Dass Internetkriminalität eine wachsende und ernstzunehmende Bedrohung darstellt, ist schon lange weithin bekannt. Leider zeigen Firmen nach wie vor nur wenig Engagement für die Cybersicherheit. Aufgrund dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie erlassen, welche am 16. Januar 2023 in Kraft getreten war. Jene Richtlinie erneuert die NIS-Direktive von 2016 und modernisiert den derzeitigen Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich wandelnden Bedrohungslandschaft Schritt zu halten. In den folgenden Textabschnitten lesen Sie unter anderem, welche Ziele die aktualisierte Richtlinie verfolgt, welche Auswirkungen sie auf Firmen hat sowie warum Unternehmen nicht länger trödeln sollten, proaktiv Maßnahmen zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu bestärken.
Die Digitalisierung übt definitiv einen starken Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Etablierung moderner Geschäftsmodelle bis hin zur Verbesserung der Energiebilanz – der digitale Wandel verändert nicht nur Arbeitsvorgänge, Kommunikation oder Informationszugang, sondern bietet Unternehmen auch ungeahnte Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Expansion.
Allerdings ist der Fortgang ebenso ein idealer Nährboden für Internetkriminalität. Täglich werden groß angelegte wie auch bewusste Internetangriffe durchgeführt, bei welchen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und bestmöglichen Profit zu bekommen. Der deutschen Wirtschaft bildet sich dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022).
Angesichts jener Bedrohungslage spricht sich inzwischen eine Mehrzahl der Firmen für erweiterte gesetzliche Richtlinien aus, die jedes Unternehmen dazu bestimmen, überzeugende Maßnahmen zur Kräftigung ihrer Cybersicherheit zu fassen.
Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist.
NIS2-Richtlinie: Grundlagen & Definition!
Bei der EU-NIS-2-Richtlinie, ebenso bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), dreht es sich um eine überarbeitete Version der ursprünglichen NIS-Richtlinie, welche im Jahr 2016 von der EU umgesetzt wurde. Die Absicht der neuen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke und Informationssysteme zu optimieren und ein einheitliches Schutzniveau für systemrelevante Landschaften in der EU durchzusetzen. Im Vergleich zu ihrer Vorgängerin ergänzt die aktuelle EU-NIS-2-Richtlinie das Ausmaß der geschädigten Unternehmen, intensiviert die Pflichten der Betroffenen und vergrößert die Aufsichtsbefugnisse wie auch Sanktionsbefugnisse der Behörden.
Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Anschließend wird die Kommission in gleichmäßigen Abständen das ordnungsgemäße Klappen der Richtlinie überprüfen, wobei die erste Überprüfung bis zum 17. Oktober 2027 passieren muss.
Von EU-NIS-1 zu EU-NIS-2: Mehr Sektoren, strengere Anforderungen, erhöhter Schutz!
Das Ziel, ein einheitliches Cybersicherheitsniveau in der gesamten EU zu erreichen, ist nicht neu. Bereits 2016 wurde die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel jener Richtlinie lag hierin, einen rechtlichen Rahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der Europäischen Union zu kreieren, die Zusammenarbeit der Mitgliedstaaten zu optimieren wie auch Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften wie auch gesonderte Anbieter digitaler Dienste festzulegen.
Jedoch gab es bei der richtigen Umsetzung der NIS-1-Richtlinie ein paar Schwachpunkte sowie Lücken. Unterschiedliche Interpretationen und Nutzungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung wie auch einer widersprüchlichen Sicherheitslandschaft in der EU. Darüber hinaus konnte die NIS-1-Richtlinie den fortwährenden Schwierigkeiten im Bereich der Cybersicherheit nicht genug gerecht werden.
Auf Basis dieser Einsichten wurde die EU-NIS-2-Richtlinie ausgearbeitet. Die verschärften Schritte sollen sicherstellen, dass die Richtlinie eingehalten wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiterhin ausgebessert wird.
Wer ist von den Anforderungen konkret betroffen?
Mit der Expansion des Geltungsbereichs auf eine größere Palette von Unternehmen und Sektoren bringt die EU-NIS-2-Richtlinie enorme Auswirkungen mit sich. Sie nimmt nicht nur traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Blick, sondern rückt ebenso frische Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Jene neu erfassten Sektoren werden nun als „Wesentliche Einrichtungen“ anerkannt und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.
Zusätzlich zu den „Wesentlichen Einrichtungen“ definiert die neue Richtlinie eine weitere Kategorie, welche „Wichtigen Einrichtungen“. Diese Kategorie gliedert die Unternehmen graduell nach Kritikalität und Abhängigkeiten von anderen Sektoren. Unabhängig von jener Unterscheidung gelten für Firmen beider Kategorien dieselben Anforderungen bezüglich Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt ebenso spezifische Kriterien fest, nach welchen Unternehmen von dieser Verordnung erfasst werden. Insbesondere betrifft dies Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mindestens 10 Millionen Euro. Mit dieser sogenannten „Size-Cap-Rule“ möchte die Richtlinie sicherstellen, dass vor allem Unternehmen, die ein hohes Risiko für Internetangriffe sind und über genügend Ressourcen für überzeugende Sicherheitsmaßnahmen verfügen, geeignet reguliert werden.
Es gibt aber Sonderfälle für manche Sektoren und Firmen. Losgelöst von deren Größe unterliegen Anbieter elektronischer Interaktion, wichtige nationale Monopole und die öffentliche Verwaltung, die wegen ihrer strategischen Wichtigkeit für die nationale Sicherheit wie auch Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Ferner sind kleinere Unternehmen meist von der Richtlinie befreit. Nichtsdestotrotz gibt es spezielle Sektoren und Bereiche, in welchen die Regelungen unabhängig von deren Größe Gebrauch finden.
EU-NIS-2: Neue Regeln, neue Chancen!
Um das Cybersicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten und Unternehmen eine Reihe von Maßnahmen. Dabei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, welcher darauf abzielt, alle Netzwerke, Informationssysteme sowie ihre physischen Umgebungen vor Sicherheitsvorfällen abzusichern.
Im Nachfolgenden sind einige der wichtigsten Anforderungen sowie Pflichten aufgezeigt:
- Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neue EU-NIS-2-Richtlinie verordnet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu entwickeln. Jene Strategie soll die methodischen Ziele, erforderlichen Mittel sowie politischen und regulatorischen Schritte umfassen, die notwendig sind, um ein hohes Cybersicherheitsniveau zu erreichen sowie aufrechtzuerhalten.
- Risikomanagementpflichten für Einrichtungen: Laut der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Institutionen überzeugende und angemessen skalierbare technische, operative und organisatorische Schritte ergreifen. Zu jenen Mitteln gehören etwa Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahrensweisen zur Einstufung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Einsatz von Kryptografie und gegebenenfalls Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
- Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Kontext der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Verpflichtigungen für wesentliche und wichtige Einrichtungen erheblich ausgedehnt. Die Mitgliedstaaten werden dazu angehalten, Vor-Ort-Kontrollen und Stichproben umzusetzen sowie Informationen und Nachweise zur Erfüllung der Pflichten der entsprechenden Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten berechtigt sein, Zwangs- und Bußgelder zu verhängen. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können – bedingt davon, welcher Betrag höher ist.
- Meldepflichten: Wesentliche wie auch wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, „erhebliche Sicherheitsvorfälle“ prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der jeweiligen Behörde zu melden. Solche bedeutenden Sicherheitsvorfälle können zum Beispiel große Datenverluste oder schwerwiegende Cyberangriffe sein, die die Dienstleistungen der Firma deutlich beeinträchtigen.
EU-NIS-2: Professionelle Unterstützung bei der Umsetzung der NIS-2-Richtlinie!
Die Einführung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, vor allem für Firmen, die keinesfalls über genügend interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In solchen Fällen können IT-Dienstleister und externe IT-Sicherheitsexperten eine nützliche Unterstützung bieten. Diese können Firmen in nachfolgenden Bereichen unterstützen:
• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind in der Lage, eine fundierte Bewertung der gegebenen Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie fähig, potenzielle Sicherheitslücken zu erkennen und gezielte Vorschläge für Verbesserungen anzubieten.
• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Kenntnisse können jene Spezialisten Unternehmen dabei helfen, einen detailgenauen und effizienten Cybersicherheitsplan zu erstellen, der den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der wirklichen Implementierung der im Cybersicherheitsplan festgelegten Schritte leisten. Sie stellen klar, dass die implementierten Optimierungen korrekt umgesetzt werden und die beabsichtigten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Jene Experten können auch routinemäßige Sicherheitsprüfungen durchführen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv bleiben und den Anforderungen der NIS-2-Richtlinie entsprechen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Firmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle unterstützen. Selbige können hierbei helfen, die relevanten Informationen an die zuständigen Behörden weiterzuleiten sowie angemessene Schritte zur Behebung der Situation einzuführen.
Fazit: Jetzt handeln, bevor es zu spät ist!
Fakt ist: Die EU-NIS-2 ist in Kraft – und sie stellt definitiv einen wichtigen Schritt zur Stärkung der Cybersicherheit in der Europäischen Union dar. Trotz strenger Sicherheitsstandards, Meldepflichten wie auch etwaiger Sanktionen bietet sie betroffenen Firmen die Chance, ihre Cybersicherheit zu optimieren, geschäftskritische Daten zu schützen und das Vertrauen ihrer Klienten und Partner zu stärken. Um die Vorgaben der Richtlinie wirksam zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten ausweichen. Mit ihrer Unterstützung können sie die gesetzlichen Vorgaben erfüllen und rechtzeitig geeignete sowie angemessen skalierbare technische, operative und organisatorische Maßnahmen einführen, ohne im Zuge dessen ihre hauseigenen IT-Ressourcen zu überlasten.
Benötigen auch Sie Unterstützung bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch andere Fragen zu diesem Thema? Kontaktieren Sie uns noch heute!