Die vorliegende Arbeit fast den gesetzgeberischen Handlungsbedarf auf Bundesebene und im Saarland zusammen, der für die europarechtskonforme Umsetzung der NIS-2-RL erforderlich ist. Hierzu werden einzelne technische bzw. organisatorische Maßnahmen näher betrachtet. Die regulatorischen Anforderungen werden in Verbindung mit Abfallbewirtschaftungsunternehmen betrachtet, da diese als neue Branche fortan auch von der NIS-2-RL erfasst sind.
Der Grad an Digitalisierung und Vernetzung über Ländergrenzen hinweg nimmt stetig zu. Gleichermaßen steigt die Anzahl der digitalisierten oder digital gesteuerten Prozesse von Unternehmen und öffentlicher Verwaltung. Durch die zunehmende Digitalisierung verändern sich die Bedrohungsszenarien für die betroffenen Prozesse und die durch die Prozesse erbrachten Dienste. Insbesondere die für das Funktionieren der Wirtschaft und Gesellschaft wesentlichen bzw. wichtigen Dienste müssen zunehmend auf geeignete Art und Weise geschützt werden. Der Schutz umfasst hierbei sowohl präventive als auch reaktive Maßnahmen, die dem grenzüberschreitenden europäischen Datenverkehr gerecht werden müssen.
Inhaltsverzeichnis
1 Einleitung
2 Entwicklung der NIS-2-RL
3 Definition Abfallbewirtschaftungsunternehmen
3.1 Kreislaufwirtschaftsgesetz
3.2 IT-Sicherheitsgesetz 2.0
3.3 NIS-2-RL
3.4 NIS2UmsuCG-E
3.5 Zwischenergebnis
4 Umsetzung der NIS-2-RL auf Bundesebene
4.1 Anwendungsbereich
4.2 Registrierung
4.3 Governance
4.4 Technische und organisatorische Maßnahmen
4.5 Öffentliche Stellen
4.6 Einbindung der Zivilgesellschaft
4.7 Zwischenergebnis
5 Umsetzung der NIS-2-RL im Saarland
5.1 Informationssicherheitsgesetz Saarland
5.1.1 Zweck und Anwendungsbereich
5.1.2 Begriffsbestimmungen
5.1.3 Abwehr von Gefahren für die Informationssicherheit
5.1.4 Datenauswertung
5.1.5 Datenschutzrechtliche Kontrolle
5.2 Leitlinie zur Informationssicherheit der Landesverwaltung Saarland
5.3 Leitlinie zur Informationssicherheit der kommunalen Verwaltung Saarland
5.4 Zwischenergebnis
6 Technische und organisatorische Maßnahmen
7 Artificial Neural Twin
7.1 Technische und organisatorische Maßnahmen des ANT
7.1.1 Informationssicherheitsmanagementsystem
7.1.2 Softwareentwicklung
7.1.3 Netzwerksegmentierung
7.1.4 Ausreißererkennung
7.1.5 Verschlüsselung
7.1.6 Fernwartung
7.1.7 Anonymisierung und Pseudonymisierung
7.2 Zwischenergebnis
8 Fazit und Ausblick
Zielsetzung & Themen
Die Arbeit analysiert den aktuellen Stand der nationalen Umsetzung der NIS-2-Richtlinie durch den deutschen Gesetzgeber sowie beispielhaft für das Saarland, mit einem speziellen Fokus auf die Auswirkungen für Abfallbewirtschaftungsunternehmen, die durch die neuen regulatorischen Vorgaben zunehmend in den Anwendungsbereich der Cybersicherheitsregulierung rücken.
- Regulatorische Analyse der NIS-2-Richtlinie auf Bundes- und Landesebene.
- Einfluss der Gesetzgebung auf Abfallbewirtschaftungsunternehmen als kritische Sektoren.
- Vergleich und Einordnung von Informationssicherheitsgesetzen und Leitlinien (z.B. IT-SiG SL).
- Untersuchung technischer und organisatorischer Maßnahmen (TOM) für Cybersicherheit.
- Diskussion innovativer Ansätze wie des "Artificial Neural Twin" zur Prozessoptimierung in der Abfallwirtschaft unter Sicherheitsaspekten.
Auszug aus dem Buch
7.1.3 Netzwerksegmentierung
Mit Hilfe einer gezielten Segmentierung oder Separierung von Netzwerken können Risiken für die Netzwerke selbst, aber auch für die darin befindlichen Systeme, Daten und Anwendungen reduziert werden. Die voneinander segmentierten Teile eines Netzwerks, sogenannte Subnetzwerke, können über speziell dafür eingerichtete Netzwerkgrenzen kommunizieren. Ziel dieser Netzwerkgrenzen ist die Prüfung und Überwachung der ausgetauschten Informationen, damit bspw. Schadsoftware nicht von einem befallenen Subnetzwerk in das nächste übergehen kann und das Netzwerk, sowie die darin befindlichen Systeme, Daten und Anwendungen, besser vor unbefugten Zugriffen oder Angriffsversuchen geschützt sind. Die in einem Subnetzwerk enthaltenen Geräte, Systeme oder Anwendungen müssen einem gleichen Schutzbedarf unterliegen, damit die mitunter niedrigeren Sicherheitsanforderungen einzelner Bestandteile des Netzwerks die Sicherheit der übrigen nicht gefährden.
Die Kommunikation über die Netzwerkgrenzen kann bspw. mittels geeigneter Firewalls, Intrusion Prevention Systeme und Zugriffssteuerungslisten überwacht und kontrolliert werden. Ergänzend dazu können sicherheitsrelevante Vorfälle mittels Intrusion Detection Systemen oder dem Logging von Netzwerkgeräten erkannt werden. Diese Maßnahmen verhelfen den betroffenen Einrichtungen dabei der aus Art. 21 Abs. 2 lit. e) NIS-2-RL erwachsenen Pflicht zur Ergreifung von Sicherheitsmaßnahmen zum Management und der Offenlegung von Schwachstellen nachzukommen.
Eine Trennung von Netzwerken ist insbesondere dann sinnvoll, wenn Informationen zwischen der Informationstechnologie (kurz „IT“) und OT ausgetauscht werden sollen. Im Falle der Abfallbewirtschaftungsunternehmen ist die OT wesentlich für die Erbringung der wichtigen Dienste, sodass diese einen besonderen Schutz genießt. Bei Verwendung eines ANT innerhalb eines Netzwerks oder eines einrichtungsübergreifenden Netzwerks darf die Funktionsfähigkeit der OT nicht in Abhängigkeit zum ANT selbst stehen, wenn dadurch die Erbringung der wichtigen Dienste behindert oder verhindert wird.
Zusammenfassung der Kapitel
1 Einleitung: Die Einleitung führt in die zunehmende Digitalisierung und die damit einhergehenden Bedrohungsszenarien für kritische Dienste ein und erläutert die Zielsetzung der Arbeit, die NIS-2-Richtlinie aus Sicht der Abfallwirtschaft zu analysieren.
2 Entwicklung der NIS-2-RL: Dieses Kapitel zeichnet die historische Entwicklung der EU-Richtlinie von 2016 bis zur aktuellen NIS-2-RL nach und arbeitet die wesentlichen Änderungen sowie die erweiterten Anforderungen an die Cybersicherheit heraus.
3 Definition Abfallbewirtschaftungsunternehmen: Hier wird verdeutlicht, dass es keine einheitliche Legaldefinition für Entsorgungsunternehmen gibt, und analysiert deren Einstufung in verschiedenen Regelwerken wie dem KrWG, dem IT-SiG 2.0 und der NIS-2-RL.
4 Umsetzung der NIS-2-RL auf Bundesebene: Dieses Kapitel analysiert den aktuellen Regierungsentwurf des NIS2UmsuCG-E auf Bundesebene und beleuchtet zentrale Aspekte wie Anwendungsbereich, Registrierungspflichten, Governance und technische Mindestanforderungen.
5 Umsetzung der NIS-2-RL im Saarland: Die Analyse konzentriert sich auf die saarländische Rechtslage, insbesondere das IT-SiG SL, und prüft, ob die geltenden Gesetze und Leitlinien den Anforderungen der NIS-2-Richtlinie bereits gerecht werden.
6 Technische und organisatorische Maßnahmen: Es werden die allgemeinen Anforderungen an technische und organisatorische Maßnahmen erläutert, wobei ein besonderer Fokus auf dem risikobasierten Ansatz und dem Stand der Technik liegt.
7 Artificial Neural Twin: Dieses Kapitel diskutiert den "Artificial Neural Twin" als technologische Innovation zur Prozessoptimierung in der Abfallwirtschaft und prüft die Sicherheit der damit verbundenen Netzwerke anhand konkreter TOM.
8 Fazit und Ausblick: Das abschließende Kapitel fasst die gewonnenen Erkenntnisse zusammen, bewertet die Umsetzungsstrategien und gibt einen Ausblick auf die notwendigen Schritte für Unternehmen, um den gesetzlichen Anforderungen zu entsprechen.
Schlüsselwörter
NIS-2-Richtlinie, Cybersicherheit, Abfallbewirtschaftung, IT-Sicherheitsgesetz, Informationssicherheitsmanagementsystem, ISMS, Kritische Infrastrukturen, KRITIS, Artificial Neural Twin, ANT, technische und organisatorische Maßnahmen, TOM, Stand der Technik, Datenschutz, Saarland.
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Masterthese untersucht die kritische Analyse der Umsetzung der europäischen NIS-2-Richtlinie auf Bundes- und Landesebene, speziell unter Berücksichtigung der Perspektive eines Abfallbewirtschaftungsunternehmens.
Was sind die zentralen Themenfelder?
Zentrale Felder sind die Cybersicherheit für kritische Infrastrukturen, die regulatorische Einordnung von Abfallentsorgern, die Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) sowie die Bedeutung von technischen und organisatorischen Maßnahmen (TOM).
Was ist das primäre Ziel der Arbeit?
Das Ziel ist es, den Status quo der regulatorischen Umsetzung zu bewerten, Rechtsunsicherheiten bei der Definition von "Abfallbewirtschaftungsunternehmen" zu adressieren und die Auswirkungen auf die Praxis sowie auf innovative Technologien wie den "Artificial Neural Twin" aufzuzeigen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt eine rechtswissenschaftliche Analyse von Gesetzestexten (Referentenentwürfe, bestehende Gesetze) und Richtlinien sowie einen praxisorientierten Abgleich mit technischen Standards und Anforderungen.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die Analyse der nationalen Umsetzung auf Bundesebene, die Untersuchung der saarländischen Rechtslage, die Erläuterung allgemeiner TOM und die vertiefte Diskussion des "Artificial Neural Twin" im Sektor Abfallwirtschaft.
Welche Schlüsselwörter charakterisieren die Arbeit?
NIS-2-Richtlinie, Cybersicherheit, Abfallbewirtschaftung, KRITIS, ISMS, TOM und Artificial Neural Twin.
Warum ist die Definition von Abfallbewirtschaftungsunternehmen problematisch?
Es existiert keine einheitliche Legaldefinition über alle Rechtsbereiche hinweg, was zu Rechtsunsicherheiten führt, da verschiedene Gesetze (KrWG, BSIG) unterschiedliche Anwendungsbereiche und Schwellenwerte vorsehen.
Welche Rolle spielt das Saarland in dieser Analyse?
Das Saarland dient als Fallbeispiel, um zu untersuchen, wie die Landesgesetzgebung (insbesondere das IT-SiG SL) und existierende Leitlinien auf die neuen europäischen Anforderungen der NIS-2-Richtlinie reagieren bzw. wo hier noch Anpassungsbedarf besteht.
Wie bewertet der Autor den Entwurf NIS2UmsuCG-E?
Der Autor bewertet den Entwurf positiv hinsichtlich seiner Fähigkeit, das Niveau der Informationssicherheit für betroffene Sektoren deutlich anzuheben, kritisiert jedoch die Ausnahmen für bundeseigene Einrichtungen.
- Quote paper
- Malte Wilhelm (Author), 2024, Umsetzung der NIS-2-Richtlinie auf Bundes- und Landesebene, Munich, GRIN Verlag, https://www.grin.com/document/1591967
