Dass Internetkriminalität eine wachsende und ernstzunehmende Bedrohung verkörpert, ist schon lange weithin bekannt.
Leider zeigen Firmen weiterhin bloß wenig Engagement für die Cybersicherheit. Aufgrund dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie festgelegt, welche am 16. Januar 2023 in Kraft getreten ist. Diese Regel ersetzt die NIS-Direktive von 2016 und aktualisiert den derzeitigen Rechtsrahmen, um mit der wachsenden Digitalisierung und einer sich wandelnden Bedrohungslandschaft Schritttempo zu halten. In den anschließenden Absätzen erfahren Sie beispielsweise, was für Ziele die neue Richtlinie verfolgt, welche Auswirkungen sie auf Unternehmen hat sowie warum Unternehmen nicht länger trödeln sollten, proaktiv Maßnahmen zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu stärken.
Die Digitalisierung übt zweifellos einen tiefgreifenden Einfluss auf beinahe alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung moderner Geschäftsmodelle bis hin zur Verbesserung der Energiebilanz – der digitale Wandel verändert nicht bloß Arbeitsvorgänge, Kommunikation oder Informationszugang, sondern eröffnet Unternehmen ebenfalls ungeahnte Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung wie auch Ausweitung.
Dennoch ist der Fortgang auch ein idealer Nährboden für Internetkriminalität. Jeden Tag werden groß angelegte und gezielte Internetangriffe ausgeführt, bei welchen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und maximalen Profit zu erlangen. Der deutschen Wirtschaft bildet sich dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro.
Angesichts jener Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Unternehmen für erweiterte gesetzliche Vorgaben aus, welche jedes Unternehmen dazu bestimmen, angemessene Maßnahmen zur Kräftigung ihrer Cybersicherheit zu fassen.
Genau an dieser Stelle kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist.
NIS-2-Richtlinie: Grundlagen & Definition
Bei der EU-NIS-2-Richtlinie, ebenso bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit bzw. Richtlinie (EU) 2022/2555, dreht es sich um eine erneuerte Version der originalen NIS-Richtlinie, welche im Jahr 2016 von der Europäischen Union eingeführt wurde. Das Ziel der neuen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu erhöhen sowie ein durchgängiges Schutzniveau für systemrelevante Landschaften in der EU zu etablieren. Im Vergleich zu ihrer Vorgängerin erweitert die aktuelle EU-NIS-2-Richtlinie das Ausmaß der geschädigten Unternehmen, intensiviert die Pflichten der Betroffenen und erweitert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.
Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Anschließend wird die Kommission in regelmäßigen Abständen das ordnungsgemäße Funktionieren der Richtlinie inspizieren, wobei die erste Überprüfung bis zum 17. Oktober 2027 erfolgen muss.
Von EU-NIS-1 zu EU-NIS-2: Der Kampf gegen Internetkriminalität in Europa intensiviert sich
Das Bestreben, ein homogenes Cybersicherheitsniveau in der gesamten Europäischen Union zu erreichen, ist absolut nicht neu. Bereits im Jahr 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel jener Richtlinie lag darin, einen rechtlichen Rahmen für den Bau nationaler Cybersicherheitskapazitäten in der Europäischen Union zu kreieren, die Zusammenarbeit der Mitgliedstaaten zu optimieren und Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Infrastrukturen wie auch gesonderte Anbieter digitaler Dienste festzulegen.
Jedoch gab es bei der richtigen Umsetzung der NIS-1-Richtlinie einige Schwachpunkte sowie Lücken. Unterschiedliche Interpretationen und Anwendungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung und einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht genug gerecht werden.
Auf Basis dieser Einsichten wurde die EU-NIS-2-Richtlinie ausgearbeitet. Die verschärften Schritte sollen garantieren, dass die Richtlinie befolgt wird und das allgemeine Cybersicherheitsniveau in der Europäischen Union weiter verbessert wird.
EU-NIS-2: Modifizierter und erweiterter Anwendungsbereich
Mit der Ausweitung des Geltungsbereichs auf eine breitere Palette von Unternehmen und Sektoren bringt die EU-NIS-2-Richtlinie erhebliche Folgen mit sich. Sie nimmt keinesfalls nur traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt ebenso neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Mittelpunkt. Jene neu erfassten Sektoren werden nun als „Wesentliche Einrichtungen“ anerkannt und spielen eine maßgebliche Rolle in unserer Wirtschaft und Infrastruktur.
Zusätzlich zu den „Wesentlichen Einrichtungen“ definiert die neue Richtlinie eine weitere Kategorie, welche „Wichtigen Einrichtungen“. Jene Kategorie gliedert die Firmen graduell nach Kritikalität und Abhängigkeiten von anderen Sektoren. Losgelöst von jener Differenzierung gelten für Unternehmen beider Kategorien dieselben Anforderungen bezüglich Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt ebenso spezifische Kriterien fest, nach welchen Unternehmen von dieser Verordnung registriert werden. Insbesondere betrifft das Unternehmen mit mehr als 50 Mitarbeitern sowie einem Jahresumsatz von mehr als 10 Millionen Euro. Mit dieser sogenannten „Size-Cap-Rule“ möchte die Richtlinie gewährleisten, dass insbesondere Firmen, welche ein hohes Risiko für Internetangriffe darstellen und über genügend Mittel für überzeugende Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden.
Es gibt jedoch Ausnahmen für bestimmte Sektoren und Firmen. Losgelöst von deren Größe unterliegen Anbieter elektronischer Kommunikation, wichtige nationale Monopole sowie die öffentliche Verwaltung, welche wegen ihrer strategischen Wichtigkeit für die nationale Sicherheit und Infrastruktur von großer Maßgeblichkeit sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind kleinere Firmen meist von der Richtlinie befreit. Dennoch gibt es gewisse Sektoren und Bereiche, in denen die Regelungen unabhängig von ihrer Größe Anwendung finden.
Regelungen von EU-NIS-2 auf einen Blick
Um das Cybersicherheitsniveau in der EU zu verbessern, verlangt die NIS-2-Richtlinie von den Mitgliedstaaten sowie Unternehmen eine Reihe von Maßnahmen. Dabei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, welcher darauf abzielt, sämtliche Netzwerke, Informationssysteme und ihre physischen Umgebungen vor Sicherheitsvorfällen zu schützen.
Im Folgenden sind einige der wesentlichsten Vorgaben sowie Pflichten aufgezeigt:
1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verordnet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Diese Taktik soll die methodischen Ziele, erforderlichen Ressourcen sowie staatlichen und regulatorischen Maßnahmen umfassen, die nötig sind, um ein hohes Cybersicherheitsniveau zu erlangen sowie aufrechtzuerhalten.
2. Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Einrichtungen überzeugende und angemessen skalierbare technische, operative sowie organisatorische Schritte ergreifen. Zu jenen Maßnahmen zählen beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahrensweisen zur Bewertung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie und möglicherweise Verschlüsselung plus Multi-Faktor-Authentifizierungsverfahren.
3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht und Durchsetzung von Verpflichtigungen für wesentliche wie auch wichtige Einrichtungen erheblich verschärft. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen wie auch Stichproben durchzuführen sowie Informationen und Belege zur Umsetzung der Pflichten der betroffenen Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten befugt sein, Zwangs- und Bußgelder zu vollstrecken. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erlangen können – abhängig davon, was für ein Betrag höher ist.
4. Meldepflichten: Wesentliche und wichtige Einrichtungen sind gemäß der neuen Richtlinie dazu verpflichtet, „erhebliche Sicherheitsvorfälle“ prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Amtsstelle zu melden. Solche bedeutenden Sicherheitsvorfälle können beispielsweise große Datenverluste oder gravierende Cyberangriffe sein, die die Dienstleistungen des Unternehmens erheblich einschränken.
EU-NIS-2: Unterstützung durch IT-Dienstleister und externe Experten
Die Implementierung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, vor allem für Unternehmen, welche keinesfalls über genügend interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In solchen Situationen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten. Diese können Firmen in nachfolgenden Bereichen betreuen:
• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind in der Lage, eine fundierte Bewertung der gegebenen Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie fähig, potenzielle Sicherheitslücken zu identifizieren und gezielte Vorschläge für Verbesserungen anzubieten.
• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Fachkenntnisse können jene Spezialisten Firmen hierbei helfen, einen detaillierten und überzeugenden Cybersicherheitsplan zu gestalten, welcher den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der praktischen Umsetzung der im Cybersicherheitsplan festgelegten Schritte leisten. Sie stellen sicher, dass die implementierten Maßnahmen korrekt umgesetzt werden und die gesetzten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Diese Experten können auch routinemäßige Sicherheitsprüfungen durchführen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv sind und den Anforderungen der NIS-2-Richtlinie nachkommen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Reportage und Reaktion auf Sicherheitsvorfälle unterstützen. Sie können dabei helfen, die relevanten Informationen an die jeweiligen Behörden weiterzuleiten sowie überzeugende Schritte zur Beseitigung der Situation einzuführen.
Tatsache ist: Die EU-NIS-2 ist aktiv – und sie stellt zweifelsohne einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten und möglicher Sanktionen bietet diese betroffenen Firmen die Möglichkeit, ihre Cybersicherheit zu verbessern, geschäftskritische Daten zu schützen und das Vertrauen ihrer Kunden und Partner zu verstärken. Um die Anforderungen der Richtlinie effektiv zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern und externen IT-Sicherheitsexperten ausweichen. Mit ihrer Hilfestellung können sie die gesetzlichen Vorgaben erfüllen und fristgerecht geeignete sowie angemessen skalierbare technische, operative und organisatorische Maßnahmen einführen, ohne im Zuge dessen ihre eigenen IT-Ressourcen zu überlasten.
Benötigen auch Sie Unterstützung bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie laut der NIS-2-Richtlinie? Oder haben Sie noch andere Fragen zu diesem Thema? Kontaktieren Sie uns noch heute!
