Illustration Absmeier foto freepik

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.

Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in den Betrieb wichtiger Dienste ein. Leider haben viele der teilnehmenden Länder diese Schutzmaßnahmen auf unterschiedliche Weise oder in unterschiedlichem Maße umgesetzt. Angesichts der sich rasch verändernden Cybersicherheitslandschaft wurde deutlich, dass mehr nötig war.

So wurde im Jahr 2020 NIS2 eingeführt und trat am 16. Januar 2024 in Kraft. Sie erweitert den ursprünglichen Anwendungsbereich, verschärft die Anforderungen, beseitigt einige der ursprünglichen Unklarheiten bei der Anwendung und verleiht der Richtlinie Biss in Form von erheblichen Geldbußen und Sanktionen. Bis zum 17. Oktober muss die NIS2-Richtlinie von den EU-Mitgliedsstaaten jeweils in nationales Recht umgesetzt werden. Deutschland ist hier mit einem kurz vor der Veröffentlichung stehenden vierten Referentenentwurf nicht mehr weit entfernt von der Umsetzung in deutsches Recht.

Organisationen und Unternehmen können die Belastung durch die NIS2-Richtlinie verringern, indem sie Prozessmonitoring einsetzen, um dynamisches Risikomanagement und Reporting in ihre Geschäftsprozesse zu integrieren. Wenn Unternehmen das Risikomanagement zu einem Teil ihres Engagements für ihre Prozesslandschaft machen, sind sie für Oktober 2024 und die sich ständig verändernde digitale Landschaft gerüstet.

Von NIS2 betroffene Branchen und Einrichtungen

Um die lebenswichtigsten Vorgänge in der Europäischen Union vor böswilligen technologischen Bedrohungen zu schützen, umfasst die NIS2-Richtlinie wesentliche Dienste in den Bereichen Verkehr, Bankwesen, Energie, Finanzmärkte, Gesundheitswesen, Digitale Infrastruktur, Trinkwasser- und Abwasserversorgung, Öffentliche Verwaltung, Raumfahrt. Hinzu kommen wichtige Einrichtungen, deren Melde- und Überwachungsbedingungen zwar selbstbestimmter, aber nicht weniger streng sind wie digitale Anbieter, Forschung, Lebensmittelherstellung, -verarbeitung und -vertrieb, Chemikalienherstellung, -produktion und -vertrieb, Post und Kurierdienste, Hersteller und die Abfallwirtschaft.

»Doch das ist noch nicht das ganze Ausmaß der Auswirkungen von NIS2. Ein Teil der Verpflichtung für die betroffenen Branchen und Dienste ist die Sicherheit ihrer Lieferkette. Das bedeutet, dass auch Zulieferer und Auftragnehmer, die Ressourcen für diese lebenswichtigen Vorgänge bereitstellen, verpflichtet sind, ein Mindestmaß an Cybersicherheitsmaßnahmen einzuhalten, da sie sonst Gefahr laufen, Aufträge zu verlieren. Auch diejenigen, die nicht direkt in wesentlichen und wichtigen Branchen tätig sind, müssen ihr Risikomanagement verbessern, um ihren Marktanteil zu halten,« erläutert Cosima von Kries, Nintex Director, Solution Engineering EMEA, die Situation noch genauer.

Die ersten Schritte unternehmen

Risikomanagement und Compliance sollten für Unternehmen, die im heutigen Umfeld tätig sind, nichts Neues mehr sein. Auch wenn die NIS2 hohe Anforderungen an eine wirksame Cybersicherheit stellt, sollte der Ansatz, den jedes Unternehmen verfolgt, ein vertrauter sein. Er beginnt mit der Identifizierung von Risiken und der Festlegung von Abhilfemaßnahmen, wo dies möglich ist. Im Kern handelt es sich dabei um eine Prozessüberwachung und um die Art von Herausforderung, für die spezielle Software entwickelt wurde.

Indem Unternehmen ihre wichtigsten Cybersicherheitsprozesse und die risikoreichsten Geschäftspraktiken in diesem Bereich abbilden und dokumentieren, können sie sofort erkennen, wo es möglicherweise Probleme mit der Einhaltung von Vorschriften gibt. Dies könnte sich auf Lieferanten, interne Systeme oder bestehende Verfahren beziehen. Wenn die Prozesse klar dargelegt sind, können diese Risiken dokumentiert und entsprechende Maßnahmen ergriffen werden.

»Natürlich lässt sich nicht jedes Risiko ausschalten. Etwas so Einfaches wie ein menschlicher Nutzer in einem Prozess kann ein Risiko darstellen, von der Anfälligkeit für Phishing-Angriffe bis hin zu vorsätzlichen Sabotageakten. Beim Risikomanagement geht es darum, diese Risiken zu kontrollieren. Neben den Prozessen, die die wichtigsten Aktivitäten regeln, sollte es Kontrollpunkte für das Risikomanagement geben, um die Einhaltung der Vorschriften bei jedem Schritt zu gewährleisten,« so Cosima von Kries weiter. »Bei Nutzung der Nintex Process Plattform beispielsweise können Workflows diese Prozesse, wie zum Beispiel das Incident Reporting, automatisieren, indem sie bei der Ausführung von Vorgängen Datenvalidierungen vornehmen oder Freigabeanfragen auslösen. Auf diese Weise entsteht sowohl eine rechtskonforme Dokumentation für Aktionen als auch eine Sicherheitskontrolle für wichtige Aktivitäten.«

Hohe Wachsamkeit erforderlich

Die letzten Jahre haben gezeigt, dass Cyber-Angriffe immer raffinierter werden. Selbst die größten Unternehmen sind nicht immun gegen durch digitale Störfaktoren verursachte Verstöße oder Ausfälle. Die Einführung von Risikomanagementprozessen ist im Rahmen der NIS2 von entscheidender Bedeutung, aber die Unternehmen müssen auch für eine schnelle Berichterstattung sorgen, wenn etwas schiefläuft. Von wesentlichen und wichtigen Diensten wird erwartet, dass sie innerhalb von 24 Stunden einen ersten Bericht über einen Vorfall mit »erheblichen Auswirkungen« und innerhalb von 72 Stunden nach dem Ereignis einen vollständigen Meldebericht vorlegen.

Die Berichterstattungsprozesse sollten für alle wichtigen Risikotätigkeiten und -bereiche klar und leicht zugänglich sein. Ein Merkmal von Prozessmonitoring ist die Möglichkeit, Prozesse miteinander zu verknüpfen, um sicherzustellen, dass Berichtsverfahren, Dokumentationen und wichtige Referenzmaterialien in jeden verwandten Prozess eingebettet und leicht zugänglich sind. Sollte eine Störung oder eine Ausnahme auftreten, sind die Informationen darüber, was zu tun ist, sofort zur Hand, so dass die Hauptbeteiligten schnell die zu ergreifenden Maßnahmen identifizieren können. Die Teams werden zu den entsprechenden Schritten und Protokollen geleitet, die die Auswirkungen so weit wie möglich abschwächen, und die entsprechenden Personen werden alarmiert.

Zu den Risikomanagementprozessen gehören auch regelmäßige Abnahmen, um sicherzustellen, dass die vorhandenen Maßnahmen aktuell und wirksam sind. Prozessmonitoring kann hier unterstützen, indem es die Beteiligten und die benannten Risikomanager an die Abnahmen erinnert und via Link direkt zu den entsprechenden Prozessunterlagen führt, so dass sie proaktiv dafür sorgen können, dass die Kontrollen auf dem neuesten Stand sind.

Fit für den Erfolg von NIS2

Während effektive Unternehmen bereits über einen Risikomanagementplan verfügen, machen die Anforderungen von NIS2 es für alle Organisationen unerlässlich, der Einhaltung der Vorschriften Priorität einzuräumen. Die Identifizierung der wichtigsten Risikobereiche, wie sie in der Richtlinie beschrieben sind, und die Einrichtung effektiver Prozesse zur Verwaltung und Minderung dieser Risiken kann eine zeitraubende und schwierige Aufgabe sein.

»Prozessmonitoring bietet hier die Möglichkeit, Richtlinien, Prozesse und Verfahren zu verwalten und zu zentralisieren. Es identifiziert klare Rollen und Verantwortlichkeiten in Bezug auf die Gesamtverantwortung für die Governance, bis hin zum Eigentum an Standardbetriebsverfahren,« geht von Kries ins Detail.

Prozessmonitoring richtig eingesetzt sollte vor allem die folgenden Bereiche abdecken:

Leicht verständliche Prozesslandkarte plus alle erforderlichen Informationen werden in einer zentralen Anlaufstelle zusammengeführt, auf die jeder zugreifen kann. Dazu gehören Dokumente, Videos, Bildschirmfotos und Links zu anderen Ressourcen.
Gewährleistung, dass alle Beteiligten über Änderungen informiert werden, sobald sie auftreten. Unterstützt wird dies durch ein Änderungsprotokoll und die Erstellung von Berichten, die den Audit-Anforderungen entsprechen.
Eine zentrale Informationsquelle für alle Mitarbeiter und eine zuverlässige Basis für die Sensibilisierung und Schulung von Teams in Bezug auf standardisierte, wiederholbare Prozesse. So wird sichergestellt, dass alle Mitarbeiter über alle relevanten Sicherheitsprozesse gut informiert sind.
Alle identifizierten Risiko- und Compliance-Anforderungen können mit einer Aktivität innerhalb des Prozesses verknüpft werden. Dadurch wird der Prozessanwender beurteilt und der Risiko- und Compliance-Manager als Beteiligter mit dem spezifischen Prozess verknüpft. Diese Risiko- und Compliance-Anforderungen können Personen in der Organisation zugewiesen werden, die sie regelmäßig abzeichnen, so dass Führungsteams sicher sein können, dass Risiko- und Compliance-Szenarien identifiziert und entschärft werden.

Die digitale Transformation schreitet beständig voran und macht auch vor Sicherheitstücken nicht halt. NIS2 ist ein wichtiger Schritt zu mehr Schutz im digitalen Geschäftsumfeld. Die Richtlinie richtig umzusetzen, bewahrt Unternehmen vor Sanktionen und sie sollten bei der Umsetzung auf effektive Hilfsmittel zurückgreifen, die sie nachhaltig unterstützen.

Mehr Informationen über die Nintex Prozess Plattform: https://www.nintex.de/prozessplattform/

IT-Compliance: NIS2 – Vorbereitung ist alles!

27. März 2024

Illustration Absmeier foto freepik

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.

Gesetzliche Regularien sind ein wichtiger Bestandteil der Aufgabenpalette einer IT-Sicherheitsabteilung. Das gilt ganz besonders für Organisationen mit Sitz in der EU und Unternehmen, die mit in der EU ansässigen Firmen geschäftlich zusammenarbeiten. Aktuell haben sie das gleiche Datum vor Augen. Am 18. Oktober 2024 wird die EU-Richtlinie 2022/2555 »über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union« (abgekürzt NIS2-Richtlinie) wirksam. Mit diesem Stichtag läuft die Vorbereitungsfrist ab, und es drohen bei Nichteinhaltung empfindliche Strafen.

Die NIS2-Vorgeschichte

Im Jahr 2016 hatte die Europäische Kommission die erste EU-weite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) verabschiedet. Dies war zwar ein Schritt nach vorn, um die Resilienz- und Reaktionskapazitäten von Unternehmen und Institutionen in der EU zu verbessern. Die rechtliche Adaption in den EU-Mitgliedstaaten erwies sich jedoch als schwierig.

Sowohl die Umsetzung in nationales Recht als auch die Durchsetzung der Vorgaben erfolgten nur in fragmentierter Form. Zur Beseitigung dieser Hindernisse leitete die Kommission die Entwicklung der NIS2-Richtlinie ein. Diese Direktive trat Anfang 2023 in Kraft und muss bis Mitte Oktober 2024 von allen Mitgliedstaaten in nationales Recht überführt werden.

Die Bewertungen und Meinungen zur NIS2-Richtlinie gehen auseinander. Konsens unter den Experten ist indes, dass Sicherheitsverantwortliche die vorgeschriebenen Standards genau prüfen müssen. Das Management ist aufgefordert, sich mit den regulatorischen Details vertraut zu machen und festzulegen, wie sie innerhalb ihrer Organisation am besten angewendet werden können.

Mobile Sicherheit

Cyberangriffe in der EU und in fast allen Regionen der Welt haben stark zugenommen — mit immer höheren Schäden für Unternehmen. Es gibt also gute Gründe für die Entwicklung und Einführung von Standards wie NIS2. Die Richtlinie soll »Maßnahmen definieren, die darauf abzielen, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu erreichen, um das Funktionieren des europäischen Binnenmarkts zu verbessern«.

Dafür weitet die EU-Kommission den Zuständigkeitsbereich von NIS2 auf alle digitalen Arbeitsabläufe privater und öffentlicher Einrichtungen aus, die als wesentlich oder wichtig für die kritische Infrastruktur eingestuft wurden. Die in Artikel 21 konkret benannten Risikomanagementmaßnahmen für Cybersicherheit gelten für alle digitalen Medien, einschließlich mobilen Endgeräten und mobilen Apps.

Auch wenn die EU-Kommission mobile Endgeräte nur in der Begründung der Richtlinie (Absatz 33) explizit erwähnt, lohnt sich ein genauerer Blick. Mobilgeräte und mobile Apps sind im Kontext von NIS2 deshalb so wichtig, weil genau hier die größte »Verwundbarkeitslücke« besteht, also die Lücke zwischen einer technisch möglichen Bedrohung und der eigenen Abwehrfähigkeit. Während auf der einen Seite technologische Fortschritte tägliche Realität sind, mangelt es auf der anderen Seite am passenden Schutz vor Risiken. Gegenüber der mühseligen Kommandozeileneingabe erleichtern Links die Navigation im World Wide Web, aber auch Angreifer nutzen sie, um per Phishing-Webseiten schädliche Inhalte schnell einzuschleusen.

Die Herausforderung bei der Umsetzung der NIS2 Richtlinie ist, dass sich viele bewährte Cybersicherheitskonzepte nicht von Desktop- auf Mobilrechner übertragen lassen. Die Architektur mobiler Betriebssysteme unterscheidet sich fundamental von Desktop-Systemen, so dass klassische EDR- oder XDR-Lösungen überhaupt nicht auf Android oder iOS-Geräten installiert werden können. Hinzu kommt, dass das Benutzerprofil auf mobilen Geräten völlig anders ist: Ein Notebook, das der Arbeitgeber zur Verfügung stellt, wird in der Regel vollständig von der Firma verwaltet und von den meisten Anwendern auch ausschließlich für dienstliche Zwecke genutzt. Bei Mobiltelefonen dagegen ist die Abgrenzung zwischen dienstlicher und privater Nutzung sehr viel schwieriger. Anwender von Mobiltelefonen und Tablets sind auch Geräteadministratoren, was die Situation deutlich erschwert.

Risiken bei mobilen Apps ergeben sich beispielsweise daraus, dass der hohe Digitalisierungsbedarf einen enormen Rückstau bei App-Entwicklern erzeugt hat. Das zwingt App-Entwickler dazu, open-source libraries oder SDKs von Dritten zu benutzen, anstatt jede Zeile Code selbst zu schreiben. Das ist die weit verbreitete Praxis, birgt jedoch die Gefahr, dass Angreifer entweder existierende Schwachstellen in diesen Werkzeugen ausnutzen oder sogar bewusst einarbeiten. Unternehmen, die eigene Apps für Endkunden entwickeln und bereitstellen, müssen zudem ihr geistiges Eigentum vor Manipulationen wie Reverse Engineering schützen. Gleichzeitig gilt es, den ohnehin schon enormen Rückstau an App-Entwicklungsanfragen möglichst zügig aufzulösen.

Für mehr Kontrolle über die Verwundbarkeitslücke hat Zimperium eine Mobile-First-Strategie mit fünf Prinzipien entwickelt:

Umfassende Priorisierung von Risiken: Effektiver Schutz beginnt mit klaren Zuständigkeiten. Jedes Gerät, jedes Betriebssystem, jede App, die mit einem Unternehmenssystem in Berührung kommt, muss in die Cybersicherheitsstrategie einbezogen werden.
Betrieb im definierten Zustand: Vollständige Visibilität bezüglich cybersicherheitsrelevanter Vorgänge bei sämtlichen, digitalen Arbeitsabläufen ermöglicht eine präzise Risikobewertung und vermeidet Betriebsstörungen.
Verstärkte Erkennung und Reaktion: Bedrohungen für mobile Geräte und Apps sind vielfältig und unterscheiden sich in ihren Auswirkungen. Daher ist es entscheidend, ein Konzept zur Klassifizierung von Bedrohungsmustern in Kombination mit Abwehrmaßnahmen zu entwickeln.
Einrichtung autonomer Systeme: Die frühzeitige Erkennung von Gefahren und Reaktion darauf genügt bei der überwältigenden Anzahl an Bedrohungen mit einer stetig wachsenden Zahl mobiler Endgeräte nicht mehr. Dynamische Antworten auf unbekannte »Zero-Day«-Gefahren für eine unbestimmte Zahl an Endgeräten und fragmentierten Betriebssystemversionen erfordern ein Konzept für eine skalierbare Automatisierung der Abwehrprozesse.
Kein Gesetzesbruch: Die Vielzahl an Richtlinien zu verschiedenen Themen wie Cybersicherheit, Datenschutz, Privatsphäre oder Arbeitnehmerschutz sind auf den ersten Blick überwältigend. Wer sich allerdings rechtzeitig mit ihnen beschäftigt, vermeidet Betriebsstörungen.

Risikoanalyse und Sicherheitsansätze für Informationssysteme

NIS2 zieht in Artikel 20 »die Leitungsorgane wesentlicher und wichtiger Einrichtungen«, also das Management zur Verantwortung. Letztendlich sind die Managementteams für die Genehmigung von Cybersicherheitsmaßnahmen verantwortlich und haften für Verstöße gegen die Richtlinie. Auf diese Weise soll eine gewisse Dringlichkeit bei der Umsetzung der Richtlinie geschaffen und eine klare Rechenschaftspflicht für das Versäumnis festgelegt werden.

Die NIS2-Anforderungen sind umfassend: Artikel 21 fordert einen »gefahrenübergreifenden Ansatz« für Maßnahmen, »der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen«. Die Risikomanagementmaßnahmen für Cybersicherheit umfassen Anforderungen für die Risikoanalyse und Sicherheit von Informationssystemen, einschließlich des Umgangs mit Sicherheitsvorfällen, der Sicherung von Lieferketten, der Aufrechterhaltung des Geschäftsbetriebs und der Verwendung kryptografischer Technologien. Für diese und andere Bereiche müssen IT-Teams detaillierte und überprüfbare Abläufe ausarbeiten.

Der Geltungsbereich von NIS2 geht über die geographischen Grenzen der EU hinaus. Jedes Unternehmen, das dem NIS2 unterliegt, muss die Verantwortung für die »Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern« übernehmen. Für Organisationen, die mit EU-Unternehmen zusammenarbeiten oder zusammenarbeiten wollen, bedeutet das also, dass auch sie die geforderten NIS2-Standards einhalten und die implementierten Cybersicherheitsmaßnahmen nachweisen müssen.

Finanzielle Folgen

Die NIS2-Richtlinie sieht empfindliche Sanktionen vor: Artikel 33 führt Aufsichts- und Durchsetzungsmaßnahmen auf, die von Vor-Ort-Kontrollen geschulter Fachkräfte und Sicherheitsprüfungen zuständiger Behörden bis zu Nachweisen für die Umsetzung der Cybersicherheitskonzepte sowie der Anforderung von Daten oder Dokumenten und sonstigen Informationen reichen, die zur Erfüllung ihrer Aufsichtsaufgaben erforderlich sind. Es bleibt abzuwarten, wie diese Durchsetzungen gehandhabt werden, aber es ist natürlich nicht ratsam, die Aufsichtsanforderungen zu ignorieren. Sinnvoll wäre es vielmehr, produktiv vorauszudenken und effiziente Sicherheitsmaßnahmen als Teil eines guten Gesamtkonzeptes durchzuführen. Mit Blick auf die steigende Komplexität von IT-Systemen empfiehlt sich die Suche nach Lösungen, die nicht eine vollständige Neuorganisation der bestehenden Arbeitsabläufe nach sich ziehen.

Darüber hinaus können IT-Compliance-Versäumnisse zu hohen Finanzstrafen führen. In Artikel 34 ist festgelegt, dass die Mitgliedstaaten im Falle eines Verstoßes Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Vorjahresbruttoeinkommens einer Organisation verhängen, je nachdem, welcher Betrag höher ist. Die Bußgelder basieren auf den durchschnittlich bezahlten Lösegeldern für Ransomware-Angriffe in Höhe von zehn Millionen Euro, die 2022 statistisch gesehen ein Mal pro Woche von europäischen Unternehmen gezahlt wurden.

Die nächsten Schritte

Die Einhaltung der NIS2-Richtlinie wird für Sicherheitsteams einen erheblichen Organisationsaufwand verursachen, und die Stärkung der Sicherheit mobiler Geräte und mobiler Apps ist hier eine zentrale Aufgabe. IT-Verantwortliche müssen sich daher detailliert mit den Themen Cyber-Risikomanagement, Kontrolle, Geschäftskontinuität und IT-Monitoring sowie dem Umgang mit Zwischenfällen befassen. Und die NIS2-Gesetzesvorgaben für Cybersicherheit und Cyberresilienz betreffen die große Mehrheit der Unternehmen in Deutschland und ihre nicht-europäischen Zulieferer.

Im Rahmen von Mobile-First-Strategien rückt deshalb auch die Absicherung mobiler Geräte und Anwendungen in den Mittelpunkt. Für eine konsequente Umsetzung der laut NIS2 Richtlinie notwendigen Risikomanagementmaßnahmen muss man jeden Berührungspunkt berücksichtigen — selbst wenn ein Smartphone nur für Multifaktorauthentifizierung genutzt oder eine App nur als Ersatz für analoge Prozessen entwickelt wurde. Denn es sind eben jene unscheinbaren Prozesse, die von Angreifern gerne als Einfallstor genutzt werden, um arglose Mitarbeiter zu täuschen. Klare Handlungsempfehlung ist daher, vor dem 18. Oktober 2024 detailliert nachzuvollziehen, wie sich die Bedrohungslage für mobile Endgeräte und Apps im eigenen Hause darstellt, um daraus ein skalierbares Konzept zur Gefahrenerkennung und -abwehr zu erstellen und dieses idealerweise zu automatisieren.

Yang-Giun Ro, Senior Sales Engineer DACH, Zimperium

31 Artikel zu „NIS2“

NEWS | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN | TIPPS

Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen

18. Januar 2024

Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…