Ich habe schon viel zu NIS2 geschrieben, von meinen Blogposts zum initialen Entwurf (Recitals, Haupttext),  über ein Update 2021, bis hin zu unserer Stellungnahme zum NISG2024. Mit dem Übergang der Cyber-Agenden vom BKA zum BMI im Rahmen des Regierungswechsels ist auch ein neues Team für den Entwurf des Gesetzes verantwortlich. Für dieses will ich hier kurz zusammenfassen, wo man das Leben für uns als nationales CERT schwer, oder einfach und effektiv machen kann.

Die folgenden Punkte sind keine umfassende Wunschliste für das NIS2-Gesetz.

Scope

Laut Richtlinie sind die CSIRTs für die wesentlichen und wichtigen Einrichtungen zuständig, nicht aber für das ganze Land. Im aktuellen NISG haben wir das im §14 so gelöst:

(6) Computer-Notfallteams können die Aufgaben gemäß Abs. 2 Z 3 bis 5 auch gegenüber sonstigen Einrichtungen oder Personen wahrnehmen, sofern diese von einem Risiko oder einem Vorfall ihrer Netz- und Informationssysteme betroffen sind.

Warum ist das wichtig? Die Kollegen in den Niederlanden hatten das nicht in ihrem Gesetz und sind dann in folgendes Problem gelaufen: Sie bekamen von einem Partner Information zu kompromittierten Systemen, wo wahrscheinlich bald Ransomware aktiviert wird. Das betraf auch Firmen, die nicht unter NIS fallen, damit hatte das NCSC-NL keine Rechtsgrundlage zu Verarbeitung der entsprechenden Daten und durften daher die Warnungen nicht weitergeben.

Ähnliches gilt für das proaktive Scanning laut Artikel 11 NIS2-Richtlinie:

CSIRTs können eine proaktive nicht intrusive Überprüfung öffentlich zugänglicher Netz- und Informationssysteme wesentlicher und wichtiger Einrichtungen durchführen. Eine solche Überprüfung wird durchgeführt, um anfällige oder unsicher konfigurierte Netz- und Informationssysteme zu ermitteln und die betreffenden Einrichtungen zu unterrichten. Eine solche Überprüfung darf keinerlei nachteilige Auswirkung auf das Funktionieren der Dienste der Einrichtung haben.

Damit ich das als CSIRT genau so machen kann, brauche ich vollständige und aktuelle Daten zu den IP-Adressen und Domains von allen wesentlichen und wichtigen Einrichtungen. Ja, mindestens die IP-Adressen sollten laut Artikel 27(2)(f) eingemeldet sein, aber ich bin sehr skeptisch, dass das wirklich funktionieren wird.

Es macht unsere Arbeit daher einfacher, effizienter und sinnvoller, wenn die gesetzliche Freigabe bekommen, das ganze Land zu scannen – um mit den Ergebnissen auch dem ganzen Land zu helfen. Das ist nicht Gold-Plating, das tut keiner Firma in Österreich weh, und der potenzielle Mehraufwand bei uns ist durch die Vereinfachung der Arbeit abgedeckt – vom verbesserten Schutz für das ganze Land ganz abgesehen.

Aufgaben

Laut Artikel 11(3) gehört zu unseren Aufgaben:

a) Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf nationaler Ebene und auf Anfrage Bereitstellung von Unterstützung für betreffende wesentliche und wichtige Einrichtungen hinsichtlich der Überwachung ihrer Netz- und Informationssysteme in Echtzeit oder nahezu in Echtzeit;

Ich lese das als „indem wir Warnungen herausgeben und Cyber Threat Intelligence weitergeben sollen wir Firmen dabei helfen, selber ihre Systeme zu überwachen“. Das ist sinnvoll und machbar. Im NISG2024 war das auch fast wörtlich so übernommen. In den Erläuterungen dazu stand aber:

Die CSIRTs sollten in der Lage sein, auf Ersuchen einer wesentlichen oder wichtigen Einrichtung die mit dem Internet verbundenen Anlagen innerhalb und außerhalb der Geschäftsräume zu überwachen, um das organisatorische Gesamtrisiko der Einrichtung für neu ermittelte Sicherheitslücken in der Lieferkette oder kritische Schwachstellen zu ermitteln, zu verstehen und zu verwalten.

Das klingt anders: das CSIRT selbst soll die IT von wesentlichen und wichtigen Einrichtungen überwachen, also als Security Operations Center (SOC) fungieren. Bei mehr als tausend Einrichtungen unter NIS2 bräuchte das mehrere hundert Mitarbeiter beim CSIRT, und es würde die kommerziellen MSSP-Anbieter komplett aus dem Markt drängen. Das kann wohl nicht gemeint sein. 

Finanzierung

Aktuell bekommt CERT.at kein Geld vom Staat für den Betrieb des nationalen CERTs. Das muss sich mit NIS2 ändern, die Richtlinie sagt das nicht nur einmal:

Recital (41): Die Mitgliedstaaten sollten daher ein oder mehrere CSIRTs gemäß dieser Richtlinie benennen und sicherstellen, dass sie über angemessene Ressourcen und technische Kapazitäten verfügen.

Recital (46): Es ist von wesentlicher Bedeutung, dass angemessene Ressourcen bereitgestellt werden, um die Ziele dieser Richtlinie zu erreichen und es den zuständigen Behörden und den CSIRTs zu ermöglichen, die dort festgelegten Aufgaben zu erfüllen. […]

Artikel 10(2): Die Mitgliedstaaten gewährleisten, dass jedes CSIRT mit angemessenen Ressourcen ausgestattet ist, damit es seine in Artikel 11 Absatz 3 aufgeführten Aufgaben wirksam erfüllen kann.

Artikel 11(2): Die Mitgliedstaaten gewährleisten, dass ihre CSIRTs gemeinsam über die notwendigen technischen Fähigkeiten verfügen, damit sie ihre in Absatz 3 aufgeführten Aufgaben erfüllen können. Die Mitgliedstaaten stellen sicher, dass ihre CSIRTs mit ausreichenden Ressourcen ausgestattet sind, um für angemessene Personalausstattungen zu sorgen, damit die CSIRTs ihre technischen Fähigkeiten entwickeln können.

Wie das am besten mit der aktuellen Konstellation eines nationalen CSIRTs, das selber keine Behörde ist, legistisch umzusetzen ist, kann ich nicht beantworten.

Zusammenarbeit mit den Einrichtungen

Der oben zitierte Artikel 11(3)(a) hat Überlappungen mit den Aufgaben des Nationalen Cyber Hubs laut Cyber Solidarity Act. Das dort vorgesehene Netzwerk der nationalen SOCs passt auch gut zum Artikel 29 der NIS2 Richtlinie. Das ließe sich alles sehr gut verbinden. Meine Gedanken dazu habe ich in einem Whitepaper veröffentlicht.