#NIS2UmsuxxG (Update 2025-11-20)

Wie könnte es anders sein, ich hänge gerade in der NIS2, bzw. genauer in der Durchführungsverordnung (EU) 2024/2690. Dabei sind mir ein paar Dinge aufgefallen, die ich teilen möchte.

Liebe Übersetzer:innen in der EU,

wenn ihr keine Ahnung habt, was ein Begriff bedeutet, übersetzt ihn nicht und fragt Experten, was gemeint ist.

Liebe Korrekturleser:innen in der EU,

wenn euch das Fachwissen ebenfalls fehlt und ein Text irgendwie komisch wirkt, markiert das, laßt das nicht ohne Rücksprache durchgehen.

Disclaimer: ich weiß nicht, wie Gesetze der EU tatsächlich übersetzt und korrigiert werden, aber ich bin über einige Probleme gestolpert.

A.2.1.2 d) Unternehmen müssen

im Einklang mit einem gefahrenübergreifenden Ansatz die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen ermitteln und dokumentieren, insbesondere in Bezug auf Dritte sowie auf Risiken, die zu
Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Netz- und Informationssysteme führen könnten, wobei auch punktuelle Ausfälle zu ermitteln sind.

Punktuelle Ausfälle? Was soll ich da nun machen? Auch 30 Sekunden Serviceunterbrechung analysieren? Oder... ne. Keine Ahnung. Da ich mit der DORA schon ähnlichen Spaß hatte, habe ich direkt die Idee gehabt, in der englischen Version des Gesetzes nachzulesen. Und siehe da, dort steht dann

including the identification of single point of failures

........ 🤦‍♀️

A.2.1.2 j) Unternehmen müssen

die gewählten Maßnahmen für die Behandlung von Risiken in einem Risikobehandlungsplan dokumentieren und die Gründe für das Eingehen der Restrisiken umfassend erläutern.

Tja. Im Original steht "in a comprehensible manner".

Hier wurde dann comprehensive (umfassend) mit comprehensible (verständlich, nachvollziehbar) verwechselt.

A.9.2 b) Unternehmen legen folgende Punkte fest:

kryptografische Algorithmen, Kryptierungsstärke, kryptografische Lösungen und Nutzungsverfahren [...]

Kryptierungsstärke?

Na, wollt ihr raten, was das Original hergibt?

WTF? Leute! Wenn ihr keine Ahnung von Crypto habt, LASST DIE FINGER DAVON! Gilt auch für Menschen, die Gesetze mit Krypto entwerfen oder übersetzen!

A.10 "Sicherheit des Personals"

Und darin werden Dinge wie Background-Checks oder Zeugnisvalidierung gefordert. Sicherheit des Personals läßt mich eher an SiFa oder so denken.

Im Original "Human resources security", allerdings stehe ich gerade auf dem Schlauch und finde auch keine packendere Übersetzung. Das könnte an der fehlenden Unterscheidung safety <-> security im Deutschen liegen.

A.11.6.2 c) Unternehmen müssen

die Änderung von Authentifizierungsdaten zu Beginn, sodann in vorab festgelegten Zeitabständen und immer dann verlangen, wenn der Verdacht besteht, dass die Authentifizierungsdaten beeinträchtigt wurden;

Liebe Gesetzefrickler und -fricklerinnen,

wenn man keine Ahnung hat, einfach mal die Fresse halten, ok?

Es ist hinlänglich bekannt, daß die regelmäßige Änderung von Zugangsdaten regelmäßig zu einfachen Kennwortalgorithmen führt, so daß vermutlich in viel zu vielen Unternehmen in dieser Welt gerade das Kennwort "Herbst2025!" genutzt wird. Weder NIST (Link geht nicht zum NIST) noch BSI empfehlen noch, ein Kennwort regelmäßig zu ändern. Allerdings empfiehlt das BSI immer noch komische Regeln für Kennwörter, weswegen ich unter www.laengeristbesser.de eine Seite mit Hintergründen und Zusammenhängen aufbaue (zum Zeitpunkt des Schreibens noch nicht öffentlich).

An dieser Stelle möchte ich dann einen Rant anschließen...

Die komplette Durchführungsverordnung 2024/2690 liest sich wie ein sehr altes Exemplar der ISO 27001.

Sehr alt soll hier durchaus bedeuten, daß diese Gesetzgebung die gleichen Fehler macht, die auch in der Vergangenheit in der ISO 27001 waren. Es werden redundante Anforderungen gestellt. Es gibt keine inhaltliche Kohärenz. Von ganz groben Dingen, die einem Managementrahmen entsprechen, auf der einen Seite geht es zu hochspezifischen Anforderungen, die nahezu Buzzword-Bingo darstellen, auf der anderen Seite. Durcheinanderschmeißen und Auseinanderdröseln von Integrität und Authentizität (ich dachte, das sei Spezialität vom BSI und C5?!).

Das wirkt alles unreif und als wäre es von Leuten, die einmal Erfahrung hatten, geschrieben worden.

Grundsätzlich bin ich vollkommen dafür, ein hohes Maß an Cybersicherheit einzufordern und durchzusetzen - aber das muß schon irgendwie risikobezogen und wirtschaftlich bleiben (wenngleich gleichzeitig "hohe Kosten" keine grundlegende Ausrede sein darf).

Ich sehe die ganz große Gefahr, daß Unternehmen durch diese Gesetze nicht mehr von Startup zu mittlerem oder gar großem Unternehmen wachsen können. Von unter der Grenze zu voll von NIS2 getroffen ist es im schlimmsten Fall "nur" ein Geschäftsjahr oder eine weitere Anstellung. Wenn man so etwas nicht von Anfang an in seine Planung einkalkuliert hat und bereits vor dem Stichtag massiv in solche Themen investiert hat, wird das mit dem Sprung nix. (Ok, klar, man sollte vorher investieren. Aber.)

Der Eindruck, daß das alles von Leuten erstellt wurde, die irgendwann mal in solchen Bereichen gearbeitet hatten, bleibt bis zum Ende bestehen.

Auch bei einigen Begriffen und Aufdröselungen denke ich stark ans alte(?) BDSG (Zugang, Zugriff, Zutritt, ...), nicht an das, was derzeit Standard in der InfSec-Community ist.

Integrität und Authentizität getrennt zu beobachten ist in meinen Augen schwierig.

Konkrete Anforderungen (z.B. Passwort regelmäßig ändern) wirken mitunter deplaziert und werden in Zukunft dafür sorgen, daß sich die Technik weiterentwickelt, das Gesetz aber stehen bleibt.

Zu jedem einzelnen Punkt zu schreiben, daß er regelmäßig und anlaßbezogen geprüft werden soll, macht das Ding sperrig.

Grundsätzlich bin ich ganz zufrieden damit, was mit dem Gesetz gemeint sein könnte. Es wird nur in der Umsetzung und den Audits heftige Diskussionen geben.

M.E. hätte man einfach eine 27001-Zertifizierung zur Pflicht machen können und einzelne Punkte ergänzend im Rahmen der Durchführungsverordnung fordern können. Und dann als Lobbyverband mit gewichtigem Interesse mit am Tisch der 27001 sitzen sollen. Die Expertise dort hätte aber überspezifische Regelungen vermieden, für mehr Verständlichkeit gesorgt. (Und nebenbei hätte die 27001 dann endlich kostenfrei verfügbar sein müssen, aber das wäre nur ein Nebenschauspiel, über das ich mich persönlich sehr gefreut hätte.)

Jetzt heißt es: Warten auf das #NIS2UmsuxxG ... ähm #NIS2UmsuCG :)

Update 2025-11-18

A.3.2.3 l) Unternehmen müssen in Logdaten protokollieren:

Ereignisse im Umfeld

Hm? Was jetzt? Wenn Kirmes oder Schützenfest ist, muß ich das loggen? Mit

environmental events

wird da schon eher ein Schuh draus: Türe geöffnet, Temperatur geändert, Stromausfall...

Update 2025-11-20

A.13.2.1 ist in Gänze analog:

Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds

sollte eigentlich etwas von umweltbedingten Bedrohungen sein:

Protection against physical and environmental threats