Dass Internetkriminalität eine wachsende wie auch ernstzunehmende Gefährdung darstellt, ist schon lange bekannt. Bedauerlicherweise zeigen Unternehmen weiterhin nur wenig Engagement für die Cybersicherheit. Angesichts dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie erlassen, die am 16. Januar 2023 in Kraft getreten ist. Jene Regel ersetzt die NIS-Direktive von 2016 und aktualisiert den derzeitigen Rechtsrahmen, um mit der zunehmenden Digitalisierung sowie einer sich wandelnden Bedrohungslandschaft Schritttempo zu halten. In den anschließenden Textabschnitten erfahren Sie beispielsweise, welche Ziele die neue Richtlinie verfolgt, welche Auswirkungen sie auf Unternehmen hat und warum Unternehmen nicht noch weiter zögern sollten, proaktiv Maßnahmen zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu bestärken.
Die Digitalisierung übt zweifellos einen starken Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung neuer Geschäftsmodelle bis hin zur Optimierung der Energieeffizienz – der digitale Wandel verändert nicht nur Arbeitsweisen, Kommunikation und Informationszugang, sondern eröffnet Firmen ebenfalls unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung wie auch Expansion.
Dennoch ist der Fortschritt auch ein idealer Nährboden für Internetkriminalität. Jeden Tag werden groß angelegte und gezielte Internetangriffe ausgeführt, bei welchen Firmen infiltriert werden, um geschäftskritische Daten zu stehlen und bestmöglichen Profit zu bekommen. Der deutschen Wirtschaft bildet sich dadurch aktuell ein jährlicher Schaden von rund 203 Milliarden Euro.
Angesichts dieser Bedrohungslage spricht sich inzwischen eine Mehrzahl der Unternehmen für erweiterte gesetzliche Vorgaben aus, welche jedes Unternehmen dazu bestimmen, überzeugende Maßnahmen zur Stärkung ihrer Cybersicherheit zu fassen.
Genau an dieser Stelle kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 in Kraft getreten ist.
NIS-2-Richtlinie: Ein Meilenstein in der EU-Cybersicherheit!
Bei der EU-NIS-2-Richtlinie, ebenso verbreitet als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555, handelt es sich um eine überarbeitete Version der ursprünglichen NIS-Richtlinie, die im Jahr 2016 von der Europäischen Union umgesetzt wurde. Das Ziel der neuartigen EU-Richtlinie ist es, die Widerstandsfähigkeit kritischer Netzwerke und Informationssysteme zu optimieren und ein durchgängiges Schutzniveau für systemrelevante Infrastrukturen in der EU durchzusetzen. Im Abgleich zu ihrer Vorgängerin ergänzt die neue EU-NIS-2-Richtlinie den Umfang der betroffenen Unternehmen, intensiviert die Pflichten der Betroffenen und erweitert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.
Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in regelmäßigen Abständen das ordnungsgemäße Klappen der Richtlinie inspizieren, wobei die erste Überprüfung bis zum 17. Oktober 2027 erfolgen muss.
Von EU-NIS-1 zu EU-NIS-2: Mehr Sektoren, strengere Anforderungen, erhöhter Schutz!
Das Ziel, ein einheitliches Cybersicherheitsniveau in der gesamten Europäischen Union zu erlangen, ist absolut nicht neu. Bereits im Jahr 2016 wurde die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel jener Richtlinie lag hierin, einen rechtlichen Kontext für den Aufbau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Kooperation der Mitgliedstaaten zu verbessern wie auch Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Infrastrukturen wie auch gesonderte Anbieter digitaler Dienste festzulegen.
Allerdings gab es bei der richtigen Umsetzung der NIS-1-Richtlinie einige Schwachpunkte und Lücken. Verschiedenartige Interpretationen und Anwendungen der Richtlinie in den Mitgliedstaaten leiteten zu fehlender Harmonisierung wie auch einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht genug gerecht werden.
Auf Grundlage dieser Einsichten wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Schritte sollen sicherstellen, dass die Richtlinie befolgt wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiterhin verbessert wird.
NIS 2 erweitert den Geltungsbereich!
Mit der Expansion des Geltungsbereichs auf eine breitere Palette von Firmen und Sektoren führt die EU-NIS-2-Richtlinie enorme Folgen mit sich. Sie nimmt nicht bloß traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt ebenso neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Diese neu integrierten Sektoren werden nun als „Wesentliche Einrichtungen“ anerkannt und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.
Zusätzlich zu den „Wesentlichen Einrichtungen“ bestimmt die neue Richtlinie eine weitere Kategorie, welche „Wichtigen Einrichtungen“. Diese Kategorie gliedert die Unternehmen graduell nach Kritikalität sowie Abhängigkeiten von anderweitigen Sektoren. Losgelöst von dieser Unterscheidung gelten für Unternehmen beider Kategorien die gleichen Anforderungen bezüglich Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt auch spezifische Kriterien fest, nach welchen Firmen von dieser Verordnung registriert werden. Vor allem betrifft dies Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro. Mit dieser sogenannten „Size-Cap-Rule“ möchte die Richtlinie gewährleisten, dass insbesondere Unternehmen, die ein hohes Risiko für Internetangriffe darstellen und über ausreichend Ressourcen für überzeugende Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden.
Es gibt aber Ausnahmen für bestimmte Sektoren oder Firmen. Unabhängig von deren Größe unterliegen Anbieter elektronischer Interaktion, wichtige nationale Monopole und die öffentliche Verwaltung, die aufgrund ihrer strategischen Wichtigkeit für die nationale Sicherheit wie auch Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Ferner sind weniger große Firmen meist von der Richtlinie ausgenommen. Dennoch gibt es gewisse Sektoren und Bereiche, in welchen die Regelungen unabhängig von ihrer Größe Anwendung finden.
EU-NIS-2: Neue Regeln, neue Chancen!
Um das Cybersicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten und Unternehmen eine Menge von Maßnahmen. Hierbei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, der hierauf abzielt, sämtliche Netzwerke, Informationssysteme und ihre physischen Bereiche vor Sicherheitsvorfällen abzusichern.
Im Folgenden sind einige der wesentlichsten Anforderungen und Pflichten aufgeführt:
- Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neue EU-NIS-2-Richtlinie verpflichtet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Diese Taktik soll die strategischen Ziele, erforderlichen Mittel sowie staatlichen und regulatorischen Maßnahmen umfassen, die notwendig sind, um ein hohes Cybersicherheitsniveau zu erlangen sowie aufrechtzuerhalten.
- Risikomanagementpflichten für Einrichtungen: Laut der NIS-2-Richtlinie sollen als wesentlich oder wichtig eingestufte Einrichtungen überzeugende und angemessen skalierbare technische, operative sowie organisatorische Maßnahmen ergreifen. Zu diesen Maßnahmen gehören etwa Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahren zur Einstufung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie wie auch möglicherweise Verschlüsselung plus Multi-Faktor-Authentifizierungsverfahren.
- Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht und Durchsetzung von Verpflichtigungen für wesentliche wie auch wichtige Einrichtungen deutlich verschärft. Die Mitgliedstaaten werden dazu angehalten, Vor-Ort-Kontrollen wie auch Stichproben umzusetzen sowie Informationen und Nachweise zur Erfüllung der Pflichten der entsprechenden Adressaten anzufordern. Darüber hinaus sollen die Mitgliedstaaten befugt sein, Zwangs- und Bußgelder zu verhängen. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erlangen können – abhängig davon, was für ein Betrag höher ist.
- Meldepflichten: Wesentliche wie auch wichtige Einrichtungen sind nach der neuen Richtlinie dazu verpflichtet, „erhebliche Sicherheitsvorfälle“ prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Behörde zu melden. Solche bedeutenden Sicherheitsvorfälle können beispielsweise große Datenverluste oder gravierende Cyberangriffe sein, welche die Dienstleistungen des Unternehmens deutlich einschränken.
EU-NIS-2: Professionelle Unterstützung bei der Umsetzung der NIS-2-Richtlinie!
Die Einführung der NIS-2-Richtlinie kann eine knifflige Aufgabe sein, insbesondere für Unternehmen, die keinesfalls über genügend interne Ressourcen oder Fachkenntnisse in der Cybersicherheit verfügen. In jenen Fällen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine nützliche Unterstützung bieten. Sie können Unternehmen in nachfolgenden Bereichen betreuen:
• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten sind imstande, eine umfangreiche Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu identifizieren und konkrete Ratschläge für Verbesserungen zu offerieren.
• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Fachkenntnisse können jene Spezialisten Firmen hierbei helfen, einen detaillierten und überzeugenden Cybersicherheitsplan zu gestalten, welcher den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten können nützliche Unterstützung bei der wirklichen Umsetzung der im Cybersicherheitsplan festgesetzten Schritte leisten. Sie stellen sicher, dass die implementierten Maßnahmen korrekt ausgeführt werden und die gesetzten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Jene Fachleute können auch routinemäßige Sicherheitsprüfungen bewerkstelligen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv sind und den Anforderungen der NIS-2-Richtlinie nachkommen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister und externe IT-Sicherheitsexperten können Firmen bei der effektiven Reportage und Reaktion auf Sicherheitsvorfälle unterstützen. Selbige können hierbei helfen, die wichtigen Informationen an die jeweiligen Behörden weiterzuleiten sowie angemessene Schritte zur Beseitigung der Situation einzuleiten.
Fazit: Ein Weckruf für Unternehmen!
Fakt ist: Die EU-NIS-2 ist in Kraft – und sie stellt definitiv einen wichtigen Schritt zur Stärkung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten und etwaiger Sanktionen bietet diese betroffenen Firmen die Möglichkeit, ihre Cybersicherheit zu optimieren, geschäftskritische Daten abzusichern und das Vertrauen ihrer Klienten und Partner zu stärken. Um die Anforderungen der Richtlinie wirksam zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten ausweichen. Mit der Unterstützung können sie die gesetzlichen Vorgaben erfüllen und rechtzeitig geeignete sowie angemessen skalierbare technische, operative wie auch organisatorische Maßnahmen einführen, ohne dabei ihre eigenen IT-Ressourcen zu überlasten.
Brauchen auch Sie Unterstützung bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch weitere Fragen zu diesem Thema? Kontaktieren Sie uns noch heute