Sechs Gründe, warum Sie beim Thema NIS-2 mit SUSE zusammenarbeiten sollten

In den kommenden Monaten müssen zehntausende Unternehmen und Organisationen die Anforderungen der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit – kurz: NIS-2 – erfüllen. SUSE unterstützt Sie dabei, rechtzeitig eine vollständige NIS-2-Konformität zu erreichen. Mit unseren Lösungen erhöhen Sie das Sicherheitsniveau und den Assurance Level Ihrer IT, schaffen mehr Transparenz und erreichen schneller höhere Stufen von Compliance.

Die Umsetzung von NIS-2 schreitet voran. Erst vor wenigen Tagen hat das Bundesinnenministerium einen neuen Referentenentwurf für das deutsche Anpassungsgesetz zur EU-Cybersecurity-Richtlinie vorgelegt. Nach Schätzungen des Ministeriums sind fast 30.000 Unternehmen und öffentliche Einrichtungen in Deutschland direkt von den NIS-2-Vorschriften betroffen. Aufgrund von Abhängigkeiten in Lieferketten wird das Gesetz darüber hinaus Auswirkungen auf deutlich mehr Organisationen haben.

Auch wenn noch nicht sicher ist, ob das neue Gesetz wie vorgesehen am 17. Oktober 2024 in Kraft tritt, sollten Geschäfts- und IT-Verantwortliche unbedingt jetzt die notwendigen technischen und organisatorischen Maßnahmen ergreifen. Denn NIS-2 erhöht nicht nur die Anforderungen an die Netzwerk- und Informationssicherheit – auch die drohenden Strafen bei Verstößen steigen deutlich. Geschäftsführer haften zudem persönlich dafür, dass die vorgeschriebenen Maßnahmen umgesetzt werden. Die Regelungen haben ein deutlich größeres Disruptionspotential als die DS-GVO.

Die betroffenen Organisationen und ihre Führungskräfte sind daher gut beraten, die Anforderungen der NIS-2-Richtlinie ernst zu nehmen und wirksame Strategien und Lösungen zur Absicherung ihrer IT-Infrastruktur zu implementieren, um damit die Haftung ihres Geschäftsführers abzuwenden. Der Referentenentwurf des Innenministeriums hat noch einmal deutlich gemacht, dass dies für alle IT-Systeme der als kritisch eingestuften Einrichtungen gilt – also zum Beispiel auch für die Server, auf denen die Buchhaltungssoftware läuft.

Wie SUSE bei der Vorbereitung auf NIS-2 hilft

SUSE unterstützt Unternehmen und Behörden auf vielfältige Weise dabei, die Anforderungen von NIS-2 zu erfüllen. Insbesondere in sechs Bereichen stärken unsere Lösungen nachweislich die Sicherheit von IT-Infrastrukturen und erleichtern so die Einhaltung der neuen Standards.

1. Supply Chain Security: NIS-2 fordert von allen betroffenen Organisationen, mögliche Cyberrisiken in ihrer Lieferkette kontinuierlich zu bewerten und entsprechende Sicherheitsmaßnahmen zu ergreifen. Eine eigenständige Evaluierung der gesamten Software Supply Chain ist für Softwareanwender jedoch kaum zu leisten. Der zeitliche Aufwand dafür wäre enorm – gleichzeitig bestünde immer das Risiko, für eine übersehene Sicherheitslücke haftbar gemacht zu werden.
   SUSE vereinfacht diesen Prozess für alle Lösungen, die auf SUSE Linux Enterprise Server (SLES) ausgeführt werden: Das Betriebssystem ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Common Criteria EAL 4+ zertifiziert. Damit ist SUSE derzeit der einzige Anbieter eines aktuellen General-Purpose-Betriebsystems, das dessen umfassende Evaluierung der Produkt-, Entwicklungs- und Sicherheitsupdate-Prozesse erfolgreich abgelegt hat. So sparen sich mit dieser staatlich anerkannten Zertifizierung Unternehmen eine eigene Evaluierung und können jederzeit nachweisen, dass die Supply Chain Security ihres Betriebssystems von unabhängiger Stelle geprüft wurde.
   Auch Rancher Prime – die Enterprise Container Management Plattform von SUSE – unterstützt die Absicherung der Softwarelieferkette. Die Lösung wurde kürzlich nach Supply-chain Levels for Software Artifacts (SLSA) zertifiziert. Dieses von Google entwickelte Framework zielt darauf ab, die Integrität von Software beim Erzeugen der Binaries zu sichern. Maßnahmen wie ein automatisierter Build-Prozess und eine lückenlose Herkunftsdokumentation (Software Bill of Material = SBOM) schützen die Software vor Manipulationen und ermöglichen eine sichere Nachverfolgbarkeit des Quellcodes.
2. Verschlüsselung: Ein weiterer wichtiger Aspekt von NIS-2 ist das Thema Kryptographie. Artikel 21 der Richtlinie fordert von allen betroffenen Organisationen den Einsatz aktueller Verschlüsselungstechnologien, um die Sicherheit und Integrität sensibler Daten zu gewährleisten. SUSE hilft Unternehmen bei der Umsetzung und orientiert sich dabei an den von der US-Regierung entwickelten Federal Information Processing Standards (FIPS) 140-2 und 140-3. Diese definieren die Sicherheitsanforderungen, die kryptographische Module in US-Behörden erfüllen müssen.
   SLES 15 SP2 ist nach FIPS 140-2-zertifiziert und bietet damit eine sichere Basis für verschlüsselte Kommunikation und Datenspeicherung. Die zertifizierten kryptographischen Module können auch in SP3 verwendet werden. Derzeit durchlaufen die kryptographischen Module von SLES 15 SP4 den Zertifizierungsprozess für den Nachfolgestandard FIPS 140-3. Sobald die Prüfung durch das National Institute of Standards and Technology abgeschlossen ist, werden die entsprechenden Module wie Kernel Crypto API, GnuTLS, libgcrypt, mozilla-nss und OpenSSL nach diesem Standard zertifiziert sein.
3. Hochverfügbarkeitslösungen: Für die Einhaltung von NIS-2 und DORA (Digital Operational Resilience Act) müssen viele Organisationen die Resilienz ihrer IT-Infrastruktur verbessern und zusätzliche Maßnahmen zur Sicherung der Betriebskontinuität ergreifen. SUSE bietet Lösungen, die die Systemverfügbarkeit maximieren und Ausfallzeiten minimieren. Dazu gehört beispielsweise die SUSE Linux Enterprise High Availability Extension. Mit Funktionen wie Geo-Clustering, standortübergreifender Datenreplikation und regelbasiertem Failover stellen Organisationen sicher, dass ihre wichtigsten IT-Anwendungen jederzeit erreichbar sind – und der Geschäftsbetrieb auch nach unvorhersehbaren Ereignissen schnell wieder aufgenommen werden kann.
4. Edge Computing und IoT-Sicherheit: NIS-2 betrifft alle KRITIS-Betreiber aus Branchen wie Energieversorgung, Produktion, Telekommunikation Verkehr und Logistik. Für die Steuerung der kritischen Infrastrukturen nutzen diese Organisationen heute häufig Edge- und IoT-Devices. Auch diese Geräte und die in Edge-Umgebungen bereitgestellten Anwendungen müssen vor möglichen Cyberbedrohungen geschützt werden.
   SUSE Edge 3.0 kann hier einen wertvollen Beitrag leisten. Der Technologie-Stack auf Basis von Rancher, NeuVector und SLE Micro vereinfacht nicht nur die Verwaltung von verteilten Devices, sondern bietet auch umfassende Sicherheitsfunktionen für Edge-Infrastrukturen jeder Größe. Mit NeuVector lassen sich beispielsweise Sicherheitsrichtlinien flächendeckend durchsetzen und Angriffe auf Edge-Umgebungen in Echtzeit abwehren. SLE Micro erhöht die Sicherheit von Edge Devices durch das vorinstallierte Sicherheitsframework SELinux und ein unveränderliches Dateisystem. Darüber hinaus bietet das Betriebssystem die Möglichkeit, einen FIPS-Modus zu aktivieren, um die strikte Einhaltung von NIST-validierten kryptografischen Modulen zu gewährleisten und Best Practices zur Systemhärtung anzuwenden.
5. Schwachstellen- und Risikomanagement für Container und Kubernetes: Viele Organisationen modernisieren heute ihre Anwendungslandschaft und setzen zunehmend auf Cloud-native Applikationen, die agil entwickelt und hochdynamisch bereitgestellt werden. Auch dieser Aspekt muss bei der Planung einer NIS-2-Strategie berücksichtigt werden. SUSE NeuVector bietet End-to-End-Schwachstellenmanagement, automatisierte CI/CD-Pipelinesicherheit, vollständige Laufzeitsicherheit und Schutz vor Zero-Day- und Insider-Bedrohungen im Kubernetes-Umfeld. Gleichzeitig führt die Container-Sicherheitslösung Überprüfungen und Zugriffskontrollen während der Entwicklung, Testphase und Bereitstellung von neuen Anwendungen durch. SUSE NeuVector scannt Container, Hosts und Orchestrierungsplattformen während der Laufzeit und überprüft die Host- und Container-Sicherheit. Alle diese Funktionen helfen Unternehmen bei der Einhaltung von NIS-2-Richtlinien für containerisierte Workloads.
6. Verbessertes Incident Reporting: Die NIS 2-Richtlinie umfasst auch erweiterte Meldepflichten bei Sicherheitsvorfällen. Betroffene Organisationen müssen die zuständigen staatlichen Stellen innerhalb von 24 Stunden über den Incident informieren. Spätestens nach 72 Stunden sind sie zu einer umfassenden Meldung verpflichtet. Auch diese Anforderung lässt sich mit SUSE leichter erfüllen: Produkte wie SUSE Manager, Rancher und NeuVector verfügen über umfassende Monitoring- und Reporting-Funktionen. Diese Tools können dazu beitragen, den Zustand der IT-Infrastruktur in Echtzeit zu überwachen, Anomalien zu erkennen und Sicherheitsvorfälle schnell zu identifizieren und die zugehörigen Prozesse zu automatisieren. Zudem helfen sie dabei, die Informationen zu sammeln, die für die Untersuchung eines Incidents und die Berichterstattung an die Behörden erforderlich sind.

Auf der SUSECON 2024 gab es eine Session, wie SUSE die Einhaltung von Standards wie der NIS-2-Richtlinie oder dem EU Cyber Resilience Act (CRA) unterstützt. Unsere Experten François-Xavier Houard und Knut Trepte sprachen in ihrer Session über Compliance und Supply Chain Security vom Betriebssystem bis zur Container-Ebene.