Geschäftskunden | PŸUR Business | IT-Ratgeber | NIS2 im Rechenzentrum

NIS2 im Datacenter.

Wie Anforderungen an die neue Verordnung im Rechenzentrum erfüllt werden. 

 

Die im Oktober 2024 in Kraft tretende NIS-2 Richtline nimmt Anbieter digitaler Dienste und damit auch Betreiber von Rechenzentren in die Pflicht. Um einen sicheren Betrieb und hohen Datenschutz zu gewährleisten, müssen strenge Auflagen erfüllt werden. Damit sollen kritische Infrastrukturen, also besonders gefährdete Einrichtungen, besser vor Ausfällen und Angriffen geschützt werden, um so im Ernstfall eine Versorgung aufrechtzuerhalten.  

Stephan Meißner, Chief Information Security Officer bei PŸUR Business erklärt im Kurzinterview, wie die neue Verordnung im PŸUR Datacenter umgesetzt wird.

Warum ist PŸUR Business von der NIS2-Verordnung betroffen?

Als Anbieter von Telekommunikationsdienstleitungen fiel unserer Netzinfrastruktur schon vor NIS-2 in die Kategorie KRITIS und wir sind damit verpflichtet, diese zu erfüllen. Als Rechenzentrumsbetreiber sind wir Anbieter digitaler Dienste. Damit werden wir als „wesentlicher Dienst“ eingestuft. Gleichzeitig werden in unserem Rechenzentrum kritische Infrastrukturen betrieben, die für die Gesellschaft und die Wirtschaft von entscheidender Bedeutung sind.

Welche Maßnahmen sollte ein Rechenzentrum unbedingt erfüllen, um NIS2-tauglich zu sein?

  • Zugangskontrollen: Ein mehrfach gesicherter Zugang von Räumlichkeiten ist Voraussetzung für ein Hochsicherheitsrechenzentrum. Das beginnt mit einem gesicherten Tor, Zäunen mit Übersteigschutz, Überwachungskameras etc. Wir nennen das Zwiebelschalen-Prinzip.
  • Authentifizierung: Der Einsatz von Authentifizierungssystemen nach aktuellem Standard inkl. Personenvereinzelung und Personenbilanzierung sichert den Zutritt von nicht befähigten Personen. Dies erfolgt über ein strenges Anmeldeverfahren, Zugangskontrolle durch Karte, Pin und Sicherheitsschleuse.
  • Human Resources: Das Rechenzentrum muss außerdem rund um die Uhr mit einem Wachschutz besetzt sein. Dieser stellt sich, dass kein unbefugter Zutritt erfolgt und kontrolliert regelmäßig die Anlagen auf Funktionssicherheit.     
  • Kryptografie: Gesetzlich ist eine Verschlüsselung nicht explizit vorgeschrieben. Rechenzentrumsbetreiber sind allerdings gut beraten, notwendige Maßnahmen zu ergreifen, um einen Cyber-Angriff abzuwenden.
  • (Geografische) Redundanz: Die räumliche Trennung der Zugangsleitungen im Rechenzentrum stellt sicher, dass im Falle eines Ausfalles eine redundante Leitung genutzt werden kann. Diese Redundanz geht bei der Hauseinführung weiter und verläuft Kanten- und Knotendisjunkt bis zu den Kunden-Racks.

Welche organisatorischen Änderungen mussten vorgenommen werden? Welche Prozesse wurden angepasst?

Wir haben, bedingt durch unseren hohen Zertifizierungsgrad, viele Prozesse bereits abgebildet. Die Organisation unterliegt dadurch bereits hohen Qualitätsstandards. Eine Herausforderung ist für uns (wie für viele andere Firmen) die Weiterentwicklung unseres SOC (Security Operations Center) und des SIEM (Security Information and Event Management). Hier arbeiten wir eng mit unserem Security-Partner Check Point Software zusammen.

Welche Zertifizierungen gibt es neben NIS noch?

Die PŸUR Rechenzentren sind bereits TSI 4.3 Level 3 (erweitert) und EN 50600 zertifiziert. Zudem haben wir unsere ISO 27001 Zertifizierung Anfang des Jahres auf die neuere Norm ISO 27001:2022 angehoben und erfüllen damit auch im Bereich Cybersicherheit und Datenschutz höchste Schutzklassen. Diese gelten selbstverständlich auch für unsere Rechenzentren, die in Deutschland zu den sichersten ihrer Art gehören. 

Noch mehr Informationen zur neuen Richtline und wen diese betrifft erfahren Sie in diesem Beitrag: 

Gut vorbereitet auf NIS2.

KRITIS Unternehmen und Zulieferer müssen die Sicherheit erhöhen.

 

Mehr