EU-NIS-2: Ein Schritt in Richtung sichere digitale Zukunft!

EU-NIS-2: Ein Schritt in Richtung sichere digitale Zukunft!

21.02.2024

Dass Internetkriminalität eine wachsende und ernstzunehmende Bedrohung verkörpert, ist schon lange weithin bekannt. Leider zeigen Unternehmen weiterhin nur wenig Engagement für die Cybersicherheit. Angesichts dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie erlassen, welche am 16. Januar 2023 in Kraft getreten ist. Diese Regel ersetzt die NIS-Direktive von 2016 und aktualisiert den derzeitigen Rechtsrahmen, um mit der wachsenden Digitalisierung sowie einer sich wandelnden Bedrohungslandschaft Schritt zu halten. In den anschließenden Absätzen lesen Sie beispielsweise, was für Ziele die aktualisierte Richtlinie verfolgt, welche Konsequenzen diese auf Firmen hat und warum Unternehmen nicht länger trödeln sollten, proaktiv Schritte zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu bestärken.

Die Digitalisierung übt zweifellos einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Etablierung moderner Geschäftsmodelle bis hin zur Optimierung der Energiebilanz – der digitale Wandel ändert nicht nur Arbeitsvorgänge, Kommunikation und Informationszugang, sondern eröffnet Unternehmen auch unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung wie auch Ausweitung.

Dennoch ist der Fortschritt auch ein idealer Nährboden für Internetkriminalität. Täglich werden groß angelegte und gezielte Internetangriffe ausgeführt, bei denen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und maximalen Profit zu erlangen. Der deutschen Wirtschaft entsteht dadurch aktuell ein jährlicher Schaden von rund 203 Milliarden Euro (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022).

Angesichts dieser Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Firmen für erweiterte gesetzliche Vorgaben aus, welche jedes Unternehmen dazu verpflichten, überzeugende Maßnahmen zur Stärkung ihrer Cybersicherheit zu fassen.

Genau an dieser Stelle kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist.

NIS-2-Richtlinie: Maßnahmen zur Stärkung der Netzwerk- und Informationssicherheit in Europa!

Bei der EU-NIS-2-Richtlinie, ebenso verbreitet als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), dreht es sich um eine überarbeitete Version der originalen NIS-Richtlinie, die im Jahr 2016 von der EU eingeführt wurde. Das Ziel der neuen EU-Richtlinie ist es, die Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu optimieren sowie ein durchgängiges Schutzniveau für systemrelevante Infrastrukturen in der EU durchzusetzen. Im Abgleich zu ihrer Vorgängerin ergänzt die aktuelle EU-NIS-2-Richtlinie den Umfang der betroffenen Unternehmen, intensiviert die Pflichten der Betroffenen und vergrößert die Aufsichtsbefugnisse wie auch Sanktionsbefugnisse der Behörden.

Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Anschließend wird die Kommission in regelmäßigen Abständen das ordnungsgemäße Funktionieren der Richtlinie inspizieren, wobei die erste Begutachtung bis zum 17. Oktober 2027 erfolgen muss.

Von EU-NIS-1 zu EU-NIS-2: Cybersicherheit ohne Kompromisse!

Das Ziel, ein homogenes Cybersicherheitsniveau in der gesamten Europäischen Union zu erlangen, ist nicht neu. Bereits 2016 wurde die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU eingeführt. Das Ziel jener Richtlinie bestand hierin, einen rechtlichen Rahmen für den Bau nationaler Cybersicherheitskapazitäten in der Europäischen Union zu schaffen, die Kooperation der Mitgliedstaaten zu optimieren und Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften wie auch bestimmte Anbieter digitaler Services zu bestimmen.

Allerdings gab es bei der praktischen Umsetzung der NIS-1-Richtlinie einige Schwachpunkte sowie Lücken. Verschiedenartige Interpretationen und Anwendungen der Richtlinie in den Mitgliedstaaten leiteten zu fehlender Harmonisierung und einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union. Außerdem konnte die NIS-1-Richtlinie den fortwährenden Schwierigkeiten im Bereich der Cybersicherheit nicht genug gerecht werden.

Auf Grundlage jener Erkenntnisse wurde die EU-NIS-2-Richtlinie ausgearbeitet. Die verschärften Maßnahmen sollen sicherstellen, dass die Richtlinie befolgt wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiterhin verbessert wird.

Wer ist von NIS-2 betroffen? Ein Überblick!

Mit der Ausweitung des Geltungsbereichs auf eine größere Palette von Unternehmen und Sektoren führt die EU-NIS-2-Richtlinie erhebliche Auswirkungen mit sich. Diese nimmt keinesfalls nur traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Blick, sondern rückt ebenso neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Mittelpunkt. Jene neu integrierten Sektoren werden nun als "Wesentliche Einrichtungen" anerkannt und spielen eine relevante Rolle in der Wirtschaft und Infrastruktur.

Zusätzlich zu den „Wesentlichen Einrichtungen“ definiert die neue Richtlinie eine zusätzliche Kategorie, die „Wichtigen Einrichtungen“. Jene Kategorie gliedert die Firmen graduell nach Kritikalität sowie Abhängigkeiten von anderen Sektoren. Unabhängig von jener Unterscheidung gelten für Firmen beider Kategorien die gleichen Anforderungen in Bezug auf Meldepflichten und Risikomanagement.

Die NIS-2-Richtlinie legt auch spezifische Faktoren fest, nach denen Firmen von jener Verordnung erfasst werden. Vor allem betrifft das Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro. Mit jener sogenannten „Size-Cap-Rule" möchte die Richtlinie sicherstellen, dass vor allem Unternehmen, welche ein hohes Risiko für Internetangriffe darstellen und über genügend Ressourcen für angemessene Sicherheitsmaßnahmen verfügen, geeignet reguliert werden.

Es gibt aber Sonderfälle für manche Sektoren und Unternehmen. Losgelöst von ihrer Größe unterliegen Anbieter elektronischer Interaktion, wichtige nationale Monopole und die öffentliche Verwaltung, die aufgrund ihrer strategischen Bedeutung für die nationale Sicherheit wie auch Infrastruktur von großer Maßgeblichkeit sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Ferner sind weniger große Firmen meist von der Richtlinie befreit. Nichtsdestotrotz gibt es gewisse Sektoren und Bereiche, in welchen die Regelungen unabhängig von ihrer Größe Anwendung finden.

EU-NIS-2 fordert konkrete Maßnahmen für die Cybersicherheit!

Um das Cybersicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten sowie Unternehmen eine Reihe von Maßnahmen. Dabei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, welcher darauf abzielt, alle Netzwerke, Informationssysteme sowie ihre physischen Bereiche vor Sicherheitsvorfällen abzusichern.

Im Nachfolgenden sind einige der wichtigsten Anforderungen sowie Pflichten aufgeführt:

1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verpflichtet jeden Mitgliedsstaat hierzu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Diese Strategie soll die strategischen Ziele, nötigen Ressourcen sowie politischen und regulatorischen Maßnahmen umfassen, die nötig sind, um ein hohes Cybersicherheitsniveau zu erlangen sowie aufrechtzuerhalten.

2. Risikomanagementpflichten für Einrichtungen: Laut der NIS-2-Richtlinie sollen als wesentlich oder wichtig eingestufte Institutionen überzeugende und angemessen skalierbare technische, operative und organisatorische Maßnahmen ergreifen. Zu diesen Maßnahmen zählen beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahren zur Einstufung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie wie auch möglicherweise Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.

3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Kontext der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Verpflichtigungen für wesentliche und wichtige Einrichtungen erheblich verschärft. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen wie auch Stichproben umzusetzen sowie Informationen und Belege zur Umsetzung der Pflichten der entsprechenden Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten befugt sein, Zwangs- und Bußgelder zu verhängen. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können - abhängig davon, welcher Betrag höher ist.

4. Meldepflichten: Wesentliche und wichtige Einrichtungen sind gemäß der neuen Richtlinie dazu verordnet, "erhebliche Sicherheitsvorfälle" umgehend dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der jeweiligen Behörde zu melden. Solche bedeutenden Sicherheitsvorfälle können beispielsweise große Datenverluste oder gravierende Cyberangriffe sein, welche die Dienstleistungen der Firma deutlich beeinträchtigen.

EU-NIS-2: IT-Dienstleister als Unterstützung für Unternehmen!

Die Implementierung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, insbesondere für Unternehmen, die nicht über ausreichende interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In solchen Situationen können IT-Dienstleister und externe IT-Sicherheitsexperten eine wertvolle Hilfestellung bieten. Diese können Firmen in folgenden Bereichen betreuen:

• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten sind in der Lage, eine umfangreiche Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu identifizieren und konkrete Vorschläge für Verbesserungen anzubieten.

• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Kenntnisse können diese Spezialisten Firmen hierbei helfen, einen detaillierten und überzeugenden Cybersicherheitsplan zu gestalten, welcher den spezifischen Vorgaben der NIS-2-Richtlinie gerecht wird.

• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der praktischen Umsetzung der im Cybersicherheitsplan festgesetzten Schritte leisten. Sie stellen sicher, dass die implementierten Optimierungen korrekt umgesetzt werden und die gesetzten Ziele erreichen.

• Durchführung regelmäßiger Sicherheitskontrollen: Jene Fachleute können auch routinemäßige Sicherheitsprüfungen durchführen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen konstant effektiv bleiben und den Anforderungen der NIS-2-Richtlinie entsprechen.

• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Firmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle helfen. Selbige können hierbei helfen, die wichtigen Informationen an die jeweiligen Behörden weiterzuleiten sowie überzeugende Schritte zur Beseitigung der Situation einzuleiten.

Fazit: Der Countdown läuft!

Tatsache ist: Die EU-NIS-2 ist in Kraft – und sie stellt definitiv einen wichtigen Schritt zur Stärkung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten und etwaiger Sanktionen bietet sie betroffenen Unternehmen die Möglichkeit, ihre Cybersicherheit zu verbessern, geschäftskritische Daten abzusichern und das Vertrauen ihrer Kunden und Partner zu stärken. Um die Anforderungen der Richtlinie effektiv zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten zurückgreifen. Mit ihrer Unterstützung können selbige die gesetzlichen Vorgaben einhalten und rechtzeitig geeignete und angemessen skalierbare technische, operative wie auch organisatorische Maßnahmen einführen, ohne im Zuge dessen ihre hauseigenen IT-Ressourcen zu überfordern.

Brauchen auch Sie Hilfe bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch andere Fragen zu diesem Thema? Kontaktieren Sie uns noch heute!


Alle Artikel ansehen