EU-NIS-2: Was Unternehmen über die neue Cybersicherheitsrichtlinie wissen müssen!
Dass Internetkriminalität eine steigende und ernstzunehmende Bedrohung darstellt, ist schon lange bekannt. Bedauerlicherweise zeigen Firmen weiterhin nur wenig Einsatz für die Cybersicherheit. Aufgrund dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie festgelegt, welche am 16. Januar 2023 in Kraft getreten war. Jene Richtlinie erneuert die NIS-Direktive von 2016 und modernisiert den bestehenden Rechtsrahmen, um mit der wachsenden Digitalisierung sowie einer sich wandelnden Bedrohungslandschaft Schritt zu halten. In den folgenden Absätzen lesen Sie unter anderem, was für Ziele die aktualisierte Richtlinie verfolgt, welche Auswirkungen sie auf Unternehmen hat sowie warum Unternehmen nicht noch weiter trödeln sollten, proaktiv Maßnahmen zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu stärken.
Die Digitalisierung übt definitiv einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung neuer Geschäftsmodelle bis hin zur Verbesserung der Energiebilanz – der digitale Wandel verändert nicht nur Arbeitsweisen, Kommunikation und Informationszugang, sondern bietet Unternehmen auch unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Expansion.
Allerdings ist der Fortschritt ebenso ein idealer Nährboden für Internetkriminalität. Täglich werden groß angelegte und bewusste Internetangriffe durchgeführt, bei denen Firmen infiltriert werden, um geschäftskritische Daten zu stehlen und bestmöglichen Profit zu bekommen. Der deutschen Wirtschaft bildet sich dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022).
Angesichts jener Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Unternehmen für erweiterte gesetzliche Richtlinien aus, die jedes Unternehmen dazu bestimmen, angemessene Maßnahmen zur Stärkung ihrer Cybersicherheit zu ergreifen.
Genau an dieser Stelle kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 in Kraft getreten ist.
NIS-2-Richtlinie: Grundlagen & Definition!
Bei der EU-NIS-2-Richtlinie, auch verbreitet als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), handelt es sich um eine überarbeitete Version der originalen NIS-Richtlinie, die im Jahr 2016 von der EU eingeführt wurde. Die Absicht der neuen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu erhöhen und ein einheitliches Schutzniveau für systemrelevante Infrastrukturen in der EU durchzusetzen. Im Vergleich zu ihrer Vorgängerin ergänzt die aktuelle EU-NIS-2-Richtlinie das Ausmaß der betroffenen Unternehmen, intensiviert die Pflichten der Betroffenen und vergrößert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.
Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 die Möglichkeit, die Richtlinie in nationales Recht umzusetzen. Anschließend wird die Kommission in regelmäßigen Abständen das ordnungsgemäße Funktionieren der Richtlinie inspizieren, wobei die erste Überprüfung bis zum 17. Oktober 2027 passieren muss.
Von EU-NIS-1 zu EU-NIS-2: Die Entwicklung von EU-NIS-2: Der Kampf gegen Internetkriminalität in Europa intensiviert sich!
Das Ziel, ein homogenes Cybersicherheitsniveau in der kompletten EU zu erreichen, ist nicht neu. Bereits 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel jener Richtlinie lag darin, einen rechtlichen Kontext für den Aufbau nationaler Cybersicherheitskapazitäten in der Europäischen Union zu kreieren, die Zusammenarbeit der Mitgliedstaaten zu verbessern und Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Infrastrukturen und bestimmte Anbieter digitaler Dienste zu bestimmen.
Allerdings gab es bei der praktischen Umsetzung der NIS-1-Richtlinie einige Schwachpunkte sowie Lücken. Verschiedenartige Interpretationen und Anwendungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung und einer widersprüchlichen Sicherheitslandschaft in der Europäischen Union. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht genug gerecht werden.
Auf Basis jener Erkenntnisse wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Schritte sollen garantieren, dass die Richtlinie befolgt wird und das allgemeine Cybersicherheitsniveau in der Europäischen Union weiter ausgebessert wird.
Wer ist von den Anforderungen konkret betroffen?
Mit der Expansion des Geltungsbereichs auf eine größere Palette von Unternehmen und Sektoren bringt die EU-NIS-2-Richtlinie erhebliche Folgen mit sich. Sie nimmt keinesfalls bloß traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt auch neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Jene neu erfassten Sektoren werden mittlerweile als „Wesentliche Einrichtungen“ anerkannt und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.
Obendrein zu den „Wesentlichen Einrichtungen“ bestimmt die neue Richtlinie eine weitere Kategorie, welche „Wichtigen Einrichtungen“. Diese Kategorie unterteilt die Firmen graduell nach Kritikalität sowie Abhängigkeiten von anderen Sektoren. Unabhängig von dieser Differenzierung gelten für Unternehmen beider Kategorien dieselben Anforderungen bezüglich Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt auch spezifische Kriterien fest, nach welchen Unternehmen von dieser Verordnung erfasst werden. Insbesondere betrifft das Unternehmen mit mindestens 50 Mitarbeitern sowie einem Jahresumsatz von mindestens 10 Millionen Euro. Mit dieser sogenannten „Size-Cap-Rule“ möchte die Richtlinie sicherstellen, dass vor allem Firmen, die ein hohes Risiko für Internetangriffe darstellen und über genügend Mittel für angemessene Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden.
Es gibt jedoch Ausnahmen für manche Sektoren oder Unternehmen. Unabhängig von deren Größe unterliegen Anbieter elektronischer Interaktion, nennenswerte nationale Monopole sowie die öffentliche Verwaltung, die aufgrund ihrer strategischen Bedeutung für die nationale Sicherheit und Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Ferner sind weniger große Unternehmen oft von der Richtlinie ausgenommen. Nichtsdestotrotz gibt es spezielle Sektoren und Bereiche, in welchen die Regelungen unabhängig von ihrer Größe Anwendung finden.
Die Anforderungen und Pflichten von EU-NIS-2!
Um das Cybersicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten und Firmen eine Menge von Maßnahmen. Hierbei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, der hierauf abzielt, alle Netzwerke, Informationssysteme und ihre physischen Bereiche vor Sicherheitsvorfällen abzusichern.
Im Folgenden sind einige der wichtigsten Anforderungen und Pflichten aufgeführt:
- Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verpflichtet jeden Mitgliedsstaat hierzu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Diese Taktik soll die strategischen Ziele, nötigen Ressourcen sowie staatlichen und regulatorischen Schritte umfassen, die nötig sind, um ein hohes Cybersicherheitsniveau zu erreichen und aufrechtzuerhalten.
- Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Institutionen überzeugende und angemessen skalierbare technische, operative und organisatorische Maßnahmen ergreifen. Zu diesen Mitteln gehören etwa Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahren zur Einstufung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Einsatz von Kryptografie wie auch möglicherweise Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
- Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Pflichten für wesentliche und wichtige Einrichtungen erheblich verschärft. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen wie auch Stichproben durchzuführen sowie Informationen und Nachweise zur Erfüllung der Pflichten der entsprechenden Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten berechtigt sein, Zwangs- und Bußgelder zu verhängen. Wesentliche Einrichtungen können mit Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können – abhängig davon, welcher Betrag höher ist.
- Meldepflichten: Wesentliche und wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, „erhebliche Sicherheitsvorfälle“ umgehend dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Amtsstelle zu melden. Solche bedeutenden Sicherheitsvorfälle können beispielsweise große Datenverluste oder gravierende Cyberangriffe sein, die die Dienstleistungen des Unternehmens deutlich einschränken.
EU-NIS-2: Die Rolle externer IT-Sicherheitsexperten!
Die Implementierung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, insbesondere für Firmen, die keinesfalls über genügend interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In solchen Fällen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine nützliche Hilfestellung bieten. Diese können Firmen in nachfolgenden Bereichen betreuen:
• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind imstande, eine fundierte Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie fähig, potenzielle Sicherheitslücken zu identifizieren und konkrete Vorschläge für Verbesserungen anzubieten.
• Entwicklung eines umfassenden Cybersicherheitsplans: Dank ihrer Fachkenntnisse können jene Spezialisten Unternehmen dabei helfen, einen detaillierten und effizienten Cybersicherheitsplan zu erstellen, der den spezifischen Vorgaben der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der wirklichen Umsetzung der im Cybersicherheitsplan festgesetzten Maßnahmen leisten. Sie stellen klar, dass die implementierten Maßnahmen korrekt umgesetzt werden und die gesetzten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Diese Fachleute können auch routinemäßige Sicherheitsprüfungen durchführen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv sind und den Anforderungen der NIS-2-Richtlinie entsprechen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister und externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Reportage und Reaktion auf Sicherheitsvorfälle unterstützen. Sie können hierbei helfen, die wichtigen Informationen an die jeweiligen Behörden weiterzuleiten sowie überzeugende Schritte zur Beseitigung der Situation einzuführen.
Fazit: Es ist höchste Zeit aktiv zu werden!
Fakt ist: Die EU-NIS-2 ist in Kraft – und sie stellt definitiv einen bedeutenden Schritt zur Kräftigung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten und möglicher Sanktionen bietet sie betroffenen Firmen die Möglichkeit, ihre Cybersicherheit zu verbessern, geschäftskritische Daten zu schützen sowie das Vertrauen ihrer Klienten und Partner zu stärken. Um die Vorgaben der Richtlinie effektiv zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten ausweichen. Mit ihrer Hilfestellung können selbige die gesetzlichen Vorgaben erfüllen und rechtzeitig geeignete sowie angemessen skalierbare technische, operative und organisatorische Maßnahmen umsetzen, ohne im Zuge dessen ihre eigenen IT-Ressourcen zu überfordern.
Benötigen auch Sie Unterstützung bei der Durchführung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch weitere Fragen zu diesem Thema? Benachrichtigen Sie uns noch heute!