Dass Internetkriminalität eine wachsende wie auch ernstzunehmende Bedrohung verkörpert, ist schon lange weithin bekannt. Leider zeigen Unternehmen weiterhin bloß wenig Einsatz für die Cybersicherheit. Aufgrund dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie erlassen, die am 16. Januar 2023 in Kraft getreten war. Jene Regel erneuert die NIS-Direktive von 2016 und modernisiert den derzeitigen Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich wandelnden Bedrohungslandschaft Schritt zu halten.

In den anschließenden Absätzen erfahren Sie beispielsweise, welche Ziele die aktualisierte Richtlinie verfolgt, welche Auswirkungen sie auf Firmen hat sowie warum Unternehmen nicht noch weiter trödeln sollten, proaktiv Schritte zu fassen, um ihre Netzwerk- und Informationssicherheit zu bestärken.

Die Digitalisierung übt definitiv einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Etablierung neuer Geschäftsmodelle bis hin zur Optimierung der Energieeffizienz – der digitale Wandel ändert nicht bloß Arbeitsweisen, Kommunikation oder Informationszugang, sondern bietet Firmen ebenfalls unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Expansion.

Dennoch ist der Fortgang auch ein perfekter Nährboden für Internetkriminalität. Jeden Tag werden groß angelegte und bewusste Internetangriffe durchgeführt, bei denen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und bestmöglichen Profit zu erlangen. Der deutschen Wirtschaft bildet sich dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022)

Aufgrund jener Bedrohungslage spricht sich inzwischen eine Mehrzahl der Unternehmen für erweiterte gesetzliche Richtlinien aus, welche jedes Unternehmen dazu bestimmen, überzeugende Maßnahmen zur Stärkung ihrer Cybersicherheit zu ergreifen.

Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist.

NIS-2-Richtlinie: Der Weg zu harmonisierter Cybersicherheit in der EU!

Bei der EU-NIS-2-Richtlinie, auch bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), dreht es sich um eine überarbeitete Version der ursprünglichen NIS-Richtlinie, welche im Jahr 2016 von der EU umgesetzt wurde. Die Absicht der neuartigen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu erhöhen und ein einheitliches Schutzniveau für systemrelevante Infrastrukturen in der EU zu etablieren.

Im Abgleich zu ihrer Vorgängerin ergänzt die neue EU-NIS-2-Richtlinie den Umfang der geschädigten Unternehmen, intensiviert die Pflichten der Betroffenen und vergrößert die Aufsichtsbefugnisse wie auch Sanktionsbefugnisse der Behörden.

Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 die Möglichkeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in gleichmäßigen Intervallen das ordnungsgemäße Funktionieren der Richtlinie inspizieren, wobei die erste Begutachtung bis zum 17. Oktober 2027 passieren muss.

Von EU-NIS-1 zu EU-NIS-2: Mehr Sektoren, strengere Anforderungen, erhöhter Schutz!

Das Bestreben, ein einheitliches Cybersicherheitsniveau in der kompletten Europäischen Union zu erreichen, ist nicht neu. Bereits 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel dieser Richtlinie lag darin, einen rechtlichen Rahmen für den Bau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Zusammenarbeit der Mitgliedstaaten zu optimieren und Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften wie auch bestimmte Anbieter digitaler Dienste festzulegen.

Allerdings gab es bei der richtigen Umsetzung der NIS-1-Richtlinie ein paar Schwachpunkte und Lücken. Unterschiedliche Interpretationen sowie Anwendungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung wie auch einer widersprüchlichen Sicherheitslandschaft in der Europäischen Union. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht genug gerecht werden.

Auf Basis jener Einsichten wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Schritte sollen garantieren, dass die Richtlinie befolgt wird und das allgemeine Cybersicherheitsniveau in der Europäischen Union weiterhin ausgebessert wird.

Welche Sektoren die NIS2-Richtlinie betrifft und für wen sie interessant ist!

Mit der Expansion des Geltungsbereichs auf eine breitere Palette von Firmen und Sektoren führt die EU-NIS-2-Richtlinie enorme Auswirkungen mit sich. Sie nimmt nicht nur traditionelle und kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt ebenso frische Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus.

Diese neu integrierten Sektoren werden mittlerweile als „Wesentliche Einrichtungen“ angesehen und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.

Obendrein zu den „Wesentlichen Einrichtungen“ bestimmt die neue Richtlinie eine zusätzliche Kategorie, welche „Wichtigen Einrichtungen“. Jene Kategorie gliedert die Firmen graduell nach Kritikalität sowie Abhängigkeiten von anderweitigen Sektoren. Unabhängig von jener Unterscheidung gelten für Unternehmen beider Kategorien dieselben Anforderungen in Bezug auf Meldepflichten und Risikomanagement.

Die NIS-2-Richtlinie legt ebenso spezifische Kriterien fest, nach welchen Unternehmen von dieser Verordnung erfasst werden. Insbesondere betrifft dies Firmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro.

Mit dieser sogenannten „Size-Cap-Rule“ möchte die Richtlinie gewährleisten, dass vor allem Firmen, die ein hohes Risiko für Internetangriffe darstellen und über ausreichend Mittel für angemessene Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden.

Es gibt aber Sonderfälle für bestimmte Sektoren oder Firmen. Losgelöst von deren Größe unterliegen Anbieter elektronischer Interaktion, wichtige nationale Monopole sowie die öffentliche Verwaltung, welche aufgrund ihrer strategischen Bedeutung für die nationale Sicherheit und Infrastruktur von großer Maßgeblichkeit sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie.

Außerdem sind kleinere Unternehmen meist von der Richtlinie ausgenommen. Nichtsdestotrotz gibt es gewisse Sektoren und Bereiche, in welchen die Regelungen unabhängig von deren Größe Anwendung finden.

Die Sicherheitsanforderungen und Pflichten der Mitgliedsstaaten und Unternehmen auf einen Blick!

Um das Cybersicherheitsniveau in der EU zu optimieren, verlangt die NIS-2-Richtlinie von den Mitgliedstaaten und Firmen eine Reihe von Maßnahmen. Hierbei liegt der Kern auf dem All-Gefahren-Ansatz, der hierauf abzielt, alle Netzwerke, Informationssysteme sowie ihre physischen Bereiche vor Sicherheitsvorfällen abzusichern.

Im Folgenden sind einige der wichtigsten Vorgaben und Pflichten aufgeführt:

1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verpflichtet jeden Mitgliedsstaat hierzu, eine nationale Cybersicherheitsstrategie zu entwickeln. Diese Strategie soll die methodischen Ziele, erforderlichen Ressourcen sowie politischen und regulatorischen Maßnahmen umfassen, welche nötig sind, um ein hohes Cybersicherheitsniveau zu erlangen sowie aufrechtzuerhalten.
   
   
2. Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie sollen als wesentlich oder wichtig eingestufte Einrichtungen geeignete und angemessen skalierbare technische, operative und organisatorische Maßnahmen ergreifen. Zu jenen Maßnahmen gehören beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahrensweisen zur Bewertung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie und gegebenenfalls Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
   
   
3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Kontext der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Verpflichtigungen für wesentliche und wichtige Einrichtungen erheblich verschärft. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen und Stichproben umzusetzen sowie Informationen und Belege zur Erfüllung der Pflichten der entsprechenden Adressaten anzufordern. Darüber hinaus sollen die Mitgliedstaaten berechtigt sein, Zwangs- und Bußgelder zu verhängen. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder auch 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können – abhängig davon, welcher Betrag höher ist.
   
   
4. Meldepflichten: Wesentliche und wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, „erhebliche Sicherheitsvorfälle“ umgehend dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Amtsstelle zu melden. Jene bedeutenden Sicherheitsvorfälle können zum Beispiel große Datenverluste oder gravierende Cyberangriffe sein, welche die Dienstleistungen der Firma erheblich beeinträchtigen.

EU-NIS-2: Wie können sich Unternehmen vorbereiten?

Die Implementierung der NIS-2-Richtlinie kann eine knifflige Aufgabe sein, insbesondere für Unternehmen, welche keinesfalls über genügend interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In solchen Fällen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten. Sie können Unternehmen in folgenden Bereichen betreuen:

• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten sind in der Lage, eine umfangreiche Bewertung der gegebenen Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit ihrem spezialisierten Wissen sind sie fähig, potenzielle Sicherheitslücken zu erkennen und konkrete Ratschläge für Verbesserungen zu offerieren.
• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Kenntnisse können jene Spezialisten Unternehmen dabei helfen, einen detaillierten und effizienten Cybersicherheitsplan zu gestalten, welcher den spezifischen Vorgaben der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der wirklichen Implementierung der im Cybersicherheitsplan festgesetzten Schritte leisten. Sie stellen sicher, dass die implementierten Maßnahmen korrekt umgesetzt werden und die beabsichtigten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Diese Experten können auch routinemäßige Sicherheitsprüfungen durchführen, um zu gewährleisten, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv sind und den Vorstellungen der NIS-2-Richtlinie entsprechen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Firmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle unterstützen. Sie können hierbei helfen, die wichtigen Informationen an die jeweiligen Behörden weiterzuleiten und überzeugende Schritte zur Behebung der Situation einzuleiten.

Fazit: Der Countdown läuft!

Tatsache ist: Die EU-NIS-2 ist in Kraft – und sie stellt zweifelsohne einen bedeutenden Schritt zur Kräftigung der Cybersicherheit in der Europäischen Union dar. Trotz strenger Sicherheitsstandards, Meldepflichten und etwaiger Sanktionen bietet diese betroffenen Firmen die Möglichkeit, ihre Cybersicherheit zu verbessern, geschäftskritische Daten zu schützen sowie das Vertrauen ihrer Kunden und Partner zu verstärken.

Um die Anforderungen der Richtlinie wirksam zu erfüllen, sollten jene auf die Expertise von IT-Dienstleistern und externen IT-Sicherheitsexperten ausweichen. Mit ihrer Unterstützung können selbige die gesetzlichen Vorgaben erfüllen und rechtzeitig geeignete und angemessen skalierbare technische, operative wie auch organisatorische Maßnahmen einführen, ohne dabei ihre eigenen IT-Ressourcen zu überfordern.

Brauchen auch Sie Unterstützung bei der Durchführung einer ganzheitlichen IT-Sicherheitsstrategie laut der NIS-2-Richtlinie? Oder haben Sie noch andere Fragen zu diesem Thema? Benachrichtigen Sie uns noch heute!