Am 10. November 2022 hat das Europäische Parlament in Brüssel dem Entwurf für die überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) zugestimmt. Die neue Direktive soll Netz- und Informationssysteme in Europa besser vor Hackerangriffen schützen. Sobald die Richtlinie als neues Gesetz in Kraft tritt, müssen alle 27 EU-Mitgliedsstaaten die Vorgaben in nationales Recht überführen.
Dieser Blogartikel gibt Antwort auf die folgenden Fragen:
Bei NIS handelt es sich um die „EU Network and Information Security Directive“. Die im Jahr 2016 festgelegte Richtlinie bildete die zentrale Maßnahme der europäischen Cyber-Sicherheitsstrategie. Mit ihr sollte ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU gewährleistet werden. Die NIS ist die erste EU-weite Gesetzgebung im Bereich Cybersicherheit gewesen, die besonders kritische Infrastrukturen (KRITIS) vor Hackerangriffen schützen sollte.
Die Richtlinie hat die bis dahin bestehenden Cybersicherheitskapazitäten auf nationaler Ebene verbessert, da die EU-Mitglieder staatliche Sicherheitsstrategien aufstellen und entsprechende Behörden benennen mussten. Zudem wurden Mindestanforderungen und Meldepflichten für sieben Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturen) sowie in drei digitalen Dienstleistungsbereichen (Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Diensten) geschaffen. In Deutschland wurde die NIS-Direktive 2017 unter anderem mit dem IT-Sicherheitsgesetz umgesetzt, das inzwischen durch das IT-Sicherheitsgesetz 2.0 abgelöst ist.
Zwar stärkte die Umsetzung der europaweiten Richtlinie die Cybersicherheitskapazitäten und die Kooperation zwischen den Mitgliedsstaaten. Doch gleichzeitig war die NIS-Direktive in einigen Teilen zu abstrakt. Ihr fehlten spezifische Anforderungen an die Offenlegung von Cyberrisiken und die Überwachung der Umsetzung in den Mitgliedsstaaten wurde ignoriert. Zudem offenbarten sich zusätzliche Schwachstellen, wie ein zu niedriges Niveau der Cyberresilienz bei Unternehmen oder Mitgliedsstaaten sowie zu schwach ausgeprägte, gemeinsame Krisenreaktionen.
Mit dem Entwurf zu NIS2, den das europäische Parlament inzwischen angenommen hat, will die EU der durch die COVID-19-Krise verschärften Bedrohungslage und den wachsenden Anforderungen im Cyberraum Rechnung tragen. Dazu ist der aktuelle Rechtsrahmen modernisiert und erweitert worden.
Die ursprünglichen NIS-Richtlinie deckte vor allem kritische Sektoren ab. Daher sind weitere Bereiche – unterteilt in wesentliche und wichtige Sektoren – hinzugekommen. Dazu gehören die öffentliche Verwaltung, Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Abfallwirtschaft, Luft- und Raumfahrt, kritische Produkte (z. B. Arzneimittel, medizinische Geräte, Chemikalien usw.), Post- und Kurierdienste, Agrar- und Lebensmittelketten sowie zusätzliche digitale Dienstleistungsplattformen (z. B. Datenzentren und soziale Netzwerke).
Entscheidend dafür, ob Unternehmen von den neuen Rahmenbedingungen reguliert werden oder nicht, sind folgende Größenkriterien:
Darüber hinaus gibt es Bereiche, die unabhängig von Schwellenwerten oder anderer Bemessungsgrundlagen betroffen sind. Zu diesen zählen unter anderem Anbieter elektronischer Kommunikation, nationale Monopole, die besonders wichtig sind oder grenzüberschreitend agieren sowie die öffentliche Verwaltung.
Kleine und Kleinstunternehmen sind wahrscheinlich nicht von der EU NIS2-Direktive betroffen. Allerdings können ausgewählte Unternehmen verpflichtet werden, sich mit den Cyber-Sicherheitsrisiken in ihren Lieferketten zu befassen und hier werden auch kleine und Kleinstunternehmen erwähnt. Je nachdem ob sie an Lieferketten wesentlicher oder wichtiger Einrichtungen beteiligt sind, können sie trotz der unterschrittenen Mindestanforderungen in den Anwendungsbereich fallen.
Neben der Erweiterung des Adressatenkreises von kritischen Sektoren hin zu wesentlichen und wichtigen Sektoren sind vor allem die Vorschriften für Aufsichtsmaßnahmen, Zusammenarbeit und Kooperation sowie die Anforderungen an das Risikomanagement verschärft worden. Mit NIS2 wird Unternehmen ein Risikomanagementkonzept vorgeschrieben, indem grundlegende Sicherheitselemente enthalten sind. Es gibt klare Bestimmungen zu Meldeverfahren von Cybervorfällen, den Inhalten der Berichte und Fristen.
Zu den Mindestanforderungen gehören unter anderen folgenden Cybersecurity-Maßnahmen:
Daneben spielen europäische und internationale Standards eine Rolle. Signifikante Sicherheitsvorfälle müssen, wie bei der DSGVO, innerhalb von 24 Stunden an die Behörde gemeldet werden. Eine umfassendere Einschätzung ist nach 72 Stunden fällig.
Damit die umfangreichen Pflichten und Meldevorschriften ordnungsgemäß eingehalten werden, müssen die nationalen Behörden strenge Aufsichtsmaßnahmen und Durchsetzungsanforderungen erfüllen. Zu diesen Governance-Maßnahmen seitens der Behörden gehören etwa Nachweise, regelmäßige wie zufällige Tests, Security Scans oder Akteneinsicht.
Sollten die geforderten Compliance-Regelungen missachtet werden, können die Aufsichtsbehörden öffentliche Warnungen aussprechen, die Betriebserlaubnis entziehen oder die Leitungsorgane persönlich haftbar machen. Verstoßen Unternehmen und Einrichtungen gegen die vorgeschriebenen Maßnahmen, können zudem hohe Bußgelder und scharfe Sanktionen verhängt werden. Hierbei kann es im Bereich wesentlicher Sektoren Strafen in Höhe von mindestens zehn Millionen Euro und bei den wichtigen Sektoren bis zu sieben Millionen Euro geben.
Noch ist der Ratifizierungsprozess nicht abgeschlossen. Der bereits im Mai 2022 zwischen Parlament und Rat vereinbarte NIS2-Gesetzesvorschlag wurde von den Abgeordneten am 10. November 2022 verabschiedet. Nach dieser Zustimmung des Parlaments muss auch der EU-Rat das Gesetz förmlich annehmen, bevor es im Amtsblatt der EU veröffentlicht wird und in Kraft tritt. Das könnte sogar noch 2022 der Fall sein. Wahrscheinlicher ist aber, dass das Gesetz 2023 in Kraft tritt. Nach der Verabschiedung in der EU müssen die Mitgliedsstaaten innerhalb von 21 Monaten die Regularien durch die eigene Gesetzgebung in nationales Recht überführen.
In Deutschland wurden mit dem IT-Sicherheitsgesetz im Jahr 2021 bereits einige Änderungen von NIS2 vorweggenommen, wie neue Sektoren, mehr Anforderungen im Bereich Cybersecurity und Sanktionen. Gleichzeitig fehlen jedoch einige Maßnahmen wie die Betroffenheit einzelner Unternehmen, so dass weitere Anpassungen durch entsprechende Gesetzesänderungen anstehen. Bis dahin bleiben alle Verpflichtungen aus der NIS-Richtlinie und die entsprechenden nationalen Vorschriften gültig.
Der niederländische Europaabgeordnete Bart Groothuis hat gesagt, dass diese europäische Richtlinie rund 160.000 Unternehmen helfen wird, ihre Sicherheit zu erhöhen und Europa zu einem sicheren Ort zum Leben und Arbeiten zu machen. Seiner Meinung nach ist die EU NIS2-Direktive die beste Cybersicherheitsgesetzgebung, die Europa je gesehen hat. Doch was bedeutet das für Unternehmen? Welche Maßnahmen müssen ergriffen werden?
Die wesentlichen Neuerungen der Reglungen betreffen das aktive Risikomanagement, die Ausweitung auf weitere Unternehmen und den Handlungsrahmen der Aufsichtsbehörden. Das heißt im ersten Schritt müssen alle Einrichtungen und Organisationen fundierte Risikoanalysen durchführen. Wie hoch ist das Potenzial von Cybervorfällen, wie groß sind die Auswirkungen und welche organisatorischen und technischen Maßnahmen sind zu implementieren, um adäquat auf das Risiko reagieren zu können?
Die Mindestanforderungen an die Cybersicherheitsstrategie, die in der NIS2-Richtlinie festgelegt sind, bieten hierzu mehr als nur eine Orientierungshilfe. Darüber hinaus werden die Unternehmen dazu verpflichtet, erhebliche Cybersicherheitsvorfälle zu melden. Und zwar so schnell wie möglich. Der Meldung folgt anschließend ein umfangreicher Bericht sowie einen Abschlussbericht, wenn der Vorfall behoben und die internen Maßnahmen komplett abgeschlossen sind.
Die überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) birgt für Unternehmen, Einrichtungen und Organisationen verschiedenster Größe beträchtliche Herausforderungen. Unternehmen sollten bereits jetzt aktiv werden und sich vorbereiten, um nicht ins Hintertreffen zu geraten, sondern der Regulatorik einen Schritt voraus sein.
Denn die aktuelle geopolitische Lage hat die globale Cyberlandschaft grundlegend verändert. Zu diesem Ergebnis kommt der diesjährige Cybersecurity-Bericht der europäischen Union, den die Agentur für Cybersicherheit, ENISA im Oktober 2022 veröffentlicht hat. Zudem werden Cyber-Delikten wie Ransomware und Phishing von Polizeibeamten weltweit als größte Bedrohung angesehen, wie im Global Crime Trend Report von Interpol zu lesen war.
Unter diesen Rahmenbedingungen bleibt die Bedrohungslage weiterhin hoch und es ist weniger die Frage, ob Unternehmen angegriffen werden, sondern wann. Zu dieser, für sich genommen schon, kritischen Bedrohungslage gesellt sich noch ein enormer Fachkräftemangel. Laut World Economic Forum fehlen weltweit rund drei Millionen Cybersecurity-Experten.
Die Kombination aus weiter steigenden Cybergefahren, immer mehr zu schützenden Assets und fehlendem IT-Sicherheitsknowhow führt zu einer toxischen Situation, in der es clevere, technologische Lösungen braucht. Dabei ist es wichtig, alle sicherheitsrelevanten Bereiche im Blick zu haben. Denn schon lange ist Cybersicherheit kein reines IT-Thema mehr, sondern betrifft auch die Operational Technology (OT) etwa in der Industrie 4.0.
Wir von Link11 adressieren diese Herausforderungen durch den KI-gestützten, automatisierten und Cloud-basierten DDoS-Schutz. Damit können Unternehmen, Behörden und KRITIS-Betreiber dem Fachkräftemangel entgegenwirken, gravierende Folgen von Cybervorfällen abwenden und regulatorische Neuerungen problemlos implementieren. Die Link11-DDoS-Abwehr ist das Fundament für jede umfassende IT-Sicherheitsstrategie.
Gehen Sie proaktiv voran und besetzen die Poleposition. Wir erläutern Ihnen gerne, wie Sie die Herausforderung als Ihre Chance nutzen können. Kontaktieren Sie uns jederzeit gerne für ein persönliches Gespräch.
