EU-NIS-2: Was Unternehmen über die neue Cybersicherheitsrichtlinie wissen müssen!

Dass Internetkriminalität eine wachsende und ernstzunehmende Gefährdung darstellt, ist schon lange weithin bekannt. Bedauerlicherweise zeigen Unternehmen weiterhin bloß wenig Engagement für die Cybersicherheit. Aufgrund dieser besorgniserregenden Begebenheit hat die EU die EU-NIS-2-Richtlinie festgelegt, die am 16. Januar 2023 in Kraft getreten ist. Jene Richtlinie erneuert die NIS-Direktive von 2016 und modernisiert den derzeitigen Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich wandelnden Bedrohungslandschaft Schritt zu halten. In den folgenden Textabschnitten erfahren Sie unter anderem, welche Ziele die aktualisierte Richtlinie verfolgt, welche Konsequenzen sie auf Unternehmen hat sowie warum Unternehmen nicht noch weiter trödeln sollten, proaktiv Schritte zu fassen, um ihre Netzwerk- und Informationssicherheit zu bestärken.

Die Digitalisierung übt zweifellos einen starken Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung moderner Geschäftsmodelle bis hin zur Verbesserung der Energieeffizienz – der digitale Wandel verändert nicht nur Arbeitsweisen, Kommunikation oder Informationszugang, sondern eröffnet Firmen auch unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Expansion.
Allerdings ist dieser Fortschritt auch ein idealer Nährboden für Internetkriminalität. Täglich werden groß angelegte und gezielte Internetangriffe durchgeführt, bei welchen Firmen infiltriert werden, um geschäftskritische Daten zu klauen und maximalen Profit zu erlangen. Der deutschen Wirtschaft entsteht dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022).
Aufgrund jener Bedrohungslage spricht sich gegenwärtig eine Mehrzahl der Unternehmen für zusätzliche gesetzliche Richtlinien aus, welche jedes Unternehmen dazu verpflichten, angemessene Maßnahmen zur Stärkung ihrer Cybersicherheit zu fassen.
Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 in Kraft getreten ist.

NIS-2-Richtlinie: Eine Einführung! 

Bei der EU-NIS-2-Richtlinie, ebenso verbreitet als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), handelt es sich um eine erneuerte Version der originalen NIS-Richtlinie, die im Jahr 2016 von der EU umgesetzt wurde. Die Absicht der neuartigen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu optimieren und ein durchgängiges Schutzniveau für systemrelevante Landschaften in der EU zu etablieren. Im Vergleich zu ihrer Vorgängerin ergänzt die aktuelle EU-NIS-2-Richtlinie das Ausmaß der geschädigten Unternehmen, intensiviert die Verpflichtungen der Betroffenen und erweitert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden. 

Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 die Möglichkeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in regelmäßigen Intervallen das ordnungsgemäße Klappen der Richtlinie überprüfen, wobei die erste Begutachtung bis zum 17. Oktober 2027 erfolgen muss.

Von EU-NIS-1 zu EU-NIS-2: Die Notwendigkeit einer überarbeiteten Richtlinie!

Das Ziel, ein einheitliches Cybersicherheitsniveau in der kompletten Europäischen Union zu erreichen, ist nicht neu. Bereits im Jahr 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel jener Richtlinie lag darin, einen rechtlichen Rahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der Europäischen Union zu schaffen, die Kooperation der Mitgliedstaaten zu verbessern wie auch Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften und gesonderte Anbieter digitaler Dienste festzulegen.
Allerdings gab es bei der praktischen Umsetzung der NIS-1-Richtlinie einige Schwachpunkte und Lücken. Verschiedenartige Interpretationen und Anwendungen der Richtlinie in den Mitgliedstaaten leiteten zu fehlender Harmonisierung und einer uneinheitlichen Sicherheitslandschaft in der EU. Außerdem konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht ausreichend gerecht werden.
Auf Basis jener Einsichten wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Schritte sollen garantieren, dass die Richtlinie eingehalten wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiter verbessert wird.

Wer ist von NIS-2 betroffen? Ein Überblick!

Mit der Expansion des Geltungsbereichs auf eine breitere Palette von Firmen und Sektoren führt die EU-NIS-2-Richtlinie erhebliche Auswirkungen mit sich. Sie nimmt nicht bloß traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt ebenso neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Mittelpunkt. Jene neu erfassten Sektoren werden nun als "Wesentliche Einrichtungen" anerkannt und spielen eine maßgebliche Rolle in unserer Wirtschaft und Infrastruktur.
Obendrein zu den „Wesentlichen Einrichtungen“ bestimmt die neue Richtlinie eine zusätzliche Kategorie, welche „Wichtigen Einrichtungen“. Jene Kategorie unterteilt die Firmen graduell nach Kritikalität sowie Abhängigkeiten von anderweitigen Sektoren. Unabhängig von jener Unterscheidung gelten für Unternehmen beider Kategorien dieselben Anforderungen in Bezug auf Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt ebenso spezifische Kriterien fest, nach denen Firmen von dieser Verordnung erfasst werden. Insbesondere betrifft dies Firmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mindestens 10 Millionen Euro. Mit dieser sogenannten „Size-Cap-Rule" will die Richtlinie sicherstellen, dass vor allem Unternehmen, welche ein hohes Risiko für Internetangriffe darstellen und über ausreichend Mittel für angemessene Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden.
Es gibt aber Sonderfälle für manche Sektoren oder Firmen. Unabhängig von ihrer Größe unterliegen Anbieter elektronischer Interaktion, nennenswerte nationale Monopole und die öffentliche Verwaltung, welche wegen ihrer strategischen Wichtigkeit für die nationale Sicherheit und Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind weniger große Firmen meist von der Richtlinie ausgenommen. Nichtsdestotrotz gibt es gewisse Sektoren und Bereiche, in denen die Regelungen unabhängig von ihrer Größe Gebrauch finden.

EU-NIS-2: Anforderungen und Pflichten auf einen Blick!

Um das Cybersicherheitsniveau in der EU zu verbessern, fordert die NIS-2-Richtlinie von den Mitgliedstaaten und Firmen eine Reihe von Maßnahmen. Dabei liegt der Kern auf dem All-Gefahren-Ansatz, der hierauf abzielt, alle Netzwerke, Informationssysteme sowie ihre physischen Bereiche vor Sicherheitsvorfällen abzusichern.

Im Nachfolgenden sind einige der wesentlichsten Anforderungen und Pflichten aufgezeigt:
1.    Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neue EU-NIS-2-Richtlinie verpflichtet jeden Mitgliedsstaat hierzu, eine nationale Cybersicherheitsstrategie zu entwickeln. Diese Taktik soll die strategischen Ziele, erforderlichen Ressourcen sowie staatlichen und regulatorischen Schritte umfassen, welche notwendig sind, um ein hohes Cybersicherheitsniveau zu erlangen sowie aufrechtzuerhalten.
2.    Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie sollen als wesentlich oder wichtig eingestufte Einrichtungen überzeugende und angemessen skalierbare technische, operative sowie organisatorische Schritte ergreifen. Zu diesen Mitteln gehören etwa Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahren zur Einstufung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Einsatz von Kryptografie wie auch möglicherweise Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
3.    Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Pflichten für wesentliche und wichtige Einrichtungen deutlich ausgedehnt. Die Mitgliedstaaten werden dazu angehalten, Vor-Ort-Kontrollen und Stichproben durchzuführen sowie Informationen und Belege zur Umsetzung der Pflichten der betroffenen Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten berechtigt sein, Zwangs- und Bußgelder zu vollstrecken. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder auch 2 Prozent des weltweiten Gesamtumsatzes belegt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erlangen können - abhängig davon, was für ein Betrag höher ist. 
4.    Meldepflichten: Wesentliche und wichtige Einrichtungen sind gemäß der neuen Richtlinie dazu verpflichtet, "erhebliche Sicherheitsvorfälle" prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Behörde zu melden. Jene bedeutenden Sicherheitsvorfälle können beispielsweise große Datenverluste oder schwerwiegende Cyberangriffe sein, die die Dienstleistungen der Firma erheblich einschränken.

EU-NIS-2: Wie können sich Unternehmen vorbereiten?

Die Einführung der NIS-2-Richtlinie kann eine knifflige Aufgabe sein, insbesondere für Unternehmen, die keinesfalls über genügend interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In jenen Situationen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten. Diese können Unternehmen in folgenden Bereichen unterstützen:

•    Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind imstande, eine fundierte Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie fähig, potenzielle Sicherheitslücken zu identifizieren und konkrete Vorschläge für Verbesserungen anzubieten.
•    Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Fachkenntnisse können jene Spezialisten Unternehmen dabei helfen, einen detaillierten und überzeugenden Cybersicherheitsplan zu erstellen, der den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.
•    Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten können nützliche Unterstützung bei der wirklichen Umsetzung der im Cybersicherheitsplan festgelegten Schritte leisten. Sie stellen sicher, dass die implementierten Optimierungen korrekt ausgeführt werden und die beabsichtigten Ziele erreichen.
•    Durchführung regelmäßiger Sicherheitskontrollen: Jene Fachleute können auch routinemäßige Sicherheitsprüfungen durchführen, um zu gewährleisten, dass die implementierten Sicherheitsmaßnahmen konstant effektiv sind und den Anforderungen der NIS-2-Richtlinie entsprechen.
•    Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Firmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle unterstützen. Sie können hierbei helfen, die relevanten Informationen an die zuständigen Behörden weiterzuleiten sowie überzeugende Schritte zur Behebung der Situation einzuführen.

Fazit: Es ist höchste Zeit aktiv zu werden!

Tatsache ist: Die EU-NIS-2 ist aktiv – und sie stellt zweifelsohne einen wichtigen Schritt zur Stärkung der Cybersicherheit in der Europäischen Union dar. Trotz strenger Sicherheitsstandards, Meldepflichten wie auch etwaiger Sanktionen bietet sie betroffenen Firmen die Möglichkeit, ihre Cybersicherheit zu optimieren, geschäftskritische Daten abzusichern und das Vertrauen ihrer Kunden und Partner zu stärken. Um die Vorgaben der Richtlinie wirksam zu erfüllen, sollten jene auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten ausweichen. Mit ihrer Unterstützung können sie die gesetzlichen Vorgaben einhalten und rechtzeitig geeignete und angemessen skalierbare technische, operative und organisatorische Maßnahmen umsetzen, ohne im Zuge dessen ihre hauseigenen IT-Ressourcen zu überlasten.

Benötigen auch Sie Unterstützung bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch weitere Fragen zu diesem Thema? Kontaktieren Sie uns noch heute!