NIS2-Richtlinie verschärft Anforderungen an DNS und kritische Infrastrukturen

Während die EU-Mitgliedstaaten noch die nationalen Umsetzungen der NIS2-Richtlinie ausarbeiten, sollten sich Organisationen bereits jetzt auf deren Anforderungen vorbereiten. Die Richtlinie zielt darauf ab, die Cybersicherheit für digitale Dienste und kritische Infrastrukturen in der gesamten Union zu harmonisieren und zu stärken.

NIS2 erweitert und präzisiert die Anforderungen der früheren NIS-Richtlinie und legt fest, welche Organisationen betroffen sind und welche Sicherheitsmaßnahmen sie ergreifen müssen. Für das Domain Name System (DNS) fordert die Richtlinie eine gemeinsame Sicherheitsgrundlage, um eine robuste Infrastruktur in der gesamten EU zu gewährleisten. NIS2 wurde im Dezember 2022 genehmigt und tritt in den Mitgliedstaaten am 18. Oktober 2024 in Kraft.

Die Richtlinie betrifft mehrere Sektoren, die für das gesellschaftliche Funktionieren als wesentlich erachtet werden, darunter elektronische Kommunikation, Energie, Finanzen, Gesundheitswesen und Transport. Organisationen in diesen Bereichen müssen eine redundante DNS-Infrastruktur, Schutz vor DNS-Angriffen, Web Application Firewalls und zuverlässiges Routing sicherstellen.

Die Nichteinhaltung kann zu erheblichen Strafen führen, einschließlich Geldbußen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Organisationen müssen ihre Lieferketten überprüfen und sicherstellen, dass auch ihre Dienstleister die Anforderungen von NIS2 erfüllen. Die Nutzung von Anbietern innerhalb der EU, vorzugsweise lokalen Anbietern, die Verträge und Support in der Landessprache anbieten, wird nachdrücklich empfohlen.

Ein Sicherheitsniveau, das der ISO 27000-Zertifizierung entspricht, ist generell erforderlich. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) und nationale Behörden wie die schwedische MSB bieten Leitlinien für die Umsetzung an.