Dass Internetkriminalität eine steigende wie auch ernstzunehmende Gefährdung verkörpert, ist schon seit langem weithin bekannt. Leider zeigen Unternehmen nach wie vor nur wenig Engagement für die Cybersicherheit. Aufgrund dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie festgelegt, die am 16. Januar 2023 in Kraft getreten ist.
Jene Richtlinie erneuert die NIS-Direktive von 2016 und aktualisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich wandelnden Bedrohungslandschaft Schritt zu halten. In den folgenden Absätzen lesen Sie unter anderem, was für Ziele die neue Richtlinie verfolgt, welche Auswirkungen sie auf Unternehmen hat und warum Unternehmen nicht noch weiter zögern sollten, proaktiv Schritte zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu bestärken.
Die Digitalisierung übt zweifellos einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung moderner Geschäftsmodelle bis hin zur Optimierung der Energieeffizienz – der digitale Wandel verändert nicht nur Arbeitsweisen, Kommunikation oder Informationszugang, sondern eröffnet Unternehmen auch unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Expansion. Dennoch ist der Fortgang ebenso ein perfekter Nährboden für Internetkriminalität. Jeden Tag werden groß angelegte wie auch gezielte Internetangriffe durchgeführt, bei denen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und maximalen Profit zu erlangen. Der deutschen Wirtschaft entsteht dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022).Aufgrund dieser Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Unternehmen für zusätzliche gesetzliche Richtlinien aus, welche jedes Unternehmen dazu verpflichten, angemessene Maßnahmen zur Stärkung ihrer Cybersicherheit zu ergreifen.
Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 in Kraft getreten ist.
NIS-2-Richtlinie: In aller Kürze!
Bei der EU-NIS-2-Richtlinie, ebenso bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), handelt es sich um eine erneuerte Version der originalen NIS-Richtlinie, die im Jahr 2016 von der Europäischen Union eingeführt wurde. Das Ziel der neuen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu erhöhen und ein durchgängiges Schutzniveau für systemrelevante Landschaften in der EU durchzusetzen. Im Abgleich zu ihrer Vorgängerin ergänzt die aktuelle EU-NIS-2-Richtlinie das Ausmaß der geschädigten Unternehmen, intensiviert die Pflichten der Betroffenen und vergrößert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.
Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in gleichmäßigen Intervallen das ordnungsgemäße Klappen der Richtlinie überprüfen, wobei die erste Überprüfung bis zum 17. Oktober 2027 erfolgen muss.
Von EU-NIS-1 zu EU-NIS-2: Ein Blick hinter die Kulissen!
Das Ziel, ein homogenes Cybersicherheitsniveau in der gesamten EU zu erreichen, ist absolut nicht neu. Bereits im Jahr 2016 wurde die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel jener Richtlinie lag hierin, einen rechtlichen Kontext für den Bau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Kooperation der Mitgliedstaaten zu optimieren wie auch Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften und bestimmte Anbieter digitaler Services zu bestimmen. Jedoch gab es bei der richtigen Umsetzung der NIS-1-Richtlinie einige Schwachstellen und Lücken. Verschiedenartige Interpretationen sowie Anwendungen der Richtlinie in den Mitgliedstaaten leiteten zu fehlender Harmonisierung wie auch einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht ausreichend gerecht werden. Auf Basis jener Einsichten wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Schritte sollen garantieren, dass die Richtlinie eingehalten wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiterhin ausgebessert wird.
NIS 2 erweitert den Geltungsbereich!
Mit der Ausweitung des Geltungsbereichs auf eine breitere Palette von Firmen und Sektoren bringt die EU-NIS-2-Richtlinie erhebliche Auswirkungen mit sich. Sie nimmt keinesfalls bloß traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt auch neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Jene neu erfassten Sektoren werden nun als „Wesentliche Einrichtungen“ anerkannt und spielen eine maßgebliche Rolle in unserer Wirtschaft und Infrastruktur. Zusätzlich zu den „Wesentlichen Einrichtungen“ bestimmt die neue Richtlinie eine zusätzliche Kategorie, welche „Wichtigen Einrichtungen“. Diese Kategorie gliedert die Unternehmen graduell nach Kritikalität sowie Abhängigkeiten von anderen Sektoren.
Losgelöst von dieser Differenzierung gelten für Firmen beider Kategorien die gleichen Anforderungen in Bezug auf Meldepflichten und Risikomanagement. Die NIS-2-Richtlinie legt auch spezifische Faktoren fest, nach denen Unternehmen von jener Verordnung registriert werden. Vor allem betrifft dies Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mindestens 10 Millionen Euro. Mit jener sogenannten „Size-Cap-Rule“ möchte die Richtlinie sicherstellen, dass insbesondere Firmen, welche ein hohes Risiko für Internetangriffe darstellen und über ausreichend Mittel für überzeugende Sicherheitsmaßnahmen verfügen, geeignet reguliert werden. Es gibt jedoch Sonderfälle für bestimmte Sektoren oder Firmen. Losgelöst von deren Größe unterliegen Anbieter elektronischer Kommunikation, wichtige nationale Monopole und die öffentliche Verwaltung, welche wegen ihrer strategischen Bedeutung für die nationale Sicherheit wie auch Infrastruktur von großer Maßgeblichkeit sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind weniger große Firmen oft von der Richtlinie ausgenommen. Dennoch gibt es gewisse Sektoren und Bereiche, in denen die Regelungen unabhängig von ihrer Größe Gebrauch finden.
EU-NIS-2 fordert konkrete Maßnahmen für die Cybersicherheit!
Um das Cybersicherheitsniveau in der EU zu optimieren, verlangt die NIS-2-Richtlinie von den Mitgliedstaaten und Unternehmen eine Reihe von Maßnahmen. Hierbei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, der darauf abzielt, sämtliche Netzwerke, Informationssysteme sowie ihre physischen Bereiche vor Sicherheitsvorfällen abzusichern.
Im Nachfolgenden sind einige der wichtigsten Vorgaben sowie Pflichten aufgezeigt:
- Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neue EU-NIS-2-Richtlinie verordnet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Jene Strategie soll die methodischen Ziele, nötigen Mittel sowie politischen und regulatorischen Maßnahmen umfassen, die nötig sind, um ein hohes Cybersicherheitsniveau zu erreichen sowie aufrechtzuerhalten.
- Risikomanagementpflichten für Einrichtungen: Laut der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Einrichtungen überzeugende und angemessen skalierbare technische, operative und organisatorische Maßnahmen ergreifen. Zu jenen Maßnahmen zählen beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahren zur Bewertung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie wie auch möglicherweise Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
- Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht und Durchsetzung von Verpflichtigungen für wesentliche und wichtige Einrichtungen deutlich ausgedehnt. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen wie auch Stichproben durchzuführen sowie Informationen und Belege zur Erfüllung der Pflichten der entsprechenden Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten befugt sein, Zwangs- und Bußgelder zu vollstrecken. Wesentliche Einrichtungen können mit Strafen von bis zu 10 Millionen Euro oder auch 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können – abhängig davon, was für ein Betrag höher ist.
- Meldepflichten: Wesentliche wie auch wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, „erhebliche Sicherheitsvorfälle“ prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der jeweiligen Amtsstelle zu melden. Solche erheblichen Sicherheitsvorfälle können zum Beispiel große Datenverluste oder schwerwiegende Cyberangriffe sein, welche die Dienstleistungen der Firma erheblich einschränken.
EU-NIS-2: Professionelle Unterstützung bei der Umsetzung der NIS-2-Richtlinie!
Die Einführung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, insbesondere für Unternehmen, die keinesfalls über ausreichende interne Ressourcen oder Fachkenntnisse in der Cybersicherheit verfügen. In jenen Situationen können IT-Dienstleister und externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten.
Diese können Firmen in nachfolgenden Bereichen betreuen:
- Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten sind in der Lage, eine umfangreiche Bewertung der gegebenen Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu erkennen und konkrete Vorschläge für Verbesserungen zu offerieren.
- Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Fachkenntnisse können jene Spezialisten Firmen dabei helfen, einen detailgenauen und überzeugenden Cybersicherheitsplan zu gestalten, welcher den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.
- Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können nützliche Unterstützung bei der praktischen Umsetzung der im Cybersicherheitsplan festgelegten Schritte leisten. Sie stellen sicher, dass die implementierten Maßnahmen korrekt ausgeführt werden und die beabsichtigten Ziele erreichen.
- Durchführung regelmäßiger Sicherheitskontrollen: Jene Experten können auch routinemäßige Sicherheitsprüfungen durchführen, um zu gewährleisten, dass die implementierten Sicherheitsmaßnahmen konstant effektiv bleiben und den Anforderungen der NIS-2-Richtlinie entsprechen.
- Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Firmen bei der effektiven Reportage und Reaktion auf Sicherheitsvorfälle unterstützen. Sie können dabei helfen, die wichtigen Informationen an die zuständigen Behörden weiterzuleiten und überzeugende Schritte zur Behebung der Situation einzuleiten.
Fazit: Jetzt handeln, bevor es zu spät ist!
Tatsache ist: Die EU-NIS-2 ist in Kraft – und sie stellt definitiv einen wichtigen Schritt zur Kräftigung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten und möglicher Sanktionen bietet sie betroffenen Unternehmen die Möglichkeit, ihre Cybersicherheit zu optimieren, geschäftskritische Daten zu schützen sowie das Vertrauen ihrer Klienten und Partner zu verstärken. Um die Vorgaben der Richtlinie effektiv zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten zurückgreifen. Mit der Unterstützung können selbige die gesetzlichen Vorgaben einhalten und fristgerecht geeignete sowie angemessen skalierbare technische, operative wie auch organisatorische Maßnahmen umsetzen, ohne im Zuge dessen ihre eigenen IT-Ressourcen zu überfordern.
Brauchen auch Sie Unterstützung bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie laut der NIS-2-Richtlinie? Oder haben Sie noch weitere Fragen zu diesem Thema? Benachrichtigen Sie uns noch heute!
