Inhaltsverzeichnis

NIS2-Richtlinie

Umsetzung der EU-Richtlinie 2022/2555 (NIS2) für Netz- und Informationssicherheit mit Post-Quantum-Kryptographie.

Übersicht

Die NIS2-Richtlinie1) ist die überarbeitete EU-Richtlinie zur Cybersicherheit kritischer Infrastrukturen. Sie trat am 16. Januar 2023 in Kraft und muss bis 17. Oktober 2024 in nationales Recht umgesetzt werden.

flowchart TB subgraph NIS2["NIS2-Richtlinie (EU) 2022/2555"] A21["Artikel 21
Risikomanagement"] A23["Artikel 23
Meldepflichten"] A32["Artikel 32
Aufsicht"] end subgraph A21D["Art. 21(2) - Mindestmaßnahmen"] A21a["(a) Risikoanalyse"] A21d["(d) Lieferkette"] A21e["(e) Beschaffung"] A21h["(h) Kryptographie"] A21j["(j) MFA/Zugang"] end subgraph WVDS["WvdS-Umsetzung"] RISK["Risiko-Doku"] SUPPLY["OpenSSL 3.6
(Open Source)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Client-Certs"] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff

Betroffene Sektoren

NIS2 erweitert den Anwendungsbereich auf mehr Sektoren:

Wesentliche Einrichtungen (Essential Entities)

Sektor Beispiele WvdS-Relevanz
Energie Stromnetze, Windparks, Öl/Gas Energie-Szenarien
Verkehr Bahn, Luftfahrt, Schifffahrt Transport-Zertifikate
Bankwesen Kreditinstitute Transaktionssicherheit
Gesundheit Krankenhäuser, Labore Healthcare-Szenarien
Trinkwasser Wasserversorgung SCADA-Kommunikation
Digitale Infrastruktur DNS, TLD, Cloud PKI, TLS

Wichtige Einrichtungen (Important Entities)

Sektor Beispiele WvdS-Relevanz
Post/Kurier Logistik Authentifizierung
Abfallwirtschaft Entsorgung OT-Sicherheit
Chemie Produktion Industrie-Szenarien
Lebensmittel Produktion, Handel Supply-Chain
Fertigung Maschinen, Fahrzeuge Automotive-Szenarien
Digitale Dienste Marktplätze, Suchmaschinen API-Sicherheit

Artikel 21(2) - Risikomanagementmaßnahmen

Die Richtlinie fordert in Artikel 21(2)2) konkrete Mindestmaßnahmen:

(a) Risikoanalyse und Sicherheit der Informationssysteme

Anforderung WvdS-Nachweis
Identifizierung von Risiken Risiko-Dokumentation
Quantenbedrohung analysiert Harvest-Now-Decrypt-Later Szenario
Schutzbedarf bestimmt Datenklassifizierung nach Lebensdauer

(d) Sicherheit der Lieferkette

Anforderung WvdS-Nachweis
Lieferanten bewerten OpenSSL 3.6 = Open Source, auditierbar
Abhängigkeiten minimieren Nur OpenSSL + .NET Runtime
Updates gewährleisten NuGet-Paket, automatische Updates

(e) Sicherheit bei Erwerb, Entwicklung und Wartung

Anforderung WvdS-Nachweis
Sichere Entwicklung Code-Review, Tests
Schwachstellenmanagement GitHub Security Advisories
Patch-Management Semantic Versioning

(h) Konzepte für Kryptographie

Kernforderung für WvdS:

Anforderung WvdS-Umsetzung Status
Angemessene Kryptographie NIST FIPS 203/204 Algorithmen
Stand der Technik Post-Quantum seit NIST 2024
Verschlüsselung ggf. erforderlich Hybride Kryptographie
Schlüsselmanagement HKDF, PBKDF2, Argon2id 
// NIS2-konforme Kryptographie-Konfiguration
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
 
// Hybride Zertifikate: klassisch + Post-Quantum
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);

(j) Multi-Faktor-Authentifizierung

Anforderung WvdS-Umsetzung Status
MFA oder kontinuierliche Auth mTLS mit Client-Zertifikaten
Sichere Kommunikation TLS 1.3 mit PQ-Algorithmen
Identitätsmanagement X.509-Zertifikate

Artikel 23 - Meldepflichten

Bei Sicherheitsvorfällen gelten strenge Meldepflichten3):

Frist Meldung WvdS-Unterstützung
24 Stunden Frühwarnung Audit-Logging für Forensik
72 Stunden Vorfallmeldung Detaillierte Logs verfügbar
1 Monat Abschlussbericht Vollständige Dokumentation

Empfehlung: Aktivieren Sie Audit-Logging für alle kryptographischen Operationen, um Vorfälle nachvollziehbar zu dokumentieren.

Umsetzungsfristen

timeline title NIS2-Umsetzung section 2023 16. Jan : NIS2 in Kraft Inventarisierung : Betroffenheit prüfen section 2024 17. Okt : Umsetzungsfrist Gap-Analyse : Maßnahmen identifizieren section 2025 Meldepflichten : Vollständig aktiv Aufsicht : Kontrollen beginnen section 2026+ Sanktionen : Bußgelder möglich Audits : Regelmäßige Prüfungen

Sanktionen bei Verstößen:4)

Checkliste für NIS2-Konformität

# Prüfpunkt WvdS-Nachweis
———–—————
1 Risikoanalyse dokumentiert Risiko
2 Kryptographie „Stand der Technik“ NIST FIPS 203/204 (2024)
3 Hybride Kryptographie aktiv CryptoMode.Hybrid
4 Schlüsselmanagement dokumentiert KeyDerivation
5 Lieferkette transparent OpenSSL 3.6 Open Source
6 MFA implementiert mTLS mit Client-Zertifikaten
7 Audit-Logging aktiv Krypto-Events protokolliert
8 Meldeprozess definiert Incident-Response-Plan

Deutsche Umsetzung: NIS2UmsuCG

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)5) setzt NIS2 in deutsches Recht um:

NIS2 Deutsches Recht Zuständige Behörde
Wesentliche Einrichtungen §§ 28-29 BSIG-neu BSI
Wichtige Einrichtungen §§ 30-31 BSIG-neu BSI
Meldepflichten § 32 BSIG-neu BSI
Sanktionen § 60 BSIG-neu BNetzA, BSI

Weiterführend

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , ,
1)
EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
2)
NIS2-Richtlinie Art. 21 Abs. 2: „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3507-80-1
3)
NIS2-Richtlinie Art. 23: „Berichtspflichten“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3835-80-1
4)
NIS2-Richtlinie Art. 34: „Verwaltungssanktionen“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e4802-80-1
5)
BMI NIS2UmsuCG: https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/it-sicherheit/nis2-umsetzung/nis2-umsetzung-node.html