ENISA-Bericht: Cybersicherheitsreife und Kritikalität der NIS2-Sektoren

Der erste “NIS360-Bericht" der Europäischen Agentur für Cybersicherheit (ENISA) identifiziert Verbesserungspotenziale und verfolgt den Fortschritt in allen Sektoren der NIS2-Richtlinie. NIS360 bewertet den Reifegrad und die Kritikalität der NIS2-Sektoren und bietet eine vergleichende und eingehende Analyse der Sektoren. Im ENISA NIS360 werden Stärken, sektorale Herausforderungen und Lücken identifiziert und Empfehlungen zur Verbesserung der sektoralen Reife und Widerstandsfähigkeit in der gesamten Union gegeben.
Ziel von NIS360 ist es, den nationalen Behörden und Cybersicherheitsbehörden der Mitgliedstaaten, die mit der Umsetzung von NIS2 beauftragt sind, zu helfen,
  1. den Gesamtüberblick zu verstehen,
  2. sie bei der Priorisierung zu unterstützen,
  3. Verbesserungspotenziale aufzuzeigen und
  4. die Überwachung der Sektorfortschritte zu erleichtern.
NIS360 soll außerdem politische Entscheidungsträger auf nationaler und EU-Ebene unterstützen und Input für die Politik- und Strategieentwicklung sowie für Initiativen zum Aufbau von Cyber-Resilienz liefern. Der Bericht legt drei Hauptprioritäten fest:
  1. Stärkung der Zusammenarbeit innerhalb und zwischen den Sektoren durch gemeinschaftsbildende Veranstaltungen und Kooperationen auf Sektor-, nationaler und EU-Ebene zu stärken
  2. Entwicklung branchenspezifischer Leitlinien zur Umsetzung der wichtigsten NIS2-Anforderungen in den einzelnen Sektoren innerhalb der NIS2-Umsetzungsphase.
  3. Notwendigkeit einer länderübergreifenden Angleichung der Anforderungen in jedem NIS-Sektor und einer grenzüberschreitenden Zusammenarbeit.

Wichtige Ergebnisse im Überblick

Die wichtigsten Ergebnisse sind: Strom, Telekommunikation und Banken sind die drei wichtigsten und reifsten Sektoren, die sich deutlich von den anderen abheben. Diese Sektoren profitierten von einer umfassenden Regulierung, Finanzierung und Investitionen, politischem Fokus und insgesamt einer robusten öffentlich-privaten Partnerschaft.
Digitale Infrastrukturen, zu denen kritische Dienste wie Internetknoten, Top-Level-Domains, Rechenzentren und Cloud-Dienste gehören, weisen noch einen niedrigeren Reifegrad auf. Dieser NIS-Sektor ist hinsichtlich der Reife der Unternehmen sehr heterogen und stark grenzüberschreitend ausgerichtet, was Aufsicht, Informationsaustausch und Zusammenarbeit erschwert.
Sechs NIS-Sektoren fallen in die NIS360-Risikozone, was darauf hindeutet, dass ihr Reifegrad im Verhältnis zu ihrer Kritikalität verbesserungswürdig ist.
  • IKT-Servicemanagement: Der Sektor steht aufgrund seines grenzüberschreitenden Charakters und seiner vielfältigen Unternehmen vor großen Herausforderungen. Die Stärkung seiner Widerstandsfähigkeit erfordert eine enge Zusammenarbeit zwischen den Behörden, einen geringeren Regulierungsaufwand für Unternehmen, die sowohl NIS2 als auch anderen Rechtsvorschriften unterliegen, sowie eine enge Zusammenarbeit bei der grenzüberschreitenden Aufsicht.
  • Weltraum: Das begrenzte Wissen der Beteiligten im Bereich Cybersicherheit und die starke Abhängigkeit von kommerziellen Standardkomponenten stellen Herausforderungen für den Sektor dar. Die Verbesserung der Widerstandsfähigkeit erfordert ein stärkeres Bewusstsein für Cybersicherheit, klare Richtlinien für Pre-Integrationstests der Komponenten und eine stärkere Zusammenarbeit mit anderen Sektoren.
  • Öffentliche Verwaltungen: Aufgrund ihrer großen Diversität ist es für den Sektor eine Herausforderung, einen höheren gemeinsamen Reifegrad zu erreichen. Dem Sektor fehlt die Unterstützung und Erfahrung reiferer Sektoren. Da der Sektor ein Hauptziel für “Hacktivismus” und staatlich gesteuerte Angriffe ist, sollte er seine Cybersicherheitskapazitäten stärken, indem er den EU-Cybersolidaritätsakt nutzt und Shared-Service-Modelle zwischen Sektoreinheiten, wie z. B. "Digital Wallets", erprobt.
  • Schifffahrt: Der Sektor steht weiterhin vor Herausforderungen im Bereich der Betriebstechnik (OT) und könnte von maßgeschneiderten Leitlinien für das Cybersicherheitsrisikomanagement profitieren, die sich auf die Minimierung sektorspezifischer Risiken konzentrieren, sowie von einer Cybersicherheitsübung auf EU-Ebene zur Verbesserung der Koordinierung und Vorbereitung im sektoralen und multimodalen Krisenmanagement.
  • Gesundheit: Der Gesundheitssektor, der im Rahmen von NIS2 erweitert wurde, steht weiterhin vor Herausforderungen wie der Abhängigkeit von komplexen Lieferketten, Altsystemen und schlecht gesicherten medizinischen Geräten. Um die Widerstandsfähigkeit zu stärken, bedarf es der Entwicklung praktischer Beschaffungsrichtlinien, die Unternehmen bei der Beschaffung sicherer Dienstleistungen und Produkte unterstützen, maßgeschneiderter Anleitungen zur Bewältigung häufiger Probleme und Sensibilisierungskampagnen für die Mitarbeitenden.
  • Gas: Der Sektor muss seine Krisenvorsorge und Reaktionsfähigkeit weiter ausbauen. Dies geschieht durch die Entwicklung und Erprobung von Krisenreaktionsplänen auf nationaler und EU-Ebene, aber auch durch eine verstärkte Zusammenarbeit mit dem Strom- und Fertigungssektor.
Der Bericht basiert auf Daten nationaler Behörden mit horizontalem oder sektoralem Mandat, auf Selbsteinschätzungen von Unternehmen der NIS2-Sektoren und auf EU-Datenquellen wie Eurostat.
(Quelle ENISA)