Die EU-Richtlinie NIS (Netz- und Informationssicherheit), die direkt vom französischen Wehrplanungsgesetz beeinflusst wurde, ist seit dem 9. Mai 2018 rechtskräftig. Nach der Veröffentlichung der Ausführungsverordnung am 25. Mai in Frankreich analysierte Robert Wakim, Offer Manager des Geschäftsbereichs Industrie bei Stormshield, die Auswirkungen dieses neuen Regelkatalogs zur Cybersicherheit.
Mit dem Inkrafttreten der europäischen NIS-Richtlinie (Netz- und Informationssicherheit) vom Juli 2016 begann ein neues Kapitel in der Cybersicherheit. Die Richtlinie setzt die Prinzipien des Wehrplanungsgesetzes (LPM) fort, das seit 2013 in Frankreich rechtskräftig ist. Frankreich ist damit in Europa durchaus als Wegbereiter auf diesem Gebiet zu betrachten.
Die Erfahrungen mit dem Wehrplanungsgesetz LPM dürften auch Skeptiker besänftigen. Nach Angaben der ANSSI (französische Behörde für Informationssicherheit) fiel die Akzeptanz des Gesetzes höher aus als erwartet. Der Großteil der 249 identifizierten OIV (Betreiber vitaler Bedeutung) hat innerhalb des vorgegebenen Zeitraums von drei Monaten nach der Veröffentlichung der Verordnungen ihre Informationssysteme vitaler Bedeutung (SIIV) definiert.
Das Wehrplanungsgesetz dient jedoch nicht zum Selbstzweck, sondern ist ein erster Schritt in Richtung Cybersicherheit, die in der Regel iterativ und zyklisch verläuft. Dieser Schutz muss regelmäßig überprüft werden, damit neue, unbekannte Arten von Angriffen bewältigt werden können, wie die Sicherheitslücken Spectre und Meltdown erneut gezeigt haben.
NIS: kritische Interessen schützen – aus wirtschaftlicher Sicht
In dieser Hinsicht leistet die NIS-Richtlinie einen wichtigen Beitrag, jedoch mit einer anderen Zielsetzung. Während das Wehrplanungsgesetz sich auf Betreiber vitaler Bedeutung im Falle einer Bedrohung für die nationale Sicherheit (in den Bereichen Transport, Energie, Lebensmittelversorgung, Gesundheit usw.) konzentrierte, beleuchtet die NIS-Richtlinie das Thema aus wirtschaftlicher Sicht: Der Schwerpunkt liegt hier vielmehr auf den kritischen Interessen in den Bereichen der Kommerzialisierung, Patente usw.
Davon betroffen sind demnach sowohl die Konzerne des CAC 40 als auch Unternehmen ähnlicher Größenordnung in Europa. Zu den Betreibern vitaler Bedeutung des Wehrplanungsgesetzes kommen die Betreiber kritischer Dienste (OSE) der NIS-Richtlinie hinzu und erweitern so den Kreis der Zielbetreiber, obwohl es sich dabei oft um die gleichen Akteure handelt.
Es ist zu beachten, dass die europäische Richtlinie auch DSP (Digital Service Provider) in das System integriert. Die Wirtschaft ist nicht nur zunehmend von den Dienstleistungen dieser Anbieter abhängig. Dadurch, dass sich diese an einer kritischen Stelle des Systems befinden, an der der gesamte Netzverkehr zusammenläuft, nehmen die Anbieter eine strategische Position ein, da sie im Störfall wichtige Informationen weiterleiten können.
Die EU-Staaten haben nunmehr bis zum 9. Dezember 2018 Zeit, um eine Liste ihrer Betreiber kritischer Dienste und Digital Service Provider zu erstellen. In Frankreich erklärte kürzlich der Generaldirektor der französischen IT-Sicherheitsbehörde ANSSI, Guillaume Poupard, beim RIAMS (Treffen rund um die Themen Identität, Audit und Sicherheitsmanagement) von Orange Cyberdéfense: „Die genaue Zahl der OSE ist nicht bekannt, aber es sind wahrscheinlich mehrere Tausende und diese Liste könnte im Laufe der Zeit länger werden“.
Die Zahl der OSE ist nicht bekannt, aber es sind wahrscheinlich mehrere Tausende.
Guillaume Poupard, Generaldirektor der ANSSI
Während das Wehrplanungsgesetz hinsichtlich der zum Einsatz kommenden Instrumente als restriktiver oder zumindest präziser bezeichnet werden kann, liegt der Schwerpunkt der NIS-Richtlinie auf der Kommunikation zwischen den EU-Staaten über deren nationale Behörden. Die EU-Staaten, die nicht über Behörden wie die ANSSI in Frankreich oder das BSI in Deutschland verfügen, werden durch die europäische IT-Sicherheitsbehörde ENISA unterstützt. Ähnlich wie bei einem Brand steht hier der Gedanke dahinter, so früh wie möglich eingreifen zu können, um eine weitere Ausbreitung des Störfalls zu verhindern.
Die Verordnungen des Wehrplanungsgesetzes können Unternehmen zur Bestandsaufnahme ihrer Infrastruktur, zur Kartierung der Netze und zur Definition sicherheitskritischer Risiken anregen und so für die Vorbereitung auf die Umsetzung der europäischen Richtlinien von Nutzen sein – aus wirtschaftlicher Sicht.
Diese Vorbereitung muss sich auf drei Eckpunkte stützen:
- die Sensibilisierung ausnahmslos aller Mitarbeiter für das Thema Cybersicherheit mithilfe von unternehmensinternen oder externen Fachleuten,
- die Durchführung von Audits, um einen genauen Maßnahmenplan aufzustellen,
- die Wahl von Produkten für den IT-Schutz, welche den Bedürfnissen am besten entsprechen.
Cybersicherheit – Zuverlässigkeit– Wettbewerbsfähigkeit: eine positive Dynamik
Die Folgen dieser neuen Regelungen bekommt der Endkunde normalerweise nicht zu spüren. Dennoch sollten Unternehmen die Weitergabe von Informationen an den Leiter für IT-Sicherheit unterstützen, wie das in einigen großen Unternehmen der Fall war, die zur Zielscheibe für Cyberangriffe wurden. Da IT-Sicherheit alle Unternehmensbereiche betrifft, muss dieser Aspekt frühzeitig in jedem neuen Projekt berücksichtigt werden.
Eine weitere, nicht zu vernachlässigende Auswirkung dieser Maßnahmen sind verbesserte Dienstleistungen. Durch die bessere Kontrolle des Netzes werden Ausfälle früher erkannt. Dienstausfälle können so reduziert werden. Cybersicherheit wird viel zu oft als ein Kostenfaktor wahrgenommen, obwohl es sich eigentlich um einen Wettbewerbsvorteil handelt. Sie sorgt für robustere und damit für qualitativ hochwertigere Dienstleistungen. Dieser Aspekt wird noch viel zu oft vernachlässigt!