Die Digitalisierung übt zweifellos einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung moderner Geschäftsmodelle bis hin zur Optimierung der Energiebilanz – der digitale Wandel ändert nicht bloß Arbeitsvorgänge, Kommunikation oder Informationszugang, sondern bietet Firmen ebenfalls unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Expansion.
Dennoch ist der Fortgang ebenso ein perfekter Nährboden für Internetkriminalität. Täglich werden groß angelegte und gezielte Internetangriffe durchgeführt, bei denen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und bestmöglichen Profit zu erlangen. Der deutschen Wirtschaft entsteht dadurch aktuell ein jährlicher Schaden von rund 203 Milliarden Euro.
Aufgrund dieser Bedrohungslage spricht sich inzwischen eine Mehrheit der Firmen für zusätzliche gesetzliche Richtlinien aus, die jedes Unternehmen dazu verpflichten, überzeugende Maßnahmen zur Kräftigung ihrer Cybersicherheit zu ergreifen.
Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist.
NIS-2-Richtlinie: Maßnahmen zur Stärkung der Netzwerk- und Informationssicherheit in Europa!
Bei der EU-NIS-2-Richtlinie, ebenso verbreitet als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555, dreht es sich um eine erneuerte Version der ursprünglichen NIS-Richtlinie, welche im Jahr 2016 von der EU eingeführt wurde. Die Absicht der neuartigen EU-Richtlinie ist es, die Widerstandsfähigkeit kritischer Netzwerke und Informationssysteme zu erhöhen und ein einheitliches Schutzniveau für systemrelevante Infrastrukturen in der EU zu etablieren. Im Vergleich zu ihrer Vorgängerin erweitert die neue EU-NIS-2-Richtlinie das Ausmaß der geschädigten Unternehmen, intensiviert die Verpflichtungen der Betroffenen und erweitert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.
Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Anschließend wird die Kommission in gleichmäßigen Intervallen das ordnungsgemäße Funktionieren der Richtlinie überprüfen, wobei die erste Begutachtung bis zum 17. Oktober 2027 passieren muss.
Von EU-NIS-1 zu EU-NIS-2: Cybersicherheit ohne Kompromisse!
Das Ziel, ein homogenes Cybersicherheitsniveau in der gesamten Europäischen Union zu erreichen, ist nicht neu. Bereits im Jahr 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel dieser Richtlinie bestand hierin, einen rechtlichen Rahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Kooperation der Mitgliedstaaten zu optimieren wie auch Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften und gesonderte Anbieter digitaler Dienste zu bestimmen.
Jedoch gab es bei der praktischen Umsetzung der NIS-1-Richtlinie ein paar Schwachpunkte und Lücken. Verschiedenartige Interpretationen sowie Nutzungen der Richtlinie in den Mitgliedstaaten leiteten zu fehlender Harmonisierung und einer widersprüchlichen Sicherheitslandschaft in der Europäischen Union. Außerdem konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht genug gerecht werden.
Auf Basis jener Erkenntnisse wurde die EU-NIS-2-Richtlinie ausgearbeitet. Die verschärften Maßnahmen sollen sicherstellen, dass die Richtlinie befolgt wird und das allgemeine Cybersicherheitsniveau in der Europäischen Union weiter verbessert wird.
Modifizierter und erweiterter Anwendungsbereich!
Mit der Ausweitung des Geltungsbereichs auf eine breitere Palette von Firmen und Sektoren bringt die EU-NIS-2-Richtlinie enorme Folgen mit sich. Sie nimmt keinesfalls bloß traditionelle und kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Blick, sondern rückt auch frische Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Diese neu integrierten Sektoren werden nun als "Wesentliche Einrichtungen" angesehen und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.
Zusätzlich zu den „Wesentlichen Einrichtungen“ bestimmt die neue Richtlinie eine weitere Kategorie, welche „Wichtigen Einrichtungen“. Diese Kategorie unterteilt die Firmen graduell nach Kritikalität und Abhängigkeiten von anderen Sektoren. Losgelöst von dieser Differenzierung gelten für Unternehmen beider Kategorien dieselben Anforderungen in Bezug auf Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt ebenso spezifische Kriterien fest, nach denen Firmen von jener Verordnung registriert werden. Insbesondere betrifft dies Firmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro. Mit dieser sogenannten „Size-Cap-Rule" möchte die Richtlinie sicherstellen, dass vor allem Unternehmen, die ein hohes Risiko für Internetangriffe darstellen und über genügend Mittel für angemessene Sicherheitsmaßnahmen verfügen, geeignet reguliert werden.
Es gibt aber Ausnahmen für manche Sektoren oder Unternehmen. Unabhängig von deren Größe unterliegen Anbieter elektronischer Interaktion, wichtige nationale Monopole und die öffentliche Verwaltung, die wegen ihrer strategischen Wichtigkeit für die nationale Sicherheit wie auch Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Ferner sind kleinere Firmen oft von der Richtlinie ausgenommen. Nichtsdestotrotz gibt es gewisse Sektoren und Bereiche, in welchen die Regelungen unabhängig von deren Größe Gebrauch finden.
EU-NIS-2: Neue Regeln, neue Chancen!
Um das Cybersicherheitsniveau in der EU zu optimieren, verlangt die NIS-2-Richtlinie von den Mitgliedstaaten sowie Firmen eine Reihe von Maßnahmen. Dabei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, der hierauf abzielt, alle Netzwerke, Informationssysteme sowie ihre physischen Bereiche vor Sicherheitsvorfällen abzusichern.
Im Nachfolgenden sind ein paar der wichtigsten Anforderungen und Pflichten aufgeführt:
1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verordnet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu entwickeln. Jene Strategie soll die methodischen Ziele, erforderlichen Mittel sowie politischen und regulatorischen Schritte umfassen, welche notwendig sind, um ein hohes Cybersicherheitsniveau zu erlangen sowie aufrechtzuerhalten.
2. Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Institutionen geeignete und angemessen skalierbare technische, operative sowie organisatorische Schritte ergreifen. Zu diesen Mitteln gehören etwa Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahren zur Bewertung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Einsatz von Kryptografie und möglicherweise Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Kontext der NIS-2-Richtlinie wird die Aufsicht und Durchsetzung von Pflichten für wesentliche und wichtige Einrichtungen erheblich ausgedehnt. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen und Stichproben umzusetzen sowie Informationen und Belege zur Umsetzung der Pflichten der betroffenen Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten berechtigt sein, Zwangs- und Bußgelder zu verhängen. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes belegt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erlangen können - abhängig davon, was für ein Betrag höher ist.
4. Meldepflichten: Wesentliche und wichtige Einrichtungen sind gemäß der neuen Richtlinie dazu verpflichtet, "erhebliche Sicherheitsvorfälle" umgehend dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Behörde zu melden. Solche erheblichen Sicherheitsvorfälle können zum Beispiel große Datenverluste oder gravierende Cyberangriffe sein, die die Dienstleistungen der Firma deutlich einschränken.
EU-NIS-2: IT-Dienstleister als Unterstützung für Unternehmen!
Die Einführung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, vor allem für Firmen, die keinesfalls über ausreichende interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In solchen Situationen können IT-Dienstleister und externe IT-Sicherheitsexperten eine nützliche Hilfestellung bieten. Sie können Unternehmen in nachfolgenden Bereichen unterstützen:
• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind in der Lage, eine umfangreiche Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit ihrem spezialisierten Wissen sind sie fähig, potenzielle Sicherheitslücken zu identifizieren und gezielte Vorschläge für Verbesserungen zu offerieren.
• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Kenntnisse können diese Spezialisten Firmen hierbei helfen, einen detailgenauen und überzeugenden Cybersicherheitsplan zu erstellen, welcher den spezifischen Vorgaben der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der wirklichen Implementierung der im Cybersicherheitsplan festgelegten Maßnahmen leisten. Sie stellen sicher, dass die implementierten Optimierungen korrekt umgesetzt werden und die beabsichtigten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Jene Fachleute können auch routinemäßige Sicherheitsprüfungen durchführen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen konstant effektiv sind und den Vorstellungen der NIS-2-Richtlinie nachkommen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister und externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle unterstützen. Sie können dabei helfen, die relevanten Informationen an die jeweiligen Behörden weiterzuleiten sowie überzeugende Schritte zur Behebung der Situation einzuführen.
Fazit: Die Uhr tickt!
Tatsache ist: Die EU-NIS-2 ist in Kraft – und sie stellt zweifelsohne einen bedeutenden Schritt zur Kräftigung der Cybersicherheit in der Europäischen Union dar. Trotz strenger Sicherheitsstandards, Meldepflichten wie auch etwaiger Sanktionen bietet sie betroffenen Unternehmen die Möglichkeit, ihre Cybersicherheit zu optimieren, geschäftskritische Daten abzusichern sowie das Vertrauen ihrer Klienten und Partner zu verstärken. Um die Anforderungen der Richtlinie effektiv zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern und externen IT-Sicherheitsexperten ausweichen. Mit ihrer Unterstützung können sie die gesetzlichen Vorgaben einhalten und rechtzeitig geeignete und angemessen skalierbare technische, operative wie auch organisatorische Maßnahmen umsetzen, ohne dabei ihre hauseigenen IT-Ressourcen zu überlasten.
Brauchen auch Sie Unterstützung bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch weitere Fragen zu diesem Thema? Benachrichtigen Sie uns noch heute!