert, durch den Cybersicherheit koordiniert wird. Dies umfasst:
Behördenausweisung: Welche Regierungsbehörde(n) sind für die Cybersicherheitsaufsicht verantwortlich? Gibt es eine einzige nationale Cybersicherheitsbehörde, oder sind Verantwortlichkeiten auf sektorspezifische Regulierungsbehörden verteilt?
Koordinationsmechanismen: Wie koordinieren sich Behörden? Gibt es ein nationales Koordinationsorgan (z. B. eine nationale Ebene der Kooperationsgruppe oder ein interministerielles Komitee)?
Öffentlich-private Partnerschaften: Wie engagiert sich die Regierung mit Einrichtungen des privaten Sektors (wesentliche Dienstleister, Anbieter, Betreiber kritischer Infrastruktur)? Welche Kommunikationskanäle existieren für Informationsaustausch, Bedrohungsmeldung und Vorfallskoordination?
Internationale Koordination: Wie koordiniert sich der Mitgliedstaat mit anderen EU-Mitgliedstaaten und internationalen Partnern bei Cyberbedrohungen und Vorfallsreaktion?
Umsetzung der sektoralen Governance
Innerhalb der nationalen Gesamtstrategie adressieren Mitgliedstaaten jeden kritischen Sektor mit spezifischen Governance-Ansätzen. Diese sektorale Governance übersetzt die Strategie in operative Rahmen. Beispielsweise könnte ein sektoraler Governance-Ansatz für das Gesundheitswesen Folgendes umfassen:
Ausweisung einer Behörde des Gesundheitssektors (z. B. das Gesundheitsministerium oder eine spezielle Gesundheits-IT-Agentur), die für die NIS2-Umsetzung im Gesundheitswesen verantwortlich ist.
Identifikation wesentlicher Gesundheitsdienstleister (Krankenhäuser, Pharmahersteller), die NIS2 unterliegen.
Etablierung sektorspezifischer Leitlinien, die verhältnismäßige Cybersicherheitsmaßnahmen für Gesundheitseinrichtungen unterschiedlicher Größe klären.
Entwicklung gesundheitssektorspezifischer Vorfallsreaktionsverfahren, die die einzigartigen Herausforderungen der Vorfallsreaktion in klinischen Umgebungen anerkennen.
Koordination mit Gesundheitsregulierern (Medizinproduktebehörden, Pharmaregulierer), um Cybersicherheit mit bestehender Produktsicherheitsregulierung auszurichten.
Engagement mit Gesundheitsdienstleisterverbänden, Krankenhausnetzwerken und Anbietergruppen zur Kommunikation von Erwartungen und Erleichterung der Konformität.
Evolution und Aktualisierung nationaler Strategien
Nationale Cybersicherheitsstrategien sind keine statischen Dokumente. Sie sollten regelmäßig überprüft und aktualisiert werden (typischerweise alle 2-3 Jahre und häufiger, wenn größere Vorfälle oder Bedrohungsentwicklungen es rechtfertigen).
Aktualisierungen können adressieren:
Sich entwickelnde Bedrohungen: Wenn neue Bedrohungsakteure auftauchen oder sich Angriffsmuster ändern, sollte die Strategie aktualisiert werden, um die sich verändernde Bedrohungslandschaft widerzuspiegeln.
Technologischer Wandel: Wenn neue Technologien auftauchen (z. B. künstliche Intelligenz, Quantencomputing, Cloud Computing), sollte die Strategie ihre Cybersicherheitsimplikationen adressieren.
Regulatorische Veränderungen: Wenn neue EU-Richtlinien umgesetzt oder bestehende Vorschriften geändert werden, sollte sich die nationale Strategie ausrichten.
Lehren: Größere Vorfälle oder Sicherheitsuntersuchungen offenbaren oft systemische Schwachstellen. Die Strategie sollte aktualisiert werden, um identifizierte Lücken zu adressieren.
Wirksamkeitsbewertung: Regelmäßige Bewertung, ob die Strategie ihre Ziele erreicht, und welche Anpassungen erforderlich sind.
Beziehung zu operativen Anforderungen von NIS2
Es ist wichtig, die Beziehung zwischen Artikel 7 (nationale Strategien) und den Artikeln 20-26 (operative Anforderungen für ausgewiesene Einrichtungen) zu beachten. Artikel 7 legt den strategischen politischen Rahmen fest; die Artikel 20-26 legen operative Anforderungen für Organisationen fest, die kritische Infrastruktur verwalten.
Die nationale Strategie ist selbst nicht die Menge operativer Anforderungen. Stattdessen liefert die nationale Strategie den politischen Kontext und den Governance-Rahmen, innerhalb derer operative Anforderungen definiert, Behörden ausgewiesen und Einrichtungen reguliert werden.
In der Praxis bedeutet dies:
Eine nationale Strategie, die strategische Ziele und sektorale Ansätze artikuliert, informiert, welche Behörden zur Regulierung jedes Sektors ausgewiesen werden.
Zuständige Behörden, informiert durch die nationale Strategie, erlassen sektorspezifische Leitlinien, die klären, wie verhältnismäßige Cybersicherheitsmaßnahmen in ihren Sektoren aussehen.
Ausgewiesene Einrichtungen, die die nationale Strategie und sektoralen Leitlinien kennen, setzen verhältnismäßige Maßnahmen um, die auf ihre Größe, ihren Sektor und ihr Risikoprofil zugeschnitten sind.
Die Strategie informiert auch das internationale Engagement: Mitgliedstaaten nutzen nationale Strategien als Grundlage für die Diskussion von EU-Cybersicherheitsprioritäten mit Mitgliedstaat-Peers und in EU-Koordinationsmechanismen.
Wichtige Erkenntnisse
- Artikel 7 verlangt von Mitgliedstaaten, nationale Cybersicherheitsstrategien zu entwickeln und zu unterhalten, die strategische Ziele, sektorale Ansätze und Risikobewertung adressieren.
- Strategische Ziele definieren, was der Mitgliedstaat erreichen will: Schutz kritischer Infrastruktur, Entwicklung inländischer Fähigkeiten, Verbesserung der internationalen Zusammenarbeit und Aufbau öffentlich-privater Partnerschaften.
- Der sektorale Ansatz erkennt an, dass verschiedene Sektoren (Energie, Gesundheit, Finanzen, Verkehr, digitale Infrastruktur) unterschiedlichen Bedrohungen ausgesetzt sind und unterschiedliche Governance-Antworten erfordern.
- Die nationale Cybersicherheits-Risikobewertung identifiziert die wichtigsten Bedrohungen und Schwachstellen, denen der Mitgliedstaat ausgesetzt ist, und informiert die Priorisierung von Regierungsressourcen und Fokus.
- Der Governance-Rahmen artikuliert, welche Behörden für die Cybersicherheitsaufsicht verantwortlich sind, wie sich Behörden koordinieren und wie der öffentliche und private Sektor zusammenarbeiten.
- Nationale Strategien sind lebende Dokumente, die regelmäßig überprüft und aktualisiert werden (alle 2-3 Jahre), um sich entwickelnde Bedrohungen, technologische Veränderungen und Lehren widerzuspiegeln.
- Die nationale Strategie liefert den strategischen politischen Kontext für die NIS2-Umsetzung; sie informiert die Behördenausweisung und sektoralen Leitlinien, erlegt aber Einrichtungen keine direkten operativen Anforderungen auf (die in den Artikeln 20-26 festgelegt sind).
