Inhaltsverzeichnis

NIS2-direktiva

Izvedba EU-direktive 2022/2555 (NIS2) za omrežno in informacijsko varnost s post-kvantno kriptografijo.

Pregled

NIS2-direktiva1) je prenovljena EU-direktiva za kibernetsko varnost kritičnih infrastruktur. Začela je veljati 16. januarja 2023 in mora biti prenesena v nacionalno zakonodajo do 17. oktobra 2024.

flowchart TB subgraph NIS2["NIS2-direktiva (EU) 2022/2555"] A21["Člen 21
Upravljanje tveganj"] A23["Člen 23
Obveznosti poročanja"] A32["Člen 32
Nadzor"] end subgraph A21D["Čl. 21(2) - Minimalni ukrepi"] A21a["(a) Analiza tveganj"] A21d["(d) Dobavna veriga"] A21e["(e) Nabava"] A21h["(h) Kriptografija"] A21j["(j) MFA/Dostop"] end subgraph WVDS["WvdS-izvedba"] RISK["Doku tveganj"] SUPPLY["OpenSSL 3.6
(odprta koda)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Odjemalski cert."] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff

Prizadeti sektorji

NIS2 razširja področje uporabe na več sektorjev:

Bistveni subjekti (Essential Entities)

Sektor Primeri WvdS-relevantnost
Energija Električna omrežja, vetrne elektrarne, nafta/plin Scenariji za energijo
Promet Železnica, letalstvo, pomorstvo Prometni certifikati
Bančništvo Kreditne institucije Varnost transakcij
Zdravstvo Bolnišnice, laboratoriji Healthcare-scenariji
Pitna voda Oskrba z vodo SCADA-komunikacija
Digitalna infrastruktura DNS, TLD, oblak PKI, TLS

Pomembni subjekti (Important Entities)

Sektor Primeri WvdS-relevantnost
Pošta/kurirji Logistika Avtentikacija
Ravnanje z odpadki Odstranjevanje OT-varnost
Kemija Proizvodnja Industrijski scenariji
Živila Proizvodnja, trgovina Dobavna veriga
Proizvodnja Stroji, vozila Automotive-scenariji
Digitalne storitve Tržnice, iskalniki API-varnost

Člen 21(2) - Ukrepi za upravljanje tveganj

Direktiva v členu 21(2)2) zahteva konkretne minimalne ukrepe:

(a) Analiza tveganj in varnost informacijskih sistemov

Zahteva WvdS-dokazilo
Identifikacija tveganj Dokumentacija tveganj
Analizirana kvantna grožnja Scenarij Harvest-Now-Decrypt-Later
Določena potreba po zaščiti Klasifikacija podatkov po življenjski dobi

(d) Varnost dobavne verige

Zahteva WvdS-dokazilo
Ocenjevanje dobaviteljev OpenSSL 3.6 = odprta koda, preverljiva
Minimiziranje odvisnosti Samo OpenSSL + .NET Runtime
Zagotavljanje posodobitev NuGet-paket, samodejne posodobitve

(e) Varnost pri nabavi, razvoju in vzdrževanju

Zahteva WvdS-dokazilo
Varen razvoj Pregled kode, testi
Upravljanje ranljivosti GitHub Security Advisories
Upravljanje popravkov Semantično verzioniranje

(h) Koncepti za kriptografijo

Ključna zahteva za WvdS:

Zahteva WvdS-izvedba Status
Ustrezna kriptografija Algoritmi NIST FIPS 203/204
Stanje tehnike Post-Quantum od NIST 2024
Šifriranje po potrebi Hibridna kriptografija
Upravljanje ključev HKDF, PBKDF2, Argon2id 
// NIS2-skladna konfiguracija kriptografije
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
 
// Hibridni certifikati: klasično + post-kvantno
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);

(j) Večfaktorska avtentikacija

Zahteva WvdS-izvedba Status
MFA ali neprekinjena avt. mTLS z odjemalskimi certifikati
Varna komunikacija TLS 1.3 s PQ-algoritmi
Upravljanje identitet X.509-certifikati

Člen 23 - Obveznosti poročanja

Pri varnostnih incidentih veljajo stroge obveznosti poročanja3):

Rok Poročilo WvdS-podpora
24 ur Zgodnje opozorilo Revizijsko beleženje za forenziko
72 ur Poročilo o incidentu Podrobni dnevniki na voljo
1 mesec Končno poročilo Popolna dokumentacija

Priporočilo: Aktivirajte revizijsko beleženje za vse kriptografske operacije, da dokumentirate incidente sledljivo.

Roki za izvedbo

timeline title Izvedba NIS2 section 2023 16. jan. : NIS2 v veljavi Inventarizacija : Preverjanje prizadetosti section 2024 17. okt. : Rok za izvedbo Gap-analiza : Identifikacija ukrepov section 2025 Obveznosti poročanja : Polno aktivne Nadzor : Začetek kontrol section 2026+ Sankcije : Možne globe Revizije : Redna preverjanja

Sankcije pri kršitvah:4)

Kontrolni seznam za NIS2-skladnost

# Kontrolna točka WvdS-dokazilo
—————–—————
1 Analiza tveganj dokumentirana Tveganje
2 Kriptografija „stanje tehnike“ NIST FIPS 203/204 (2024)
3 Hibridna kriptografija aktivna CryptoMode.Hybrid
4 Upravljanje ključev dokumentirano KeyDerivation
5 Dobavna veriga transparentna OpenSSL 3.6 odprta koda
6 MFA izvedena mTLS z odjemalskimi certifikati
7 Revizijsko beleženje aktivno Kripto-dogodki zabeleženi
8 Proces poročanja določen Načrt odziva na incidente

Nemška izvedba: NIS2UmsuCG

Zakon o izvedbi NIS-2 in krepitvi kibernetske varnosti (NIS2UmsuCG)5) prenaša NIS2 v nemško pravo:

NIS2 Nemško pravo Pristojni organ
Bistveni subjekti §§ 28-29 BSIG-novo BSI
Pomembni subjekti §§ 30-31 BSIG-novo BSI
Obveznosti poročanja § 32 BSIG-novo BSI
Sankcije § 60 BSIG-novo BNetzA, BSI

Nadaljnje branje

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , ,
1)
EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
2)
NIS2-direktiva čl. 21 odst. 2: „Ukrepi za upravljanje tveganj na področju kibernetske varnosti“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3507-80-1
3)
NIS2-direktiva čl. 23: „Obveznosti poročanja“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3835-80-1
4)
NIS2-direktiva čl. 34: „Upravne sankcije“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e4802-80-1
5)
BMI NIS2UmsuCG: https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/it-sicherheit/nis2-umsetzung/nis2-umsetzung-node.html