EU-NIS-2: Ein Einblick in den neuen EU-Regelungsrahmen zur Cybersicherheit!

Dass Internetkriminalität eine steigende wie auch ernstzunehmende Bedrohung verkörpert, ist schon lange weithin bekannt. Bedauerlicherweise zeigen Unternehmen nach wie vor nur wenig Engagement für die Cybersicherheit. Angesichts dieser besorgniserregenden Situation hat die Europäische Union die EU-NIS-2-Richtlinie festgelegt, welche am 16. Januar 2023 in Kraft getreten ist. Diese Richtlinie ersetzt die NIS-Direktive von 2016 und aktualisiert den derzeitigen Rechtsrahmen, um mit der wachsenden Digitalisierung und einer sich wandelnden Bedrohungslandschaft Schritt zu halten. In den anschließenden Absätzen erfahren Sie unter anderem, welche Ziele die neue Richtlinie verfolgt, welche Auswirkungen sie auf Unternehmen hat und warum Unternehmen nicht noch weiter trödeln sollten, proaktiv Maßnahmen zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu stärken.

Die Digitalisierung übt zweifellos einen starken Einfluss auf beinahe alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Etablierung moderner Geschäftsmodelle bis hin zur Optimierung der Energiebilanz – der digitale Wandel verändert nicht nur Arbeitsweisen, Kommunikation oder Informationszugang, sondern bietet Firmen ebenfalls ungeahnte Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung wie auch Ausweitung.

Dennoch ist dieser Fortgang ebenso ein perfekter Nährboden für Internetkriminalität. Täglich werden groß angelegte wie auch gezielte Internetangriffe durchgeführt, bei denen Unternehmen infiltriert werden, um geschäftskritische Daten zu stehlen und bestmöglichen Profit zu bekommen. Der deutschen Wirtschaft entsteht dadurch aktuell ein jährlicher Schaden von rund 203 Milliarden Euro.
Aufgrund jener Bedrohungslage spricht sich gegenwärtig eine Mehrzahl der Unternehmen für zusätzliche gesetzliche Richtlinien aus, die jedes Unternehmen dazu bestimmen, überzeugende Maßnahmen zur Stärkung ihrer Cybersicherheit zu fassen.
Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist.

NIS-2-Richtlinie: Der Weg zu harmonisierter Cybersicherheit in der EU!

Bei der EU-NIS-2-Richtlinie, auch bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 , dreht es sich um eine erneuerte Version der originalen NIS-Richtlinie, welche im Jahr 2016 von der EU umgesetzt wurde. Das Ziel der neuen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke und Informationssysteme zu optimieren und ein einheitliches Schutzniveau für systemrelevante Infrastrukturen in der EU durchzusetzen. Im Abgleich zu ihrer Vorgängerin erweitert die neue EU-NIS-2-Richtlinie den Umfang der betroffenen Unternehmen, intensiviert die Pflichten der Betroffenen und vergrößert die Aufsichtsbefugnisse wie auch Sanktionsbefugnisse der Behörden.

Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Anschließend wird die Kommission in regelmäßigen Intervallen das ordnungsgemäße Klappen der Richtlinie überprüfen, wobei die erste Begutachtung bis zum 17. Oktober 2027 passieren muss.

Von EU-NIS-1 zu EU-NIS-2: Ein Blick hinter die Kulissen!

Das Ziel, ein einheitliches Cybersicherheitsniveau in der gesamten EU zu erreichen, ist nicht neu. Bereits im Jahr 2016 wurde die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU eingeführt. Das Ziel jener Richtlinie lag hierin, einen rechtlichen Rahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Zusammenarbeit der Mitgliedstaaten zu verbessern wie auch Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften wie auch gesonderte Anbieter digitaler Dienste festzulegen.

Allerdings gab es bei der praktischen Umsetzung der NIS-1-Richtlinie ein paar Schwachpunkte und Lücken. Verschiedenartige Interpretationen und Nutzungen der Richtlinie in den Mitgliedstaaten leiteten zu fehlender Harmonisierung wie auch einer widersprüchlichen Sicherheitslandschaft in der Europäischen Union. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht ausreichend gerecht werden.

Auf Grundlage dieser Einsichten wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Schritte sollen garantieren, dass die Richtlinie befolgt wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiterhin ausgebessert wird.

Modifizierter und erweiterter Anwendungsbereich!

Mit der Ausweitung des Geltungsbereichs auf eine breitere Palette von Firmen und Sektoren bringt die EU-NIS-2-Richtlinie enorme Folgen mit sich. Diese nimmt keinesfalls nur traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Blick, sondern rückt ebenso neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Mittelpunkt. Jene neu erfassten Sektoren werden nun als „Wesentliche Einrichtungen“ angesehen und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.

Obendrein zu den „Wesentlichen Einrichtungen“ definiert die neue Richtlinie eine weitere Kategorie, die „Wichtigen Einrichtungen“. Jene Kategorie unterteilt die Firmen graduell nach Kritikalität sowie Abhängigkeiten von anderweitigen Sektoren. Unabhängig von dieser Unterscheidung gelten für Firmen beider Kategorien dieselben Anforderungen in Bezug auf Meldepflichten und Risikomanagement.

Die NIS-2-Richtlinie legt auch spezifische Kriterien fest, nach welchen Firmen von jener Verordnung erfasst werden. Vor allem betrifft das Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro. Mit jener sogenannten „Size-Cap-Rule“ möchte die Richtlinie gewährleisten, dass vor allem Unternehmen, die ein hohes Risiko für Internetangriffe sind und über ausreichend Mittel für überzeugende Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden.

Es gibt jedoch Sonderfälle für manche Sektoren und Unternehmen. Losgelöst von ihrer Größe unterliegen Anbieter elektronischer Interaktion, nennenswerte nationale Monopole sowie die öffentliche Verwaltung, die aufgrund ihrer strategischen Wichtigkeit für die nationale Sicherheit wie auch Infrastruktur von großer Maßgeblichkeit sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind weniger große Firmen meist von der Richtlinie befreit. Nichtsdestotrotz gibt es spezielle Sektoren und Bereiche, in denen die Regelungen unabhängig von ihrer Größe Anwendung finden.

EU-NIS-2 fordert konkrete Maßnahmen für die Cybersicherheit!

Um das Cybersicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten und Firmen eine Menge von Maßnahmen. Dabei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, welcher darauf abzielt, sämtliche Netzwerke, Informationssysteme und ihre physischen Umgebungen vor Sicherheitsvorfällen zu schützen.

Im Nachfolgenden sind ein paar der wesentlichsten Vorgaben sowie Pflichten aufgeführt:
1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verordnet jeden Mitgliedsstaat hierzu, eine nationale Cybersicherheitsstrategie zu entwickeln. Diese Taktik soll die strategischen Ziele, erforderlichen Mittel sowie politischen und regulatorischen Schritte umfassen, die nötig sind, um ein hohes Cybersicherheitsniveau zu erlangen und aufrechtzuerhalten.

2. Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Einrichtungen geeignete und angemessen skalierbare technische, operative sowie organisatorische Maßnahmen ergreifen. Zu diesen Maßnahmen gehören beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahrensweisen zur Einstufung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie und gegebenenfalls Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.

3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Kontext der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Verpflichtigungen für wesentliche wie auch wichtige Einrichtungen deutlich ausgedehnt. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen und Stichproben umzusetzen sowie Informationen und Belege zur Umsetzung der Pflichten der betroffenen Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten befugt sein, Zwangs- und Bußgelder zu vollstrecken. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erlangen können – abhängig davon, welcher Betrag höher ist.

4. Meldepflichten: Wesentliche wie auch wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, „erhebliche Sicherheitsvorfälle“ prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der jeweiligen Behörde zu melden. Jene erheblichen Sicherheitsvorfälle können zum Beispiel große Datenverluste oder gravierende Cyberangriffe sein, welche die Dienstleistungen des Unternehmens deutlich einschränken.

EU-NIS-2: Unterstützung durch IT-Dienstleister und externe Experten!

Die Implementierung der NIS-2-Richtlinie kann eine knifflige Aufgabe sein, insbesondere für Firmen, die nicht über ausreichende interne Ressourcen oder Fachkenntnisse in der Cybersicherheit verfügen. In jenen Situationen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten. Sie können Firmen in nachfolgenden Bereichen unterstützen:

• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind in der Lage, eine umfangreiche Bewertung der gegebenen Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit ihrem spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu identifizieren und konkrete Ratschläge für Verbesserungen zu offerieren.

• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Fachkenntnisse können jene Spezialisten Unternehmen hierbei helfen, einen detailgenauen und überzeugenden Cybersicherheitsplan zu erstellen, der den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.

• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der praktischen Implementierung der im Cybersicherheitsplan festgesetzten Schritte leisten. Sie stellen sicher, dass die implementierten Optimierungen korrekt ausgeführt werden und die gesetzten Ziele erreichen.

• Durchführung regelmäßiger Sicherheitskontrollen: Jene Experten können auch routinemäßige Sicherheitsprüfungen durchführen, um zu gewährleisten, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv sind und den Vorstellungen der NIS-2-Richtlinie nachkommen.

• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister und externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Reportage und Reaktion auf Sicherheitsvorfälle helfen. Selbige können dabei helfen, die relevanten Informationen an die zuständigen Behörden weiterzuleiten und angemessene Schritte zur Behebung der Situation einzuführen.

Fazit: Ein Weckruf für Unternehmen!

 

Fakt ist: Die EU-NIS-2 ist aktiv – und sie stellt zweifelsohne einen wichtigen Schritt zur Kräftigung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten und möglicher Sanktionen bietet sie betroffenen Firmen die Möglichkeit, ihre Cybersicherheit zu verbessern, geschäftskritische Daten zu schützen sowie das Vertrauen ihrer Klienten und Partner zu verstärken. Um die Anforderungen der Richtlinie effektiv zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten ausweichen. Mit ihrer Unterstützung können selbige die gesetzlichen Vorgaben erfüllen und fristgerecht geeignete sowie angemessen skalierbare technische, operative und organisatorische Maßnahmen umsetzen, ohne im Zuge dessen ihre eigenen IT-Ressourcen zu überfordern.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an info@itleague.de