“安全且有弹性”：NIS2UmsuCG 的要求和实施 - 第二部分

fabiha01

在我们的博客系列“安全与弹性”的第二部分中，我们讨论了NIS-2 实施和网络安全加强法案（简称NIS2UmsuCG）的要求和实施（政府草案日期为 2024 年 7 月 22 日；该法律尚未颁布）。

NIS2UmsuCG 标志着德国网络安全战略的一个里程碑。它在全国范围内实施欧盟指令 NIS 2，并要求关键和重要设施的运营商实施全面的安全措施。目的是主动降低网络风险、标准化报告链并增强抵御攻击的能力（参见Kipker 2024）。

行业
随着该法的出台，有义务的公司范围大大扩大。除了能源、水利、卫生和交通领域的传统 KRITIS 运营商外，该法律现在还涵盖数字服务、空间通信、化学工业和研究机构等新领域。一项特别的创新是将其划分为“重要设施”和“特别重要设施”，其中“特别重要设施”必须满足更严格的要求。测试周期为三年，从2027年开始。为了确定某人是否受到影响，联邦信息安全局（BSI）发布了自己的评估影响的工具 。

该图显示了 NIS2UmsuCG 附件 1 和附件 2 中的各种阈值和 KRITIS 部门的表格
图：自己的插图
要求
NIS2UmsuCG 的一项核心要求是根据 ISO/IEC 27001 等通用标准实施信息安全管理系统 (ISMS)。运营商必须进行风险分析、制定安全概念并定期审查。其中包括引入网络分段、防火墙系统和入侵检测系统（IDS）等技术措施。

根据 NIS 2 指令，安全事件发生后的报告义务（流程）。
图：自己的插图
特别值得注意的是报告义务。安全事件必须在 24 小时内报告给 BSI。必须在 72 小时内提交详细的分析，包括采取的对策（参见欧盟 2024）。这需要建立事件响应团队并使用 SIEM 系统来快速检测攻击。

BSI 的作用在 NIS2UmsuCG 中得到加强。它不仅充当中央报告点，而且还进行定期检查。违反要求将被处以最高 1000 万欧元或年营业额 2% 的罚款。此外，如果公司未能履行其义务，还可能受到经营限制等制裁。

挑战
实施法律带来挑战。许多公司面临着对现有IT 和 OT 系统进行现代化改造并将其无缝集成到新的安全架构中的任务（参见 Ziegler 2024¹）。对于工业 4.0 应用和物联网设备尤其如此，它们通常基于较旧的平台并且难以升级。由于对专业安全顾问和审计师的需求很高，熟练工人的短缺也是一个障碍。

尽管如此，NIS2UmsuCG 还是提供了机会。尽早响应需求的公司不仅可以获得更好的安全性，还可以获得竞争优势。 ISMS 证书，德国商业传真列表 例如按照ISO/IEC 27001，在客户和合作伙伴之间建立信任，促进国际合作。自动化解决方案有助于有效识别漏洞并持续检查合规性要求。

为了成功实施NIS2UmsuCG的要求，公司应该逐步进行：首先，需要对IT和OT系统进行盘点 。然后应进行风险分析并确定保护措施的优先顺序（参见BSI CRA 2024）。建立具有自动威胁检测和清晰升级链的安全运营中心 (SOC)可以更轻松地履行报告义务 - 但根据公司的规模，它也可能走得太远。最后，定期的渗透测试和培训应确保安全流程不断优化。

NIS2UmsuCG 不仅是一种监管工具，也是提高德国网络安全的决定性一步。将法律要求视为机遇的公司可以持续加强其安全架构并为应对未来的威胁做好准备。先前为当局提供的例外情况给人留下了不一致的印象——因此，请求付款的一方不受所需规范的约束。周边国家的情况值得我们关注。

在我们的博客系列“安全与弹性”的第三篇文章中，我们仔细研究了KRITIS 保护伞法。

“安全与弹性”博客系列的其他部分：
NIS2UmsuCG、KRITIS 保护伞法和网络弹性法案 (CRA) – 第一部分
KRITIS 保护伞法 – 第 3 部分
网络弹性法案 – 产品安全和制造商义务 – 第四部分
审计、合格评定和合格评定机构（CAB）的作用 - 第 5 部分
新法规带来的挑战与机遇——第六部分


¹Ziegler, N. 2024。NIS 2 指令在德国的实施。第48届DAFTA，论坛8，2024年