“安全且有韧性”:NIS2UmsuCG、KRITIS 保护伞法和网络韧性法...
在我们的博客系列“安全与弹性”中,我们想为您概述《NIS 2 实施和网络安全加强法案》(NIS2UmsuCG)、《KRITIS 保护伞法案》和《网络弹性法案》(CRA)产生的新要求。我们将研究这些法规之间的协同作用,并强调实施和审计过程中的实际挑战。德国关键基础设施和数字产品的安全正面临根本性的变化。 NIS2UmsuCG 、KRITIS 保护伞法和CRA创建了一个全面的法律框架,以应对日益网络化和受到威胁的世界的挑战。近年来,针对医院、能源供应商和其他关键基础设施和公共设施的网络攻击急剧增加。 BSI 报告称,与前几年相比,2024 年严重安全事件显著增加,恶意软件增加了 26%,大容量 DDoS 攻击增加了 13%(参见BSI 2024 年形势报告)。杜伊斯堡-埃森大学遭受袭击或德国联邦国防军多处设施供水系统遭受袭击等例子,说明了此类事件的脆弱性及其社会影响(参见 Ziegler 2024¹)。
该图显示了 BSIG 和 KritisV 适用的各个领域。
图:自己的插图
国家立法
立法者正在通过制定法规来应对这些威胁,这些法规涉及组织以及技术和产品相关的安全要求。 NIS2UmsuCG 要求关键和重要基础设施的运营商实施以网络安全为重点的全面信息安全管理系统 (ISMS),而 KRITIS 总体法旨在建立物理弹性措施(参见Weissmann 2024)。此外,CRA 确保数字产品(尤其是物联网设备)在其整个生命周期内受到保护,免受网络攻击(参见BSI CRA 2024)。
这些法规的结合创造了一个多层次的安全概念:NIS2UmsuCG 为安全流程和风险管理建立了组织基础。运营商必须在 24 小时内报告安全事件,并制定危机应对计划(参见欧盟 2024)。 KRITIS 总体法将这些要求扩展至包括物理保护措施,例如访问控制和供应中断应急计划(参见 Weissmann 2024)。同时,CRA 确保关键基础设施等中使用的技术的安全,并要求制造商定期提供安全更新并遵守文档要求。
协同作用与挑战
这些法规的协同作用在特定行业的应用中尤为明显:例如,在水务领域,运营商不仅必须保护其SCADA 系统免受网络攻击(NIS2UmsuCG),德国商业传真列表 还必须保护泵站等实物资产(KRITIS 保护伞法)。同时,智能电表和控制系统必须满足未来CRA的要求。在医疗保健领域,各项法规也相互补充:医院必须保护 IT 系统和患者数据,而 MRI 扫描仪等医疗设备必须从 2027 年起根据 CRA 获得安全认证。
尽管结构清晰,但公司、合格评定机构(CAB)和当局仍面临着巨大的挑战。技术复杂性,尤其是 IT 和 OT 系统的集成,需要专业的专家和大量的资源(参见 Ziegler 2024¹)。与此同时,在新选举和紧迫的实施期限背景下,政治局势不明朗——例如,CRA...B. 于 2024 年 12 月 10 日生效,其义务自 2027 年 12 月 11 日起全面适用——公司面临着时间压力。同步要求,特别是审计和认证要求,也需要明确的策略。
然而,这些规定也带来了机遇。早期投资安全措施的公司不仅可以满足法律要求,还可以通过强大的弹性策略获得竞争优势。将规范集成到现有的管理系统中,例如在根据 ISO/IEC 27001 的现有认证或根据 BSIG 第 8a 节的要求的背景下,简化了实施(参见英国标准协会OpenKRITIS等的映射表)。
NIS2UmsuCG、KRITIS 保护伞法和 CRA 的相互作用为德国面向未来的网络安全架构奠定了基础。然而,整体方法要求公司尽早投资流程、技术和培训。
我们的博客系列“安全与弹性”的第二篇文章讨论了NIS2UmsuCG 的要求和实施。
“安全与弹性”博客系列的其他部分:
NIS2UmsuCG 的要求和实施 – 第 2 部分
KRITIS 保护伞法 – 第 3 部分
网络弹性法案 – 产品安全和制造商义务 – 第四部分
审计、合格评定和合格评定机构(CAB)的作用 - 第 5 部分
新法规带来的挑战与机遇——第六部分
¹Ziegler, N. 2024。NIS 2 指令在德国的实施。第48届DAFTA,论坛8,2024年
頁:
[1]