Mit dem Inkrafttreten der neuen EU-weiten Richtlinie für Cybersicherheit NIS2 gehen neue Vorschriften und Sicherheitsanforderungen für Unternehmen einher. Die erste europaweite Richtlinie für ein gemeinsames Cybersicherheitsniveau NIS von 2016 wurde 2023 um einige Punkte erweitert. Wir erläutern im Folgenden, welche Sektoren dieser erweiterten Richtlinie unterliegen und was Unternehmen und Behörden nun tun müssen.
Die zunehmende Vernetzung und Digitalisierung führen dazu, dass auch Angreifer sich verstärkt auf digitale Angriffsziele konzentrieren. Für ein gemeinsames Niveau der Cyber-Sicherheit innerhalb der EU wurde vor einigen Jahren die NIS-Richtlinie (Sicherheit von Netz- und Informationssystemen) ins Leben gerufen. Aufgrund der weiter gestiegenen Bedrohungslage im digitalen Raum hat die EU die Richtlinie Anfang des Jahres verfeinert und erweitert. Die Richtlinie verfolgt das Ziel, kritische Sektoren und Infrastrukturen innerhalb der EU besser zu schützen und sicherer zu machen. Dafür ist es notwendig, die Sicherheitsanforderungen für Unternehmen schnell und konsequent zu verschärfen, denn auch die Angreifer entwickeln ständig neue Strategien. Organisationen, die der Richtlinie unterliegen, müssen jetzt handeln, denn die Timeline sieht vor, dass spätestens im Herbst 2024 die Vorgaben in nationales Recht überführt worden sind. Doch welche Unternehmen sind überhaupt gemeint und was wird von ihnen verlangt?
Ergänzung um weitere Sektoren
Die NIS2-Richtlinie geht über die erste Version der Richtlinie hinaus und umfasst nun weitere Sektoren, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind. Darunter fallen Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Rechenzentrumsdienste, Abwasser- und Abfallwirtschaft, Herstellung kritischer Produkte, Post- und Kurierdienste sowie Einrichtungen der öffentlichen Verwaltung. Aber auch bestimmte Bereiche aus dem Gesundheitssektor und der Forschung unterliegen der Richtlinie, wenn es beispielsweise um die Entwicklung und Herstellung von Arzneimitteln geht. Die kritischen Sektoren erhöhen sich auf sieben. Die wichtigen Sektoren wachsen auf elf. Mittlerweile zählen 18 verschiedene Sektoren zur kritischen Infrastruktur. Die Richtlinie betrifft alle Unternehmen ab 50 Mitarbeitenden/10 Mio. EUR Umsatz. Einige Betreiber, zum Beispiel der digitalen Infrastruktur oder in der öffentlichen Verwaltung, sollen unabhängig von der Größe reguliert werden. Sie unterliegen alle dem vorgegebenen Sicherheitsstandard. Bei kleineren Unternehmen, die zu einem der Sektoren gehören, gibt es einen Ermessensspielraum, so dass sie nur an bestimmte Cyber-Security-Pflichten gebunden sind.
Erhöhte Sicherheitsanforderungen
Welche Sicherheitsanforderungen hat die EU-weite Richtlinie nun an Unternehmen und Behörden? Auch hier geht die zweite Fassung der Direktive über die erste hinaus. Die NIS2-Richtlinie verschärft die Anforderungen an das Cyber Security-Risikomanagement, zu deren Einhaltung Unternehmen verpflichtet sind. Organisationen müssen technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Cybersicherheitsrisiken zu bewältigen und die Auswirkungen potenzieller Vorfälle zu minimieren. Um diese Anforderung erfüllen zu können, sieht NIS2 konkrete, gezielte Maßnahmen vor, wie beispielsweise Richtlinien für Risiken und Informationssicherheit, Einrichtung eines Incident Managements, Maßnahmen zur Authentifikation, Trainings für Mitarbeitende, Vorgaben zur Verschlüsselung oder auch zur Notfallkommunikation. Ebenfalls ist die Absicherung der gesamten Lieferkette bis zur sicheren Entwicklung bei Zulieferern neu hinzugekommen.
Zusammenarbeit stärken
Um den Informationsaustausch und die Zusammenarbeit bei der Bewältigung von Cyberkrisen sowohl auf nationaler als auch auf EU-Ebene zu verbessern, gibt die Richtlinie präzise Meldepflichten für Vorfälle vor. Betroffene müssen ihre nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats unterrichten – ebenso wie ihre Kund:innen. Darüber hinaus gibt es strengere Aufsichtsmaßnahmen für nationale Behörden sowie strengere Durchsetzungsanforderungen sowie eine Liste von Verwaltungssanktionen, einschließlich Bußgeldern für Verstöße gegen das Cyber Security-Risikomanagement und die Meldepflichten.
Was folgt?
Die Mitgliedstaaten haben bis Oktober 2024 Zeit, um die NIS2-Richtlinie in nationales Recht umzusetzen. Während dieser Zeit erlassen und veröffentlichen die Mitgliedstaaten die Maßnahmen, die erforderlich sind, um dieser Richtlinie nachzukommen. In Deutschland hat das IT-Sicherheitsgesetz 2.0 einige Änderungen, wie die Erweiterung der Sektoren, schon vorweggenommen. Mehr dazu lesen Sie hier. Andere Vorkehrungen, wie die Betroffenheit mittlerer und großer Unternehmen von bestimmten Maßnahmen, fehlen jedoch noch und müssen per Änderungsgesetz oder -verordnung umgesetzt werden.
NIS2 wird also zu einer deutlichen Erweiterung der erfassten Einrichtungen führen und mit der Überführung in deutsches Recht (IT-Sicherheitsgesetz) neue Handlungsspielräume eröffnen, um unsere kritische Infrastruktur umfassend zu schützen. Um tatsächlich einen einheitlichen Cyber Security-Standard innerhalb der EU herbeizuführen, bedarf es der vereinten Kräfte von Unternehmen, Behörden und Sicherheitsspezialisten, die über Landesgrenzen hinweg eng zusammenarbeiten.
