Die NIS2-Richtlinie, auch „Directive on measures for a high common level of cybersecurity across the Union“ genannt, ist eine EU-Richtlinie, die ein hohes Niveau an Cybersicherheit in der gesamten Europäischen Union gewährleisten soll. Sie legt Standards und Anforderungen für die Sicherheit digitaler Dienste und kritischer Infrastrukturen fest, um die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedstaaten zu stärken.
Der Blick über den Tellerrand
Betroffen sind alle Unternehmen und Behörden mit mehr als 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro, die in einem der 18 Sektoren tätig sind. Außerdem sind einige Betreiber unabhängig von ihrer Größe reguliert, wie zum Beispiel Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.
Die NIS-2-Richtlinie: In aller Kürze!
Die EU-Richtlinie NIS 2, auch bekannt als Zweite Richtlinie für Netz- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), ist eine neue Version der ursprünglichen NIS-Richtlinie, die 2016 von der Europäischen Union eingeführt wurde. Ziel der neuen EU-Richtlinie ist es, die Widerstandsfähigkeit kritischer Netze sowie Informationssysteme zu erhöhen und ein einheitliches Schutzniveau für systemrelevante IT-Strukturen in der EU durchzusetzen. Im Vergleich zur vorherigen Richtlinie erweitert die aktuelle EU-NIS-2 den Kreis der in Frage kommenden Unternehmen, verschärft die Pflichten der Betroffenen und erweitert die Überwachungs- und Sanktionsbefugnisse der Behörden.
Von EU-NIS-1 zu EU-NIS-2 – scharfes Schwert?
Bereits 2016 wurde die erste Richtlinie zur Netz- und Informationssicherheit (NIS-1) von der EU umgesetzt. Ziel dieser Richtlinie war es, einen Rechtsrahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Zusammenarbeit zwischen den Mitgliedstaaten zu optimieren sowie Mindestsicherheitsanforderungen und Meldepflichten für kritische IT-Strukturen und bestimmte Anbieter digitaler Dienste festzulegen.
Die Umsetzung der NIS-1-Richtlinie wies jedoch einige Schwächen und Lücken auf. Unterschiedliche Auslegungen und Anwendungen der Richtlinie in den Mitgliedstaaten haben zu einem Mangel an Harmonisierung und einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union geführt. Darüber hinaus konnte die NIS-1-Richtlinie den anhaltenden Herausforderungen im Bereich der Cybersicherheit nicht ausreichend gerecht werden.
Basierend auf diesen Erkenntnissen wurde die EU-Richtlinie NIS 2 entwickelt. Die verschärften Maßnahmen sollen die Einhaltung der Richtlinie sicherstellen und das allgemeine Cybersicherheitsniveau in der Europäischen Union weiter verbessern.
NIS 2 erweitert den Geltungsbereich.
Durch die Ausweitung ihres Geltungsbereichs auf ein breiteres Spektrum von Unternehmen und Sektoren hat die NIS 2-Richtlinie der EU erhebliche Auswirkungen. Sie konzentriert sich nicht nur auf traditionelle und kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur, sondern auch auf neue Sektoren wie Abwasserwirtschaft, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion und Forschung. Diese neuen Sektoren werden nun als „wesentliche Einrichtungen“ anerkannt und spielen eine entscheidende Rolle in unserer Wirtschaft und Infrastruktur.
Zusätzlich zu den „wesentlichen Einrichtungen“ definiert die neue Richtlinie eine weitere Kategorie, die „wichtigen Einrichtungen“. In dieser Kategorie werden die Unternehmen nach ihrer Kritikalität und ihren Abhängigkeiten von anderen Sektoren abgestuft. Unabhängig von dieser Differenzierung gelten für Unternehmen beider Kategorien die gleichen Anforderungen an Meldepflichten und Risikomanagement.
Die NIS 2-Richtlinie legt auch spezifische Faktoren fest, nach denen Unternehmen unter diese Verordnung fallen. Dies betrifft vor allem Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mindestens 10 Millionen Euro (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32003H0361). Mit dieser sogenannten „Size-Cap-Rule“ will die Richtlinie sicherstellen, dass insbesondere Unternehmen, die ein hohes Risiko für Cyber-Angriffe darstellen und über ausreichende Mittel für überzeugende Sicherheitsmaßnahmen verfügen, angemessen reguliert werden.
Für bestimmte Branchen oder Unternehmen gibt es jedoch Sonderregelungen. Unabhängig von ihrer Größe fallen Anbieter elektronischer Kommunikation, wichtige nationale Monopole und die öffentliche Verwaltung aufgrund ihrer strategischen Bedeutung für die nationale Sicherheit und Infrastruktur in den Anwendungsbereich der EU-NIS-2-Richtlinie. Darüber hinaus sind kleinere Unternehmen häufig von der Richtlinie ausgenommen. Dennoch gibt es bestimmte Sektoren und Bereiche, die unabhängig von ihrer Größe unter die Richtlinie fallen.
EU-NIS-2 – konkrete Maßnahmen für die Cybersicherheit.
Um das Cyber-Sicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten und Unternehmen eine Reihe von Maßnahmen. Der Schwerpunkt liegt dabei auf dem „All-Gefahren-Ansatz“, der darauf abzielt, alle Netzwerke, Informationssysteme und ihre physische Umgebung vor Sicherheitsvorfällen zu schützen.
Im Nachfolgenden sind einige der wichtigsten Vorgaben sowie Pflichten aufgezeigt:
- Nationale Cyber-Sicherheitsstrategie und Stärkung der zwischenstaatlichen Zusammenarbeit: Die neue EU-Richtlinie NIS 2 verpflichtet jeden Mitgliedstaat, eine nationale Cyber-Sicherheitsstrategie zu entwickeln. Diese Strategie soll die methodischen Ziele, die erforderlichen Ressourcen sowie die politischen und regulatorischen Maßnahmen umfassen, die zur Erreichung und Aufrechterhaltung eines hohen Cybersicherheitsniveaus erforderlich sind.
- Risikomanagement-Pflichten für Einrichtungen: Gemäß der NIS 2-Richtlinie müssen Einrichtungen, die als kritisch oder wichtig eingestuft werden, überzeugende und angemessen skalierbare technische, betriebliche und organisatorische Maßnahmen ergreifen. Zu diesen Maßnahmen gehören beispielsweise das Backup-Management, die Notfallwiederherstellung von Daten, die Sicherheit der Lieferkette, Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen, Cyber-Hygiene, der Einsatz von Kryptografie sowie gegebenenfalls Verschlüsselung und Multi-Faktor-Authentifizierung.
- Stärkung der Aufsichts- und Sanktionsbefugnisse: Im Rahmen der NIS 2-Richtlinie werden die Aufsicht und die Durchsetzung der Pflichten für wesentliche und wichtige Einrichtungen deutlich ausgeweitet. Hierzu werden die Mitgliedstaaten verpflichtet, Kontrollen vor Ort und Stichprobenkontrollen durchzuführen sowie Informationen und Nachweise über die Erfüllung der Verpflichtungen der jeweiligen Adressaten anzufordern. Darüber hinaus sollen die Mitgliedstaaten die Befugnis erhalten, Zwangsgelder und Bußgelder zu verhängen. Gegen bedeutende Unternehmen können Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Gesamtumsatzes verhängt werden, gegen nicht bedeutende Unternehmen Geldbußen von bis zu 7 Millionen Euro oder bis zu 1,4 Prozent des Vorjahresumsatzes, je nachdem, welcher Betrag höher ist.
- Meldepflichten: Nach der neuen Richtlinie sind sowohl große als auch bedeutende Unternehmen verpflichtet, „erhebliche Sicherheitsvorfälle“ unverzüglich dem nationalen Computer Security Incident Response Team (CSIRT) oder der zuständigen Behörde zu melden. Solche erheblichen Sicherheitsvorfälle können z.B. große Datenverluste oder schwerwiegende Cyber-Angriffe sein, die die Dienstleistungen des Unternehmens erheblich einschränken.
EU-NIS-2: Professionelle Unterstützung bei der Umsetzung der NIS-2-Richtlinie!
Die Umsetzung der NIS 2-Richtlinie kann eine anspruchsvolle Aufgabe sein, insbesondere für Unternehmen, die nicht über ausreichende interne Ressourcen oder Fachkenntnisse im Bereich der Cybersicherheit verfügen. In solchen Situationen können IT-Dienstleister und externe IT-Sicherheitsexperten wertvolle Unterstützung bieten. Sie können Unternehmen in folgenden Bereichen unterstützen:
- Analyse der bestehenden Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten sind in der Lage, eine umfassende Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Aufgrund ihres Fachwissens sind sie in der Lage, potenzielle Sicherheitslücken zu identifizieren und konkrete Verbesserungsvorschläge zu unterbreiten.
- Entwicklung eines umfassenden Cyber-Sicherheitsplans: Aufgrund ihres Fachwissens können diese Spezialisten Unternehmen dabei unterstützen, einen detaillierten und überzeugenden Cybersicherheitsplan zu entwickeln, der den spezifischen Anforderungen der NIS 2-Richtlinie entspricht.
- Einführung geeigneter Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten können bei der praktischen Umsetzung der im Cybersicherheitsplan festgelegten Schritte wertvolle Unterstützung leisten. Sie stellen sicher, dass die implementierten Maßnahmen korrekt durchgeführt werden
- Regelmäßige Sicherheitsüberprüfungen durchführen: Diese Experten können auch routinemäßige Sicherheitskontrollen durchführen, um sicherzustellen, dass die implementierten Sicherheitsmaßnahmen weiterhin wirksam sind und den Anforderungen der NIS-2-Richtlinie entsprechen.
- Meldung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister und externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle unterstützen. Sie können dabei helfen, wichtige Informationen an die zuständigen Behörden weiterzuleiten und überzeugende Schritte zur Behebung der Situation einzuleiten.
Fazit: Jetzt handeln, bevor es zu spät ist!
Fakt ist: Die EU-NIS-2 ist in Kraft – und sie ist zweifellos ein wichtiger Schritt zur Stärkung der Cybersicherheit in der EU. Trotz strenger Sicherheitsstandards, Meldepflichten und möglicher Sanktionen bietet sie den betroffenen Unternehmen die Chance, ihre Cybersicherheit zu optimieren, geschäftskritische Daten zu schützen und das Vertrauen ihrer Kunden und Partner zu stärken. Um die Anforderungen der Richtlinie effizient zu erfüllen, sollten Unternehmen auf die Expertise von IT-Dienstleistern und externen IT-Sicherheitsexperten zurückgreifen. Mit deren Unterstützung können sie die gesetzlichen Anforderungen erfüllen und zeitnah geeignete und angemessen skalierbare technische, betriebliche und organisatorische Maßnahmen umsetzen, ohne dabei die eigenen IT-Ressourcen zu überlasten.
