====== NIS2-Richtlinie ======

Umsetzung der EU-Richtlinie 2022/2555 (NIS2) für Netz- und Informationssicherheit mit Post-Quantum-Kryptographie.

----

===== Übersicht =====

Die NIS2-Richtlinie((EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555)) ist die überarbeitete EU-Richtlinie zur Cybersicherheit kritischer Infrastrukturen. Sie trat am 16. Januar 2023 in Kraft und muss bis **17. Oktober 2024** in nationales Recht umgesetzt werden.

<mermaid>
flowchart TB
    subgraph NIS2["NIS2-Richtlinie (EU) 2022/2555"]
        A21["Artikel 21<br/>Risikomanagement"]
        A23["Artikel 23<br/>Meldepflichten"]
        A32["Artikel 32<br/>Aufsicht"]
    end

    subgraph A21D["Art. 21(2) - Mindestmaßnahmen"]
        A21a["(a) Risikoanalyse"]
        A21d["(d) Lieferkette"]
        A21e["(e) Beschaffung"]
        A21h["(h) Kryptographie"]
        A21j["(j) MFA/Zugang"]
    end

    subgraph WVDS["WvdS-Umsetzung"]
        RISK["Risiko-Doku"]
        SUPPLY["OpenSSL 3.6<br/>(Open Source)"]
        CERT["NIST FIPS<br/>203/204"]
        CRYPTO["ML-DSA<br/>ML-KEM"]
        MFA["mTLS<br/>Client-Certs"]
    end

    A21 --> A21D
    A21a --> RISK
    A21d --> SUPPLY
    A21e --> CERT
    A21h --> CRYPTO
    A21j --> MFA

    style CRYPTO fill:#4caf50,color:#fff
    style MFA fill:#4caf50,color:#fff
</mermaid>

----

===== Betroffene Sektoren =====

NIS2 erweitert den Anwendungsbereich auf mehr Sektoren:

==== Wesentliche Einrichtungen (Essential Entities) ====

^  Sektor  ^  Beispiele  ^  WvdS-Relevanz  ^
| Energie | Stromnetze, Windparks, Öl/Gas | [[de:int:pqcrypt:szenarien:branchen:energie:start|Energie-Szenarien]] |
| Verkehr | Bahn, Luftfahrt, Schifffahrt | Transport-Zertifikate |
| Bankwesen | Kreditinstitute | Transaktionssicherheit |
| Gesundheit | Krankenhäuser, Labore | [[de:int:pqcrypt:szenarien:branchen:healthcare:start|Healthcare-Szenarien]] |
| Trinkwasser | Wasserversorgung | SCADA-Kommunikation |
| Digitale Infrastruktur | DNS, TLD, Cloud | PKI, TLS |

==== Wichtige Einrichtungen (Important Entities) ====

^  Sektor  ^  Beispiele  ^  WvdS-Relevanz  ^
| Post/Kurier | Logistik | Authentifizierung |
| Abfallwirtschaft | Entsorgung | OT-Sicherheit |
| Chemie | Produktion | [[de:int:pqcrypt:szenarien:branchen:industrie:start|Industrie-Szenarien]] |
| Lebensmittel | Produktion, Handel | Supply-Chain |
| Fertigung | Maschinen, Fahrzeuge | [[de:int:pqcrypt:szenarien:branchen:automotive:start|Automotive-Szenarien]] |
| Digitale Dienste | Marktplätze, Suchmaschinen | API-Sicherheit |

----

===== Artikel 21(2) - Risikomanagementmaßnahmen =====

Die Richtlinie fordert in Artikel 21(2)((NIS2-Richtlinie Art. 21 Abs. 2: "Risikomanagementmaßnahmen im Bereich der Cybersicherheit", EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3507-80-1)) konkrete Mindestmaßnahmen:

==== (a) Risikoanalyse und Sicherheit der Informationssysteme ====

^  Anforderung  ^  WvdS-Nachweis  ^
| Identifizierung von Risiken | [[de:int:pqcrypt:business:risiko|Risiko-Dokumentation]] |
| Quantenbedrohung analysiert | Harvest-Now-Decrypt-Later Szenario |
| Schutzbedarf bestimmt | Datenklassifizierung nach Lebensdauer |

==== (d) Sicherheit der Lieferkette ====

^  Anforderung  ^  WvdS-Nachweis  ^
| Lieferanten bewerten | OpenSSL 3.6 = Open Source, auditierbar |
| Abhängigkeiten minimieren | Nur OpenSSL + .NET Runtime |
| Updates gewährleisten | NuGet-Paket, automatische Updates |

==== (e) Sicherheit bei Erwerb, Entwicklung und Wartung ====

^  Anforderung  ^  WvdS-Nachweis  ^
| Sichere Entwicklung | Code-Review, Tests |
| Schwachstellenmanagement | GitHub Security Advisories |
| Patch-Management | Semantic Versioning |

==== (h) Konzepte für Kryptographie ====

<WRAP important>
**Kernforderung für WvdS:**
</WRAP>

^  Anforderung  ^  WvdS-Umsetzung  ^  Status  ^
| Angemessene Kryptographie | NIST FIPS 203/204 Algorithmen | ✅ |
| Stand der Technik | Post-Quantum seit NIST 2024 | ✅ |
| Verschlüsselung ggf. erforderlich | Hybride Kryptographie | ✅ |
| Schlüsselmanagement | HKDF, PBKDF2, Argon2id | ✅ |

<code csharp>
// NIS2-konforme Kryptographie-Konfiguration
CryptoConfig.DefaultMode = CryptoMode.Hybrid;

// Hybride Zertifikate: klassisch + Post-Quantum
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);
</code>

==== (j) Multi-Faktor-Authentifizierung ====

^  Anforderung  ^  WvdS-Umsetzung  ^  Status  ^
| MFA oder kontinuierliche Auth | mTLS mit Client-Zertifikaten | ✅ |
| Sichere Kommunikation | TLS 1.3 mit PQ-Algorithmen | ✅ |
| Identitätsmanagement | X.509-Zertifikate | ✅ |

----

===== Artikel 23 - Meldepflichten =====

Bei Sicherheitsvorfällen gelten strenge Meldepflichten((NIS2-Richtlinie Art. 23: "Berichtspflichten", EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3835-80-1)):

^  Frist  ^  Meldung  ^  WvdS-Unterstützung  ^
| 24 Stunden | Frühwarnung | Audit-Logging für Forensik |
| 72 Stunden | Vorfallmeldung | Detaillierte Logs verfügbar |
| 1 Monat | Abschlussbericht | Vollständige Dokumentation |

<WRAP tip>
**Empfehlung:** Aktivieren Sie Audit-Logging für alle kryptographischen Operationen, um Vorfälle nachvollziehbar zu dokumentieren.
</WRAP>

----

===== Umsetzungsfristen =====

<mermaid>
timeline
    title NIS2-Umsetzung
    section 2023
        16. Jan : NIS2 in Kraft
        Inventarisierung : Betroffenheit prüfen
    section 2024
        17. Okt : Umsetzungsfrist
        Gap-Analyse : Maßnahmen identifizieren
    section 2025
        Meldepflichten : Vollständig aktiv
        Aufsicht : Kontrollen beginnen
    section 2026+
        Sanktionen : Bußgelder möglich
        Audits : Regelmäßige Prüfungen
</mermaid>

**Sanktionen bei Verstößen:**((NIS2-Richtlinie Art. 34: "Verwaltungssanktionen", EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e4802-80-1))
  * Wesentliche Einrichtungen: bis 10 Mio. EUR oder 2% Jahresumsatz (Art. 34(4))
  * Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4% Jahresumsatz (Art. 34(5))

----

===== Checkliste für NIS2-Konformität =====

| # | Prüfpunkt | WvdS-Nachweis | ✓ |
|---|-----------|---------------|---|
| 1 | Risikoanalyse dokumentiert | [[de:int:pqcrypt:business:risiko|Risiko]] | ☐ |
| 2 | Kryptographie "Stand der Technik" | NIST FIPS 203/204 (2024) | ☐ |
| 3 | Hybride Kryptographie aktiv | CryptoMode.Hybrid | ☐ |
| 4 | Schlüsselmanagement dokumentiert | [[de:int:pqcrypt:api:keyderivation:start|KeyDerivation]] | ☐ |
| 5 | Lieferkette transparent | OpenSSL 3.6 Open Source | ☐ |
| 6 | MFA implementiert | mTLS mit Client-Zertifikaten | ☐ |
| 7 | Audit-Logging aktiv | Krypto-Events protokolliert | ☐ |
| 8 | Meldeprozess definiert | Incident-Response-Plan | ☐ |

----

===== Deutsche Umsetzung: NIS2UmsuCG =====

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)((BMI NIS2UmsuCG: https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/it-sicherheit/nis2-umsetzung/nis2-umsetzung-node.html)) setzt NIS2 in deutsches Recht um:

^  NIS2  ^  Deutsches Recht  ^  Zuständige Behörde  ^
| Wesentliche Einrichtungen | §§ 28-29 BSIG-neu | BSI |
| Wichtige Einrichtungen | §§ 30-31 BSIG-neu | BSI |
| Meldepflichten | § 32 BSIG-neu | BSI |
| Sanktionen | § 60 BSIG-neu | BNetzA, BSI |

----

===== Weiterführend =====

  * [[.:start|Compliance-Übersicht]]
  * [[.:bsi-grundschutz|BSI IT-Grundschutz]]
  * [[.:kritis-verordnung|KRITIS-Verordnung]]
  * [[https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555|NIS2 Volltext (EUR-Lex)]]
  * [[https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/NIS2/nis2_node.html|BSI NIS2-Information]]

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>nis2 eu compliance kritis artikel-21}}