Wer sollte das lesen: Cloud-Anbieter, Rechenzentrumsbetreiber, DNS-Dienstanbieter, CDN-Anbieter, Managed Service Provider, ihre Sicherheitsteams und Beschaffungsteams, die diese Anbieter bewerten.
Die digitale Infrastruktur ist das Rückgrat der europäischen Wirtschaft. Cloud-Dienste, Rechenzentren, DNS, Content Delivery Networks (CDNs) — diese Dienste sind in den Betrieb fast aller Unternehmen integriert. Fällt einer aus oder ist er kompromittiert, wirken sich kaskadierende Auswirkungen auf den gesamten Kontinent aus.
NIS2 erkennt dies an. Die digitale Infrastruktur ist in Anhang II als wesentlich für den Geltungsbereich aufgeführt. Darüber hinaus wird die Kommission gemäß Artikel 21 Absatz 5 angewiesen, Durchführungsrechtsakte speziell für Anbieter digitaler Infrastrukturen zu erlassen, in denen detaillierte technische Anforderungen festgelegt werden.
Dieser Sektor ist im Rahmen von NIS 2 am stärksten harmonisiert. Die Vorschriften sind spezifischer als für andere Sektoren und gelten einheitlich in allen Mitgliedstaaten.
In diesem Leitfaden wird die Anwendung von NIS2 auf digitale Infrastrukturen erläutert: wer ist im Geltungsbereich enthalten, was sind die spezifischen Anforderungen und wie sieht die Implementierung aus.
Umfang der digitalen Infrastruktur: Wer ist dabei?
Anhang II deckt neun Arten von Anbietern digitaler Infrastrukturen ab:
Anbieter von Cloud-Computing-Diensten
„Cloud-Computing-Dienstleister“ umfasst jede Organisation, die Cloud-Dienste anbietet (Infrastructure-as-a-Service, Platform-as-a-Service, Software-as-a-Service). Dies beinhaltet:
Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform und andere Hyperscale-Public-Cloud-Anbieter.
Private Cloud-Anbieter, die Dienstleistungen für Unternehmen anbieten.
Hybrid-Cloud-Anbieter.
Multi-Cloud-Managementplattformen.
Jede Organisation in großem Umfang, die Cloud-Dienste in der EU anbietet, fällt in den Geltungsbereich.
Dienstleister für Rechenzentren
Rechenzentrumsbetreiber, die Hosting-, Colocation- oder Rechendienste anbieten. Dazu gehören:
Betreiber von Hyperscale-Rechenzentren.
Regionale und lokale Rechenzentrumsanbieter.
Anbieter von verwaltetem Hosting.
Es gilt die Größenschwelle: Wenn Sie ein mittelgroßer oder größerer Rechenzentrumsbetreiber sind (mehr als 250 Mitarbeiter oder mehr als 50 Millionen EUR Umsatz), fallen Sie in den Geltungsbereich.
DNS-Dienstanbieter
DNS-Dienstanbieter (Domain Name System) — Organisationen, die autoritative DNS-Dienste, rekursive DNS-Auflösungsdienste oder DNS-Filterdienste anbieten. Dazu gehören:
Öffentliche DNS-Resolver (z. B. Cloudflare 1.1.1.1, Google 8.8.8.8).
DNS-Dienstanbieter für Unternehmen.
DNS-Sicherheitsanbieter, die DNS-basierte Filterung oder Bedrohungsinformationen anbieten.
Domainregistrierungen der obersten Ebene (TLD)
Organisationen, die TLD-Registries betreiben (z. B. die Registry für.com-, .eu-, .de-Domains). Diese sind für das Funktionieren des Internets von entscheidender Bedeutung.
Anbieter von Content Delivery Network (CDN)
CDNs, die Inhalte zwischenspeichern und global verteilen. Anbieter wie Akamai, Cloudflare, Fastly und andere sind im Geltungsbereich enthalten.
Anbieter verwalteter Dienste
Organisationen, die verwaltete IT-Services, verwaltete Sicherheitsdienste oder verwalteten Support für andere Organisationen anbieten. Dazu gehören:
Anbieter verwalteter IT-Dienste (MSPs), die Endpunktmanagement, Servermanagement usw. anbieten.
Anbieter von verwalteten Sicherheitsdiensten (MSSPs), die Sicherheitsüberwachung, Reaktion auf Vorfälle usw. anbieten
Anbieter für verwaltete Backups.
Anbieter von Cloud-Management-Diensten.
Anbieter von Online-Marktplätzen
Organisationen, die Online-Marktplätze betreiben, auf denen Drittanbieter Waren oder Dienstleistungen anbieten. Dazu gehören:
Amazon Marketplace, eBay, Alibaba (und ähnliche Plattformen).
Vertikal spezifische Marktplätze.
Anbieter von Online-Suchmaschinen
Suchmaschinen wie Google, Bing und andere Suchdienste.
Plattformen für soziale Netzwerkdienste
Social-Media-Plattformen wie Facebook, Instagram, TikTok, LinkedIn und ähnliche Dienste, die soziale Netzwerke bereitstellen.
Vertrauensdienstanbietern
Vertrauensdiensteanbieter gemäß der eIDAS-Verordnung (EU 910/2014), darunter:
Zertifizierungsstellen (CAs), die digitale Zertifikate ausstellen.
Dienstleister für elektronische Zeitstempeldienste.
Anbieter von elektronischen Siegeln.
qualifizierte Anbieter elektronischer Signaturen.
Größe und Umfang
Für Anbieter nach Anhang II liegt die Größenschwelle bei mehr als 250 Mitarbeitern oder einem Umsatz von über 50 Mio. EUR. Für größere Unternehmen in Anhang II (Hyperscale-Cloud-Anbieter, große Suchmaschinen, große soziale Plattformen) sind in Artikel 3 Absatz 1 Buchstabe c jedoch Umsatzschwellen festgelegt, ab denen sie automatisch unverzichtbar sind. Diese Schwellenwerte sind hoch (in der Regel Milliarden von Euro) und gelten nur für die größten Anbieter.
Die meisten Cloud-, CDN- oder Managed-Service-Anbieter im mittleren Marktsegment werden wichtige Unternehmen sein, sofern sie nicht sehr groß sind.
Durchführungsrechtsakte: Die detaillierten technischen Anforderungen
Artikel 21 Absatz 5 ist für die digitale Infrastruktur von entscheidender Bedeutung:
„Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen der in Absatz 2 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Rechenzentrumsdiensteanbieter, Anbieter von Inhaltsbereitstellungsnetzen, Anbietern verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste sowie Vertrauensdiensteanbieter.“
Bis zum 17. Oktober 2024 sollte die Kommission Durchführungsrechtsakte erlassen, in denen genau festgelegt ist, was die einzelnen Kategorien digitaler Infrastrukturen tun müssen, um den zehn Maßnahmen nach Artikel 21 Absatz 2 nachzukommen.
Diese Durchführungsrechtsakte sind von entscheidender Bedeutung, da sie die zehn abstrakten Maßnahmen in konkrete, sektorspezifische Anforderungen umsetzen.
Zum Beispiel:
Für Cloud-Anbieter spezifizieren Umsetzungsgesetze die Sicherungs- und Disaster-Recovery-Anforderungen (wie viele Backups, wo gespeichert, Ziele für die Wiederherstellungszeit).
Für DNS-Anbieter spezifizieren sie Anforderungen an die DDoS-Abwehr, Redundanz, Überwachung und Zeitpläne für die Reaktion auf Vorfälle.
Für CDNs spezifizieren sie Verfügbarkeitsziele, Reaktionsfähigkeit auf Vorfälle und Lieferkettensicherheit für Upstream-Anbieter.
Wenn Sie ein Anbieter digitaler Infrastruktur sind, müssen Sie die Durchführungsrechtsakte für Ihre Kategorie lesen. Sie sind verbindlich und ersetzen jede allgemeine Auslegung von Artikel 21 Absatz 2.
Zum jetzigen Zeitpunkt wurden Durchführungsrechtsakte für mehrere Kategorien veröffentlicht. Informieren Sie sich auf der Website der Europäischen Kommission und bei Ihrer nationalen Regulierungsbehörde über die neuesten für Sie geltenden Durchführungsrechtsakte.
ENISA-Registrierung und -Aufsicht
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) führt ein Register der wichtigsten Unternehmen der digitalen Infrastruktur. Dieses Register dient mehreren Zwecken:
Transparenz: Die ENISA veröffentlicht eine Liste der wichtigsten Unternehmen im Bereich der digitalen Infrastruktur, damit die Öffentlichkeit und die Aufsichtsbehörden wissen, wer erhöhten Sicherheitsanforderungen unterliegt.
Aufsicht: Die ENISA bietet unabhängige technische Bewertungen und Anleitungen.
Zusammenarbeit: Die ENISA stimmt sich mit den nationalen Regulierungsbehörden und der Kooperationsgruppe für die Sicherheit der digitalen Infrastruktur ab.
Anbieter digitaler Infrastrukturen sollten damit rechnen, von der ENISA registriert zu werden, wenn sie als unverzichtbar gelten. Eine Registrierung bedeutet, dass die ENISA und die Aufsichtsbehörden über detaillierte Informationen über Ihre Geschäftstätigkeit verfügen.
Jurisdiktion und dienstleistungsbezogene Anforderungen
Ein kritischer Aspekt der Regulierung digitaler Infrastrukturen ist die dienstbasierte Klassifizierung. Ihre Einstufung hängt nicht davon ab, wo Sie Ihren Hauptsitz haben, sondern davon, welche Dienstleistungen Sie in der EU anbieten.
Beispiel: Ein in den USA ansässiger Cloud-Anbieter mit bedeutenden Kunden in der EU fällt in den Geltungsbereich von NIS2 und muss die NIS2-Anforderungen für Dienste erfüllen, die für Kunden in der EU erbracht werden.
Das ist extraterritorial: NIS2 gilt für Ihre EU-relevanten Dienste, auch wenn sich Ihr Hauptsitz außerhalb der EU befindet.
Artikel 22 von NIS2 ermöglicht jedoch eine gewisse Flexibilität für Unternehmen außerhalb der EU. Sie können einen Vertreter in der EU benennen, der für die regulatorische Kommunikation zuständig ist. Dies reduziert jedoch nicht Ihre Sicherheitsverpflichtungen.
Herausforderungen bei der Implementierung der digitalen Infrastruktur
Anbieter digitaler Infrastrukturen stehen vor einzigartigen Compliance-Herausforderungen:
Mehrmandantenfähigkeit und Datenisolierung
Cloud-Anbieter hosten viele Kunden auf einer gemeinsam genutzten Infrastruktur. Sie müssen sicherstellen, dass ein anderer Kunde nicht auf die Systeme und Daten eines Kunden zugreifen kann. Dies ist eine grundlegende Sicherheitsanforderung, die jedoch technisch komplex ist.
Die Maßnahmen nach Artikel 21 müssen dem Risiko einer Mehrmieterschaft entgegenwirken:
Logische und physische Isolierung von Kundendaten.
Verschlüsselung von Kundendaten im Ruhezustand und bei der Übertragung.
Zugriffskontrollen stellen sicher, dass Kunden nur auf ihre eigenen Daten zugreifen.
Regelmäßige Sicherheitstests der Isolationskontrollen.
Umfangreicher Service
CDNs, DNS-Anbieter und große Cloud-Anbieter bewältigen enorme Verkehrsmengen. Ein Sicherheitsvorfall bei diesen Anbietern betrifft Millionen oder Milliarden von Benutzern. Ihre Fähigkeit, auf Vorfälle zu reagieren, muss skalierbar sein.
In Ihrer Anforderung nach Artikel 21 Absatz 2 Buchstabe b zur Behandlung von Vorfällen muss Folgendes festgelegt sein:
So erkennen Sie Vorfälle, die den weltweiten Service beeinträchtigen.
So bewerten Sie die Auswirkungen auf Millionen von Benutzern.
Wie Sie Vorfälle innerhalb der vorgeschriebenen Zeitpläne an Kunden auf der ganzen Welt kommunizieren.
Wie Sie global verteilte Systeme schnell reparieren.
Verteilte Architektur
Die digitale Infrastruktur ist geografisch verteilt. Möglicherweise verfügen Sie über Rechenzentren in mehreren Ländern, Failover-Systeme und Caches an Dutzenden von Standorten. Das Sicherheitsmanagement in dieser verteilten Infrastruktur ist komplex.
Artikel 21 Absatz 2 Buchstabe c) Anforderungen an die Geschäftskontinuität bedeuten:
Sie müssen Backups und Disaster Recovery-Systeme an mehreren geografischen Standorten verwalten.
Wenn ein großes Rechenzentrum kompromittiert oder zerstört wird, müssen Sie in der Lage sein, nahtlos einen Failover an andere Standorte durchzuführen.
Die Ziele für die Wiederherstellungszeit müssen sehr eng begrenzt sein (Sekunden oder Minuten für wichtige Dienste).
Kritikalität der Lieferkette
Anbieter digitaler Infrastrukturen sind auf wichtige Lieferanten angewiesen: Hardwarehersteller, Softwareanbieter, Telekommunikationsanbieter, Sicherheitsanbieter. Wenn ein Lieferant kompromittiert ist, sind Sie gefährdet.
Artikel 21 Absatz 2 Buchstabe d) Die Sicherheit der Lieferkette ist von entscheidender Bedeutung. Sie müssen:
Beurteilen Sie alle wichtigen Lieferanten (Hardwareanbieter, Softwareanbieter, Telekommunikationsanbieter).
Sie müssen sie vertraglich verpflichten, die Sicherheitsstandards zu erfüllen.
Überwachen Sie ihre Sicherheitspraktiken und Patch-Veröffentlichungen.
Haben Sie Notfallpläne für den Fall, dass ein kritischer Lieferant verletzt wird.
Bedrohungslandschaft
Die digitale Infrastruktur ist ein primäres Ziel für:
Staatlich geförderte Angreifer: Regierungen nehmen Cloud-Anbieter, DNS und andere Infrastrukturen ins Visier, um Einblick in Kommunikation und Daten zu erhalten.
Ransomware-Banden: Anbieter digitaler Infrastruktur sind lukrative Lösegeldziele.
Hacktivisten: Angreifer nehmen digitale Plattformen ins Visier, um politische Äußerungen abzugeben.
Wettbewerber: Wettbewerber versuchen, Dienstleistungen zu stören oder Wettbewerbsinformationen zu gewinnen.
Ihr Bedrohungsmodell muss diese Realität widerspiegeln. Ihre Sicherheitsmaßnahmen müssen raffinierte, gut ausgestattete Angreifer abschrecken und abwehren.
Spezifische Anforderungen nach Anbietertyp
Verschiedene Kategorien digitaler Infrastrukturen haben etwas unterschiedliche Anforderungen:
Cloud-Anbieter
Zu den spezifischen Anforderungen gehören:
Datenisolierung: Stellen Sie sicher, dass Kunden nicht auf die Daten des jeweils anderen zugreifen können.
Backup und Disaster Recovery: Regelmäßige Backups, die an mehreren geografischen Standorten gespeichert werden; die Zielvorgaben für die Wiederherstellungszeit werden in der Regel in Stunden oder weniger angegeben.
Verschlüsselung: Verschlüsselung bei der Übertragung (TLS) und im Ruhezustand (AES-256) werden als Basiswert erwartet.
Zugriffskontrollen: Verwaltung privilegierter Zugriffe für die Verwaltung, Multifaktor-Authentifizierung für sensible Vorgänge.
Verfügbarkeit: Hochverfügbarkeitsarchitektur mit geografischer Redundanz.
Sicherheit der Lieferkette: Beurteilen Sie Hardwarelieferanten, Softwareanbieter und Telekommunikationsanbieter.
Reaktion auf Vorfälle: Schnelle Erkennung und Meldung von Vorfällen, die Kundendaten oder den Service betreffen.
DNS-Anbieter
Zu den spezifischen Anforderungen gehören:
Verfügbarkeit: DNS muss kontinuierlich verfügbar sein. Ausfallzeiten führen weltweit zu Störungen des Internetdienstes. Ihre Ziele für die Wiederherstellungszeit sind Sekunden.
DDoS-Abwehr: DNS wird häufig von DDoS-Angriffen angegriffen. Sie müssen über Abwehrfunktionen verfügen.
Redundanz: DNS muss geografisch mit automatischem Failover verteilt werden.
Integrität: DNS-Einträge dürfen nicht kompromittiert werden. Das Vergiften eines DNS-Eintrags könnte Benutzer auf Phishing-Websites umleiten.
Überwachung: Überwachung von DNS-Abfragemustern in Echtzeit zur Erkennung von Angriffen oder Anomalien.
Reaktion auf Vorfälle: Sehr schnelle Reaktion auf Vorfälle (Minuten) zur Wiederherstellung des Dienstes.
CDN-Anbieter
Zu den spezifischen Anforderungen gehören:
Verfügbarkeit: Der Inhalt muss zwischengespeichert und global verfügbar sein. Ausfallzeiten wirken sich auf die Endbenutzer von Kunden weltweit aus.
Cache-Integrität: Zwischengespeicherte Inhalte dürfen nicht kompromittiert oder vergiftet werden.
DDoS-Abwehr: CDNs sind Ziele für DDoS-Angriffe. Schadensbegrenzung ist unerlässlich.
Ursprungssicherheit: Die Ursprungsserver, die Inhalte für das CDN bereitstellen, müssen sicher sein.
Verschlüsselung: Ende-zu-Ende-Verschlüsselung vom Ursprung bis zum Endbenutzer.
Geografisches Failover: Wenn ein Cache-Standort ausfällt, wird der Verkehr automatisch zu anderen umgeleitet.
Anbieter verwalteter Dienste
Zu den spezifischen Anforderungen gehören:
Zugriffskontrolle: MSPs haben umfassenden Zugriff auf Kundensysteme. Strenge Zugriffskontrollen und eine mehrstufige Authentifizierung sind unerlässlich.
Überwachung: MSPs müssen Kundensysteme auf Angriffe und Anomalien überwachen.
Verhinderung der Eskalation von Rechten: MSPs müssen verhindern, dass Angreifer kompromittierte Konten verwenden, um Rechte zu erweitern.
Lieferkette: MSPs sind auf Tools und Cloud-Dienste von Drittanbietern angewiesen. Diese Lieferanten müssen bewertet werden.
Reaktion auf Vorfälle: Wenn Kundensysteme verletzt werden, müssen MSPs dies erkennen und schnell reagieren.
Anbieter von Online-Marktplätzen
Zu den spezifischen Anforderungen gehören:
Verkäuferprüfung: Marktplätze müssen Verkäufer überprüfen, um zu verhindern, dass betrügerische oder böswillige Verkäufer die Plattform nutzen.
Zahlungssicherheit: Die Zahlungsabwicklung muss sicher sein und die Zahlungsinformationen der Kunden müssen geschützt werden.
Sicherheit des Benutzerkontos: Konten müssen eine starke Authentifizierung erfordern.
Betrugserkennung: Marktplätze müssen Betrug erkennen und verhindern.
Suchmaschinen
Zu den spezifischen Anforderungen gehören:
Integrität der Suchergebnisse: Die Suchergebnisse dürfen nicht durch bösartige Websites oder Fehlinformationen vergiftet werden.
Schutz von Nutzerdaten: Suchanfragen und Nutzerverhalten müssen geschützt werden.
Werbesicherheit: Werbung darf nicht mit Schadsoftware kompromittiert werden.
DDoS-Abwehr: Suchmaschinen sind hochwertige DDoS-Ziele.
Social-Media-Plattformen
Zu den spezifischen Anforderungen gehören:
Sicherheit des Benutzerkontos: Erfordert sichere Passwörter, eine mehrstufige Authentifizierung und Verfahren zur Kontowiederherstellung.
Inhaltssicherheit: Verhindern Sie, dass böswillige Akteure Malware- oder Phishing-Inhalte veröffentlichen.
Bedrohungserkennung: Erkennen Sie Konten, die koordiniertes unauthentisches Verhalten an den Tag legen oder Fehlinformationen verbreiten.
Schutz der Benutzerdaten: Personenbezogene Daten und Nachrichten müssen geschützt werden.
Zusammenarbeit mit den Strafverfolgungsbehörden: Zusammenarbeit mit den Strafverfolgungsbehörden bei strafrechtlichen Ermittlungen.
Meldung von Vorfällen für digitale Infrastruktur
Für die digitale Infrastruktur gelten besondere Bestimmungen zur Meldung von Vorfällen.
Artikel 23 Absatz 11 ermächtigt die Kommission, Durchführungsrechtsakte zu erlassen, in denen festgelegt wird, welche Vorfälle für Anbieter digitaler Infrastrukturen „erheblich“ sind. Der Grund: Ein Vorfall, der einen Cloud-Anbieter oder DNS-Anbieter betrifft, könnte weitreichende Auswirkungen haben und Millionen von Nutzern und andere Organisationen betreffen. Der Schwellenwert für Signifikanz muss dem Rechnung tragen.
In den Durchführungsrechtsakten wird festgelegt, welche Vorfälle für jede Kategorie signifikant sind (z. B. bei DNS-Anbietern: Ausfall, der X% der Abfragen betrifft; bei Cloud-Anbietern: Ausfallzeiten, die X% der Kundeninstanzen betreffen).
Anbieter digitaler Infrastrukturen müssen ihre Bedeutung anhand dieser Durchführungsrechtsakte abwägen, nicht nur anhand der allgemeinen Definition von Artikel 23 Absatz 3.
Zusammenarbeit und Aufsicht
Die digitale Infrastruktur unterliegt einer besonderen Aufsicht:
Die ENISA führt das Register und bietet technische Beratung.
Die Kooperationsgruppe koordiniert Sicherheitsbewertungen aller Anbieter digitaler Infrastrukturen.
Die Regulierungsbehörden der Mitgliedstaaten beaufsichtigen die Anbieter wichtiger digitaler Infrastrukturen intensiv.
Erwarten Sie eine engere regulatorische Interaktion, wenn Sie ein wichtiger Anbieter digitaler Infrastruktur sind. Dies ist angesichts der Bedeutung des Sektors angemessen.
Compliance-Roadmap für Anbieter digitaler Infrastrukturen
Sofortige Schritte:
Bestätigen Sie Ihre NIS2-Einstufung (welche Anhang-II-Kategorie, wichtiger oder wichtiger Status).
Prüfen Sie die für Ihre Kategorie geltenden Durchführungsrechtsakte.
Führen Sie eine Risikobewertung speziell für Ihre Dienste durch.
Gegenüberstellung der derzeitigen Praktiken anhand von Artikel 21 Absatz 2 und sektorspezifischen Durchführungsrechtsakten
Identifizieren Sie Lücken.
Entwickeln Sie einen Umsetzungsplan für Lücken (priorisieren Sie Artikel mit hohem Risiko).
Richten Sie die Fähigkeit ein, auf Vorfälle zu reagieren, indem Sie sie schnell erkennen und benachrichtigen.
Binden Sie den Vorstand in die Cybersicherheitssteuerung ein.
Führen Sie Sicherheitsbewertungen (Penetrationstests, Schwachstellenscans) Ihrer Dienste durch.
Beurteilen Sie alle wichtigen Lieferanten.
Führen Sie Nachweise für die Einhaltung der Vorschriften durch (Richtlinien, Bewertungen, Testergebnisse, Schulungsaufzeichnungen).
Wichtige Erkenntnisse
-
Die digitale Infrastruktur (Cloud, Rechenzentren, DNS, CDNs, Managed Services, Online-Marktplätze, Suchmaschinen, soziale Medien, Vertrauensdienste) ist in Anhang II aufgeführt; alle Anbieter in der Größenordnung (über 250 Mitarbeiter oder über 50 Mio. EUR Umsatz) fallen in den Geltungsbereich; in den Durchführungsrechtsakten sind detaillierte technische Anforderungen für jede Kategorie festgelegt.
-
Mit den bis Oktober 2024 erlassenen Durchführungsrechtsakten werden die zehn Maßnahmen nach Artikel 21 Absatz 2 in konkrete, sektorspezifische Anforderungen umgesetzt; Anbieter digitaler Infrastrukturen müssen die für ihre Kategorie geltenden Durchführungsrechtsakte lesen und einhalten.
-
Mehrmandantenfähigkeit, hochvolumiger Service, verteilte Architektur und eine ausgeklügelte Bedrohungslandschaft stellen einzigartige Herausforderungen dar. Cloud-Anbieter müssen Kundendaten isolieren und weltweit Backups verwalten; DNS-Anbieter müssen für kontinuierliche Verfügbarkeit sorgen; CDNs müssen über globale Redundanz und DDoS-Abwehr verfügen.
-
Die ENISA führt ein Register der wichtigsten Unternehmen der digitalen Infrastruktur; die Aufsichtsbehörden beaufsichtigen die Anbieter wichtiger digitaler Infrastrukturen intensiv; erwarten Sie proaktive Audits, Sicherheitsbewertungen und Informationsanfragen.
-
Die Schwellenwerte für die Meldung von Vorfällen für digitale Infrastrukturen können von den allgemeinen Schwellenwerten abweichen; in Durchführungsrechtsakten wird festgelegt, was für jede Kategorie von Bedeutung ist; Vorfälle im Zusammenhang mit digitalen Infrastrukturen können Millionen von Nutzern und andere Organisationen betreffen, was erhöhte Meldepflichten rechtfertigt.
-
Die digitale Infrastruktur ist der am stärksten harmonisierte Sektor gemäß NIS2; die Vorschriften sind in den Mitgliedstaaten spezifischer und einheitlicher als in anderen Sektoren; dies sorgt für Klarheit, lässt aber auch weniger Spielraum für Flexibilitäts- oder Verhältnismäßigkeitsargumente.
