Cloud Computing in der NIS-2-Richtlinie

Cloud-Definition in der NIS-2-Richtlinie

Jahrelang haben wir uns für die Definition von Cloud Computing an einer nunmehr 13 Jahre alten Publikation des US-amerikanischen National Institute for Standard and Technology (NIST) und später an der Veröffentlichung durch das Bundesamt für Sicherheit in der Informationstechnik orientiert. Die NIS-2-Richtlinie liefert unter Ziffer 33 der Präambel eine Cloud-Definition, die in unseren Konzepten und Dokumenten zu Cloud Computing die älteren Begriffsklärungen ablösen kann. Die NIS-2-Richtlinie bezeichnet mit Cloud-Computing-Diensten digitale Dienste, die „auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind.“ Dieser Wortlaut wird auch in Artikel 6 Absatz 30 der NIS-2-Richtlinie wiederholt.

Die Definition verwendet folgende Begriffe, die ebenfalls in Ziffer 33 der Präambel der NIS-2-Richtlinie definiert sind:

• Rechenressourcen umfassen Ressourcen wie Netze, Server oder sonstige Infrastruktur, Betriebssysteme, Software, Speicher, Anwendungen und Dienste.
• Die Bereitstellungsmodelle für Cloud Computing umfassen „die private, die gemeinschaftliche, die öffentliche und die hybride“ Cloud.
• Der Cloud-Computing-Nutzer kann „ohne Interaktion mit dem Anbieter von Cloud-Computing-Diensten Rechenkapazitäten wie Serverzeit oder Netzwerkspeicherplatz zuweisen“, was „als Verwaltung auf Abruf“ beschrieben wird.
• Der Begriff „umfassender Fernzugang“ bedeutet, „dass die Cloud-Kapazitäten über das Netz bereitgestellt und über Mechanismen zugänglich gemacht werden, die den Einsatz heterogener Thin- oder Thick-Client-Plattformen (einschließlich Mobiltelefonen, Tablets, Laptops und Arbeitsplatzrechnern) fördern.“
• Der Begriff „skalierbar“ bezeichnet „Rechenressourcen, die unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Dienstes flexibel zugeteilt werden, damit Nachfrageschwankungen bewältigt werden können.“
• Der Begriff „elastischer Pool“ bedeutet „Rechenressourcen, die entsprechend der Nachfrage bereitgestellt und freigegeben werden, damit die Menge der verfügbaren Ressourcen je nach Arbeitsaufkommen rasch erhöht oder reduziert werden kann.“
• Der Begriff „gemeinsam nutzbar“ beschreibt Rechenressourcen, die einer Vielzahl von Nutzern bereitgestellt werden, die über einen gemeinsamen Zugang auf den Dienst zugreifen, wobei jedoch die Verarbeitung für jeden Nutzer separat erfolgt, obwohl der Dienst über dieselbe elektronische Ausrüstung erbracht wird.
• Der Begriff „verteilt“ bedeutet, dass die Rechenressourcen „sich auf verschiedenen vernetzten Computern oder Geräten befinden“ und „untereinander durch Nachrichtenaustausch kommunizieren und koordinieren“.

Edge Computing und Abgrenzung zum Rechenzentrumsdienst

Unter Ziffer 34 bzw. 35 der Präambel der NIS-2-Richtlinie werden zwei Aspekte erwähnt, die in Zusammenhang mit Cloud Computing relevant sind:

• In Ziffer 34 heißt es, dass „Cloud-Computing-Dienste in hochgradig verteilter Form, noch näher am Ort der Datengenerierung oder -sammlung, erbracht werden“ können, „wodurch vom traditionellen Modell zu einem hochgradig verteilten Modell (‚Edge-Computing‘) übergegangen wird“.
• In Ziffer 35 ist eine Abgrenzung von Cloud Computing zum „Rechenzentrumsdienst“ enthalten. Letzterer bedeutet „Dienste, die von Anbietern von Rechenzentrumsdiensten angeboten werden“, nicht „in Form eines Cloud-Computing-Diensts“. Damit adressiert die Richtlinie Anbieter von Rechenzentrumsdiensten, „bei denen es sich nicht um Cloud-Computing-Dienste handelt“. Der Begriff „Rechenzentrumsdienst“ beschreibt somit „Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von Informationstechnologie (IT) und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle“. Der Begriff „Rechenzentrumsdienst“ wird in der NIS-2-Richtlinie sowohl abgegrenzt von Cloud Computing als auch abgegrenzt von internen Rechenzentren verwendet, „die sich im Besitz der betreffenden Einrichtung befinden und von der betreffenden Einrichtung für eigene Zwecke betrieben werden.“

Stärkere Harmonisierung

Ziffer 84 der Präambel der NIS-2-Richtlinie weist darauf hin, dass innerhalb der EU eine stärkere länderübergreifende Harmonisierung für eine Reihe von Diensten einschließlich Cloud Computing erfolgen sollte. Ergänzend heißt es, die „Umsetzung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit hinsichtlich dieser Einrichtungen sollte daher durch einen Durchführungsrechtsakt erleichtert werden.“ Dies ist somit ein Verweis auf weitere regulatorische Maßnahmen, die gemäß Artikel 5 der Richtlinie auch möglich sind.

Welche nationale Zuständigkeit?

Ziffer 113 der Präambel der NIS-2-Richtlinie geht auf ein Dilemma in der EU ein, nämlich die Abgrenzung zwischen verschiedenen nationalen Zuständigkeiten innerhalb der EU. Der Absatz fängt mit folgender Regelung an: „Einrichtungen, die unter diese Richtlinie fallen, sollten der Zuständigkeit des Mitgliedstaats unterliegen, in dem sie niedergelassen sind.“ Ein einfaches Beispiel fällt mir dazu ein: In einem Cloud-RZ in Deutschland gelten die nach deutschem Recht geltenden Arbeitssicherheitsregelungen. Zuständigkeitsfragen sind jedoch nicht immer so einfach, wie auch weiter in Ziffer 113 konstatiert wird:

„Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste sollten jedoch als der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Dienste erbringen.“

Ausdrücklich werden neben anderen auch Anbieter von Cloud-Computing-Diensten genannt, die als „der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Hauptniederlassung in der Union haben.“ Diese Bestimmung findet man auch in Artikel 26 Absatz 1b der NIS-2-Richtlinie wieder.

Und dann wird es noch komplizierter:

„Erbringt die Einrichtung Dienste in mehreren Mitgliedstaaten oder hat sie Niederlassungen in mehreren Mitgliedstaaten, so sollte sie unter die getrennte und parallele Zuständigkeit der betreffenden Mitgliedstaaten fallen.“ Es folgt der Zusatz: „Die zuständigen Behörden dieser Mitgliedstaaten sollten zusammenarbeiten, einander Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtstätigkeiten durchführen. Wenn die Mitgliedstaaten ihre Zuständigkeit ausüben, sollten sie gemäß dem Grundsatz ‚ne bis in idem‘ keine Durchsetzungsmaßnahmen oder Sanktionen mehr als einmal für ein und dasselbe Verhalten verhängen.“

Diese „getrennte und parallele Zuständigkeit“ ist heute schon schwierig und wird in Zukunft auch nicht einfacher werden, auch nicht mit Ziffer 114 der Präambel der NIS-2-Richtlinie, die u.a. die Anbieter von Cloud-Computing-Diensten adressiert und bestimmt, dass „immer nur ein Mitgliedstaat für diese Einrichtungen zuständig sein“ sollte, nämlich der Mitgliedstaat, „in dem die betreffende Einrichtung ihre Hauptniederlassung in der Union hat“. Ausdrücklich wird als unerheblich eingestuft, „ob die Netz- und Informationssysteme an einem bestimmten Ort physisch untergebracht sind“. Ferner heißt es: „Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Union getroffen, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden.“

Ziffer 116 der Präambel geht auf den Fall der Nutzung von Diensten ein, deren Anbieter nicht in der EU niedergelassen ist. In diesem Fall „sollte er einen Vertreter in der Union benennen“.

Register für Dienste

Ziffer 117 der Präambel sowie Artikel 17 Absatz 1 der NIS-2-Richtlinie sehen vor, dass die Agentur der Europäischen Union für Cybersicherheit (ENISA) ein Register u.a. für Cloud-Dienste einrichtet und führt.

Umsetzung der NIS-2-Richtlinie für Cloud-Dienste

Da die NIS-2-Richtlinie ausdrücklich auch die Anbieter von Cloud-Diensten adressiert, gelten alle Bestimmungen der Richtlinie automatisch auch für Cloud-Dienste. Von keiner die Cybersicherheit betreffenden Bestimmung der Richtlinie ist Cloud Computing ausgenommen. Dabei ist insbesondere Artikel 21 zu nennen, der Risikomanagementmaßnahmen im Bereich der Cybersicherheit aufführt. Im Absatz 2 des Artikels werden explizit genannt:

• a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
• b) Bewältigung von Sicherheitsvorfällen;
• c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
• d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
• e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
• f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
• g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
• h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
• i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
• j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Fazit

Für einige der oben genannten Maßnahmen können die standardmäßig vom Cloud-Provider vorgesehenen Mechanismen und Prozesse verwendet werden. Andere Maßnahmen, angefangen mit einem Sicherheitskonzept, erfordern sicherlich individuelle Anstrengungen durch jede Organisation, die Cloud Computing nutzen will.

Einen nicht zu unterschätzenden Aufwand dürften auch die Berichtspflichten gemäß Artikel 23 der Richtlinie verursachen.