EU-NIS-2-Richtlinie

Die EU stellt die Weichen neu

Dass Internetkriminalität eine steigende wie auch ernstzunehmende Gefährdung verkörpert, ist schon lange weithin bekannt. Bedauerlicherweise zeigen Firmen nach wie vor bloß wenig Einsatz für die Cybersicherheit. Aufgrund dieser besorgniserregenden Situation hat die EU die EU-NIS-2-Richtlinie festgelegt, die am 16. Januar 2023 in Kraft getreten ist. Diese Richtlinie erneuert die NIS-Direktive von 2016 und modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung sowie einer sich wandelnden Bedrohungslandschaft Schritttempo zu halten. In den anschließenden Absätzen erfahren Sie beispielsweise, was für Ziele die aktualisierte Richtlinie verfolgt, welche Konsequenzen sie auf Unternehmen hat sowie warum Unternehmen nicht noch weiter trödeln sollten, proaktiv Maßnahmen zu fassen, um ihre Netzwerk- und Informationssicherheit zu bestärken.

Die Digitalisierung übt definitiv einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung neuer Geschäftsmodelle bis hin zur Verbesserung der Energiebilanz – der digitale Wandel verändert nicht bloß Arbeitsweisen, Kommunikation und Informationszugang, sondern bietet Unternehmen auch unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Ausweitung.
Dennoch ist der Fortschritt auch ein idealer Nährboden für Internetkriminalität. Jeden Tag werden groß angelegte wie auch bewusste Internetangriffe durchgeführt, bei welchen Firmen infiltriert werden, um geschäftskritische Daten zu klauen und maximalen Profit zu bekommen. Der deutschen Wirtschaft entsteht dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro.

Aufgrund dieser Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Unternehmen für erweiterte gesetzliche Richtlinien aus, die jedes Unternehmen dazu verpflichten, überzeugende Maßnahmen zur Kräftigung ihrer Cybersicherheit zu fassen.

Genau an dieser Stelle kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 in Kraft getreten ist.

NIS-2-Richtlinie: Europas Antwort auf die zunehmenden Herausforderungen der Internetsicherheit

Bei der EU-NIS-2-Richtlinie, auch bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit bzw. Richtlinie (EU) 2022/2555, dreht es sich um eine überarbeitete Version der ursprünglichen NIS-Richtlinie, die im Jahr 2016 von der EU eingeführt wurde. Die Absicht der neuen EU-Richtlinie ist es, die Widerstandsfähigkeit kritischer Netzwerke und Informationssysteme zu optimieren und ein einheitliches Schutzniveau für systemrelevante Landschaften in der EU durchzusetzen. Im Abgleich zu ihrer Vorgängerin erweitert die aktuelle EU-NIS-2-Richtlinie den Umfang der betroffenen Unternehmen, intensiviert die Verpflichtungen der Betroffenen und erweitert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.

Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in regelmäßigen Intervallen das ordnungsgemäße Funktionieren der Richtlinie inspizieren, wobei die erste Begutachtung bis zum 17. Oktober 2027 passieren muss.

Von EU-NIS-1 zu EU-NIS-2: Die Entwicklung von EU-NIS-2: Der Kampf gegen Internetkriminalität in Europa intensiviert sich

Das Ziel, ein einheitliches Cybersicherheitsniveau in der kompletten Europäischen Union zu erlangen, ist nicht neu. Bereits 2016 wurde die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU eingeführt. Das Ziel dieser Richtlinie bestand darin, einen rechtlichen Rahmen für den Bau nationaler Cybersicherheitskapazitäten in der Europäischen Union zu schaffen, die Kooperation der Mitgliedstaaten zu optimieren und Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Infrastrukturen und bestimmte Anbieter digitaler Dienste festzulegen.

Allerdings gab es bei der richtigen Umsetzung der NIS-1-Richtlinie ein paar Schwachpunkte und Lücken. Verschiedenartige Interpretationen sowie Anwendungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung wie auch einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht genug gerecht werden.

Auf Grundlage dieser Einsichten wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Maßnahmen sollen garantieren, dass die Richtlinie befolgt wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiter ausgebessert wird.

Welche Sektoren die NIS2-Richtlinie betrifft und für wen sie interessant ist

Mit der Ausweitung des Geltungsbereichs auf eine größere Palette von Unternehmen und Sektoren bringt die EU-NIS-2-Richtlinie erhebliche Folgen mit sich. Diese nimmt keinesfalls nur traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt auch neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Jene neu integrierten Sektoren werden mittlerweile als "Wesentliche Einrichtungen" angesehen und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.

Obendrein zu den „Wesentlichen Einrichtungen“ definiert die neue Richtlinie eine weitere Kategorie, welche „Wichtigen Einrichtungen“. Diese Kategorie unterteilt die Firmen graduell nach Kritikalität und Abhängigkeiten von anderen Sektoren. Unabhängig von jener Unterscheidung gelten für Unternehmen beider Kategorien dieselben Anforderungen bezüglich Meldepflichten und Risikomanagement.

Die NIS-2-Richtlinie legt ebenso spezifische Kriterien fest, nach welchen Unternehmen von jener Verordnung registriert werden. Vor allem betrifft dies Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro. Mit jener sogenannten „Size-Cap-Rule" will die Richtlinie gewährleisten, dass insbesondere Unternehmen, die ein hohes Risiko für Internetangriffe darstellen und über genügend Ressourcen für angemessene Sicherheitsmaßnahmen verfügen, geeignet reguliert werden.
Es gibt jedoch Ausnahmen für manche Sektoren oder Unternehmen. Losgelöst von deren Größe unterliegen Anbieter elektronischer Kommunikation, nennenswerte nationale Monopole sowie die öffentliche Verwaltung, welche wegen ihrer strategischen Wichtigkeit für die nationale Sicherheit wie auch Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind weniger große Unternehmen meist von der Richtlinie ausgenommen. Dennoch gibt es gewisse Sektoren und Bereiche, in denen die Regelungen unabhängig von deren Größe Anwendung finden.

Welche Anforderungen und Pflichten stellt EU-NIS-2 an die Mitgliedstaaten und Unternehmen?

Um das Cybersicherheitsniveau in der EU zu verbessern, verlangt die NIS-2-Richtlinie von den Mitgliedstaaten sowie Firmen eine Reihe von Maßnahmen. Dabei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, der hierauf abzielt, alle Netzwerke, Informationssysteme sowie ihre physischen Bereiche vor Sicherheitsvorfällen zu schützen.

Im Nachfolgenden sind einige der wichtigsten Anforderungen sowie Pflichten aufgeführt:

1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verordnet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Jene Taktik soll die methodischen Ziele, erforderlichen Ressourcen sowie staatlichen und regulatorischen Schritte umfassen, welche nötig sind, um ein hohes Cybersicherheitsniveau zu erreichen sowie aufrechtzuerhalten.
2. Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Einrichtungen geeignete und angemessen skalierbare technische, operative und organisatorische Maßnahmen ergreifen. Zu diesen Mitteln gehören beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahren zur Einstufung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Einsatz von Kryptografie und möglicherweise Verschlüsselung plus Multi-Faktor-Authentifizierungsverfahren.
3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Verpflichtungen für wesentliche wie auch wichtige Einrichtungen deutlich verschärft. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen und Stichproben durchzuführen sowie Informationen und Belege zur Erfüllung der Pflichten der betroffenen Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten befugt sein, Zwangs- und Bußgelder zu vollstrecken. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes belegt werden, während wichtige Einrichtungen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können - bedingt davon, welcher Betrag höher ist.
4. Meldepflichten: Wesentliche und wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, "erhebliche Sicherheitsvorfälle" umgehend dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der jeweiligen Amtsstelle zu melden. Jene erheblichen Sicherheitsvorfälle können zum Beispiel große Datenverluste oder gravierende Cyberangriffe sein, die die Dienstleistungen der Firma erheblich einschränken.

EU-NIS-2: Wie können sich Unternehmen vorbereiten?

Die Einführung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, insbesondere für Unternehmen, die nicht über genügend interne Ressourcen oder Fachkenntnisse in der Cybersicherheit verfügen. In solchen Fällen können IT-Dienstleister und externe IT-Sicherheitsexperten eine wertvolle Hilfestellung bieten. Sie können Firmen in folgenden Bereichen betreuen:

• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten sind in der Lage, eine fundierte Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu identifizieren und gezielte Vorschläge für Verbesserungen zu offerieren.
• Entwicklung eines umfassenden Cybersicherheitsplans: Dank ihrer Fachkenntnisse können jene Spezialisten Firmen hierbei helfen, einen detailgenauen und effizienten Cybersicherheitsplan zu gestalten, welcher den spezifischen Vorgaben der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können nützliche Unterstützung bei der praktischen Implementierung der im Cybersicherheitsplan festgelegten Maßnahmen leisten. Sie stellen sicher, dass die implementierten Optimierungen korrekt ausgeführt werden und die gesetzten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Jene Experten können auch routinemäßige Sicherheitsprüfungen bewerkstelligen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen konstant effektiv bleiben und den Vorstellungen der NIS-2-Richtlinie nachkommen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle unterstützen. Selbige können dabei helfen, die relevanten Informationen an die zuständigen Behörden weiterzuleiten und angemessene Schritte zur Behebung der Situation einzuführen.

Fazit: Der Countdown läuft!

Tatsache ist: Die EU-NIS-2 ist in Kraft – und sie stellt definitiv einen wichtigen Schritt zur Stärkung der Cybersicherheit in der Europäischen Union dar. Trotz strenger Sicherheitsstandards, Meldepflichten und etwaiger Sanktionen bietet diese betroffenen Firmen die Chance, ihre Cybersicherheit zu verbessern, geschäftskritische Daten abzusichern sowie das Vertrauen ihrer Klienten und Partner zu verstärken. Um die Anforderungen der Richtlinie effektiv zu erfüllen, sollten jene auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten zurückgreifen. Mit der Hilfestellung können selbige die gesetzlichen Vorgaben erfüllen und rechtzeitig geeignete und angemessen skalierbare technische, operative und organisatorische Maßnahmen umsetzen, ohne dabei ihre eigenen IT-Ressourcen zu überfordern.

Brauchen auch Sie Hilfe bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie laut der NIS-2-Richtlinie? Oder haben Sie noch weitere Fragen zu diesem Thema? Benachrichtigen Sie uns noch heute!