Skip to main content

Das EU-Cybersicherheits-Puzzle entschlüsselt: Was NIS2, CRA und CSA für Ihr Netzwerk bedeuten

Strengere Vorschriften verändern, wie Betreiber kritische Infrastrukturen sichern. Hier zeigen wir, wie Software-Automatisierung hilft, sich in einem dynamischen Compliance-Umfeld zurechtzufinden, ohne den Betrieb zu beeinträchtigen.

Stephan Lehmann

Europa bewegt sich rasch auf eine stärker harmonisierte Sicherheitslandschaft zu. Die Einführung der Netz- und Informationssicherheitsrichtlinie (NIS2), des Cyber Resilience Act (CRA) und die Weiterentwicklung des Cybersecurity Act (CSA2) bringen neue Anforderungen an Managementverantwortung, Risikominderung und technische Umsetzung mit sich, die zeitnah adressiert werden müssen.

Um Schwachstellen im gesamten digitalen Ökosystem zu reduzieren, verfolgt der europäische Sicherheitsrahmen zwei Ansätze: sichere Produktentwicklung und klare Governance im Betrieb. Während der CRA grundlegende Sicherheitsanforderungen für vernetzte Hardware definiert, verlangen NIS2 und CSA2 strukturiertes Risikomanagement und klare Verantwortlichkeiten für Betreiber kritischer Infrastrukturen.

Der Cyber Resilience Act

Der CRA gilt für alle Produkte mit digitalen Elementen. Heutzutage verfügen viele Alltagsgegenstände, etwa intelligente Kühlschränke, über eine Internetverbindung. Gelangen jedoch kostengünstige Komponenten mit unzureichender Sicherheit in das Ökosystem, können daraus erhebliche Botnet-Risiken entstehen.

Industrielle Systeme und Verbrauchergeräte greifen häufig auf dieselben Open-Source-Bibliotheken zurück, etwa OpenSSL. Diese gemeinsame Abhängigkeit erhöht die Angriffsfläche und macht es erforderlich, dass jedes vernetzte Produkt seine Widerstandsfähigkeit nachweist. Nach dem CRA müssen in der EU verkaufte Hardware und Software definierte Cybersicherheitsanforderungen erfüllen, um bis Dezember 2027 eine CE-Kennzeichnung zu erhalten.

Ein zentrales Element ist die Software Bill of Materials (SBOM). Sie bietet eine Übersicht aller in einem Gerät enthaltenen Softwarekomponenten. Wird eine Schwachstelle entdeckt, können Betreiber anhand der SBOM betroffene Systeme identifizieren und Maßnahmen ergreifen. Unsere Entwicklungsteams erstellen bereits automatisierte SBOMs über unser gesamtes Portfolio hinweg, um die Transparenz in der Lieferkette zu verbessern.

Umgang mit NIS2

Während sich der CRA an Hersteller richtet, betrifft die NIS2-Richtlinie direkt Betreiber kritischer Infrastrukturen (KRITIS). Diese sind gesetzlich dazu verpflichtet, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten. Daher geben sie strenge Vorgaben an Gerätehersteller, Dienstleister und Softwareanbieter weiter, um Schwachstellen und Ausfälle zu minimieren.

Die wichtigsten weitergegebenen Anforderungen umfassen:

  • Sicherheitsstandards & Zertifizierungen: Hersteller müssen nachweisen, dass ihre Geräte nach anerkannten Standards (z. B. ISO 27001, IT-Grundschutz oder dem BSI C5 für Cloud-Dienste) entwickelt und gefertigt werden.
  • Security by Design und Default: Produkte müssen bereits in der Entwicklungsphase mit Fokus auf IT-Sicherheit konzipiert werden (z. B. Vermeidung von Standardpasswörtern, Minimierung von Angriffsflächen, Kapselung von Diensten).
  • Schwachstellen- und Update-Management: Hersteller verpflichten sich, neu entdeckte Sicherheitslücken transparent zu kommunizieren (Coordinated Vulnerability Disclosure) und zeitnah Updates oder Patches bereitzustellen.
  • Transparenz durch SBOM: Um Lieferkettenangriffe zu verhindern, fordern Betreiber zunehmend eine Software Bill of Materials (SBOM) wie beim CRA. Diese listet alle verwendeten Komponenten, Open-Source-Bibliotheken und Abhängigkeiten in der Firmware oder Software auf.
  • Zugriffs- und Kontrollrechte: Hersteller müssen einwilligen, dass der Betreiber die Sicherheit der Geräte oder der Entwicklungsumgebung durch Audits überprüfen darf.
  • Integrität der Hard- und Software: Die Lieferung muss manipulationssicher erfolgen (z. B. durch kryptografische Signaturen) und die Geräte müssen sich in der Infrastruktur des Betreibers lückenlos überwachen (Monitoring) lassen.

Da es sich um eine EU-Richtlinie und nicht um ein zentral geltendes Gesetz handelt, muss sie von den einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden. Dadurch entstehen Unterschiede in der Umsetzung. In Deutschland bilden die KRITIS-Verordnung sowie das NIS2-Umsetzungsgesetz die rechtliche Grundlage dafür, dass die Kriterien zunehmend als zwingende Vertragsbestandteile (Service Level Agreements) zwischen Betreibern und Herstellern verankert werden.

Zusätzlich entwickelte die Bundesnetzagentur (BNetzA) einen Sicherheitsanforderungskatalog, bekannt als SiKa, der für Self-Assessments kritischer Funktionen in Netzen herangezogen wird. Wird ein Produkt als kritisch eingestuft, ist eine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erforderlich. Dies betrifft insbesondere Router und Switche. Um einen konformen Weg für Routing und Switching zu etablieren, haben wir die beschleunigte Sicherheitszertifizierung (BSZ) des BSI für unsere Produkte evaluiert, wie das Netzwerkbetriebssystem Ensemble Activator. Die Zertifizierung kann kurzfristig umgesetzt werden, auch weil unsere Produkte bereits regelmäßigen Pentests unterliegen.

 
Der europäische Sicherheitsrahmen umfasst heute sowohl sichere Produktentwicklung als auch klare Governance im Betrieb.

Vereinfachung der Compliance durch automatisierte Orchestrierung

Die Umsetzung regulatorischer Anforderungen muss den laufenden Betrieb nicht beeinträchtigen. Unsere Plattform Security Director unterstützt dabei, zentrale Aufgaben des NIS2-Risikomanagements zu automatisieren und manuelle Prozesse durch softwaregestützte Orchestrierung zu ersetzen. Sie bietet:

  • Verwaltung privilegierter Passwörter zur Sicherung administrativer Zugriffe
  • Firmware-Tracking zur Identifizierung von Systemen, die Sicherheitspatches benötigen 
  • Warnmeldungen zum Zertifikatslebenszyklus, bevor kritische Vertrauensketten ablaufen  
  • Automatisierte Compliance-Prüfungen zur Bewertung von Gerätekonfigurationen anhand aktueller Sicherheitsrichtlinien

Gerade im Zusammenspiel mit CSA2 gewinnt diese Automatisierung weiter an Bedeutung. Das Rahmenwerk stärkt die Rolle der ENISA, der EU-Agentur für Cybersicherheit, und erweitert ihre Aufgaben, etwa bei der Verwaltung zentraler Schwachstellendaten und der Identifikation risikoreicher Lieferanten.

Um Überschneidungen zwischen NIS2, CRA und CSA2 zu reduzieren, arbeiten europäische Gremien zudem an einem sogenannten „Digital Omnibus“, der Vorschriften zu Datenschutz, KI und Cloud konsolidieren soll.

Ein globaler Wandel in der Netzwerkresilienz

Diese Compliance-Strategien bieten zudem klare geschäftliche Vorteile über die EU hinaus. Im Vereinigten Königreich sind die Standards weiterhin eng aufeinander abgestimmt, und der Markt akzeptiert europäische CE-Konformitätserklärungen weiterhin als Grundlage für den Marktzugang.

Die Entwicklung zeigt sich auch in den USA: Dort bewegen sich die Regulierungsbehörden in Richtung höherer Anforderungen an Softwaretransparenz. Entsprechend wird die automatisierte Nutzung von SBOM zunehmend zu einer wichtigen Grundlage für eine sichere globale Beschaffung.

Regulatorischen Druck in architektonische Stärke verwandeln

Diese Fristen sollten nicht als operative Hürden verstanden werden. Vielmehr bieten sie die Möglichkeit, von reaktiven Maßnahmen zu einem strukturierten, proaktiven Sicherheitsansatz überzugehen.

Durch den Einsatz automatisierter Lösungen wie Security Director und die Zusammenarbeit mit Anbietern, die Transparenz in der Lieferkette schaffen, lässt sich eine konforme Umgebung aufbauen, in der Software- und Netzwerksicherheit effektiv zusammenspielen. So kann sichergestellt werden, dass Infrastrukturen langfristig resilient und konform bleiben.