Dass Internetkriminalität eine steigende und ernstzunehmende Gefährdung verkörpert, ist schon seit langem weithin bekannt. Bedauerlicherweise zeigen Unternehmen weiterhin bloß wenig Einsatz für die Cybersicherheit.

Angesichts dieser besorgniserregenden Begebenheit hat die EU die EU-NIS-2-Richtlinie festgelegt, die am 16. Januar 2023 in Kraft getreten ist. Diese Regel erneuert die NIS-Direktive von 2016 und modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich wandelnden Bedrohungslandschaft Schritttempo zu halten. In den anschließenden Absätzen lesen Sie unter anderem, welche Ziele die aktualisierte Richtlinie verfolgt, welche Auswirkungen diese auf Unternehmen hat und warum Unternehmen nicht noch weiter zögern sollten, proaktiv Schritte zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu bestärken.

Die Digitalisierung übt zweifellos einen starken Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Einführung moderner Geschäftsmodelle bis hin zur Optimierung der Energieeffizienz – der digitale Wandel ändert nicht nur Arbeitsvorgänge, Kommunikation und Informationszugang, sondern eröffnet Unternehmen auch unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Expansion.
Dennoch ist der Fortschritt auch ein idealer Nährboden für Internetkriminalität. Täglich werden groß angelegte und bewusste Internetangriffe durchgeführt, bei denen Firmen infiltriert werden, um geschäftskritische Daten zu stehlen und maximalen Profit zu erlangen. Der deutschen Wirtschaft bildet sich dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022).
Angesichts jener Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Unternehmen für zusätzliche gesetzliche Vorgaben aus, die jedes Unternehmen dazu bestimmen, angemessene Maßnahmen zur Kräftigung ihrer Cybersicherheit zu fassen.
Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist.

NIS-2-Richtlinie: Maßnahmen zur Stärkung der Netzwerk- und Informationssicherheit in Europa!

Bei der EU-NIS-2-Richtlinie, ebenso verbreitet als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555), dreht es sich um eine erneuerte Version der originalen NIS-Richtlinie, die im Jahr 2016 von der EU umgesetzt wurde. Das Ziel der neuen EU-Richtlinie ist es, die Widerstandsfähigkeit kritischer Netzwerke und Informationssysteme zu optimieren und ein einheitliches Schutzniveau für systemrelevante Infrastrukturen in der EU durchzusetzen. Im Vergleich zu ihrer Vorgängerin erweitert die aktuelle EU-NIS-2-Richtlinie das Ausmaß der betroffenen Unternehmen, intensiviert die Verpflichtungen der Betroffenen und erweitert die Aufsichtsbefugnisse wie auch Sanktionsbefugnisse der Behörden.

Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 die Möglichkeit, die Richtlinie in nationales Recht umzusetzen. Anschließend wird die Kommission in gleichmäßigen Abständen das ordnungsgemäße Klappen der Richtlinie überprüfen, wobei die erste Begutachtung bis zum 17. Oktober 2027 erfolgen muss.

Von EU-NIS-1 zu EU-NIS-2: Ein Blick hinter die Kulissen!

Das Ziel, ein homogenes Cybersicherheitsniveau in der kompletten EU zu erlangen, ist absolut nicht neu. Bereits im Jahr 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU eingeführt. Das Ziel dieser Richtlinie bestand hierin, einen rechtlichen Rahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Kooperation der Mitgliedstaaten zu optimieren und Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften und bestimmte Anbieter digitaler Dienste zu bestimmen.
Jedoch gab es bei der richtigen Umsetzung der NIS-1-Richtlinie einige Schwachstellen sowie Lücken. Verschiedenartige Interpretationen sowie Anwendungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung und einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union. Außerdem konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht ausreichend gerecht werden.
Auf Basis jener Einsichten wurde die EU-NIS-2-Richtlinie ausgearbeitet. Die verschärften Schritte sollen garantieren, dass die Richtlinie eingehalten wird und das allgemeine Cybersicherheitsniveau in der Europäischen Union weiterhin verbessert wird.

Wer ist von NIS-2 betroffen? Ein Überblick!

Mit der Expansion des Geltungsbereichs auf eine größere Palette von Firmen und Sektoren führt die EU-NIS-2-Richtlinie erhebliche Auswirkungen mit sich. Sie nimmt keinesfalls nur traditionelle und kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt ebenso frische Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Diese neu integrierten Sektoren werden nun als "Wesentliche Einrichtungen" angesehen und spielen eine relevante Rolle in der Wirtschaft und Infrastruktur.
Obendrein zu den „Wesentlichen Einrichtungen“ definiert die neue Richtlinie eine weitere Kategorie, welche „Wichtigen Einrichtungen“. Jene Kategorie gliedert die Unternehmen graduell nach Kritikalität und Abhängigkeiten von anderen Sektoren. Unabhängig von dieser Unterscheidung gelten für Firmen beider Kategorien die gleichen Anforderungen bezüglich Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt auch spezifische Faktoren fest, nach welchen Unternehmen von dieser Verordnung erfasst werden. Vor allem betrifft dies Unternehmen mit mehr als 50 Mitarbeitern sowie einem Jahresumsatz von mehr als 10 Millionen Euro. Mit jener sogenannten „Size-Cap-Rule" will die Richtlinie gewährleisten, dass insbesondere Unternehmen, welche ein hohes Risiko für Internetangriffe sind und über genügend Mittel für angemessene Sicherheitsmaßnahmen verfügen, geeignet reguliert werden.
Es gibt aber Sonderfälle für manche Sektoren oder Firmen. Unabhängig von ihrer Größe unterliegen Anbieter elektronischer Kommunikation, wichtige nationale Monopole und die öffentliche Verwaltung, welche wegen ihrer strategischen Bedeutung für die nationale Sicherheit wie auch Infrastruktur von großer Maßgeblichkeit sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind kleinere Firmen oft von der Richtlinie ausgenommen. Dennoch gibt es gewisse Sektoren und Bereiche, in denen die Regelungen unabhängig von deren Größe Gebrauch finden.

Welche Anforderungen und Pflichten stellt EU-NIS-2 an die Mitgliedstaaten und Unternehmen?

Um das Cybersicherheitsniveau in der EU zu verbessern, verlangt die NIS-2-Richtlinie von den Mitgliedstaaten und Unternehmen eine Reihe von Maßnahmen. Hierbei liegt der Kern auf dem All-Gefahren-Ansatz, welcher hierauf abzielt, sämtliche Netzwerke, Informationssysteme und ihre physischen Umgebungen vor Sicherheitsvorfällen zu schützen.

Im Folgenden sind ein paar der wichtigsten Vorgaben sowie Pflichten aufgezeigt:

1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verpflichtet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Diese Strategie soll die methodischen Ziele, erforderlichen Ressourcen sowie politischen und regulatorischen Maßnahmen umfassen, welche nötig sind, um ein hohes Cybersicherheitsniveau zu erreichen und aufrechtzuerhalten.
2. Risikomanagementpflichten für Einrichtungen: Laut der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Institutionen geeignete und angemessen skalierbare technische, operative sowie organisatorische Schritte ergreifen. Zu diesen Maßnahmen zählen beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahrensweisen zur Bewertung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie und gegebenenfalls Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht und Durchsetzung von Pflichten für wesentliche wie auch wichtige Einrichtungen erheblich ausgedehnt. Die Mitgliedstaaten werden dazu angehalten, Vor-Ort-Kontrollen und Stichproben umzusetzen sowie Informationen und Belege zur Umsetzung der Pflichten der entsprechenden Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten berechtigt sein, Zwangs- und Bußgelder zu verhängen. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes besetzt werden, während wichtige Einrichtungen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können - abhängig davon, welcher Betrag höher ist.
4. Meldepflichten: Wesentliche wie auch wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, "erhebliche Sicherheitsvorfälle" prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der jeweiligen Amtsstelle zu melden. Jene erheblichen Sicherheitsvorfälle können beispielsweise große Datenverluste oder schwerwiegende Cyberangriffe sein, die die Dienstleistungen des Unternehmens erheblich beeinträchtigen.

EU-NIS-2: Unterstützung durch IT-Dienstleister und externe Experten!

Die Implementierung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, insbesondere für Unternehmen, welche nicht über ausreichende interne Ressourcen oder Fachkenntnisse in der Cybersicherheit verfügen. In jenen Situationen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten. Diese können Firmen in nachfolgenden Bereichen betreuen:

• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind imstande, eine fundierte Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit ihrem spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu erkennen und konkrete Vorschläge für Verbesserungen zu offerieren.
• Entwicklung eines umfassenden Cybersicherheitsplans: Dank ihrer Fachkenntnisse können diese Spezialisten Firmen hierbei helfen, einen detailgenauen und überzeugenden Cybersicherheitsplan zu gestalten, welcher den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der praktischen Implementierung der im Cybersicherheitsplan festgesetzten Maßnahmen leisten. Sie stellen sicher, dass die implementierten Optimierungen korrekt umgesetzt werden und die gesetzten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Diese Fachleute können auch routinemäßige Sicherheitsprüfungen bewerkstelligen, um zu gewährleisten, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv sind und den Vorstellungen der NIS-2-Richtlinie entsprechen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister und externe IT-Sicherheitsexperten können Firmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle unterstützen. Selbige können hierbei helfen, die wichtigen Informationen an die zuständigen Behörden weiterzuleiten und angemessene Schritte zur Behebung der Situation einzuleiten.

Fazit: Jetzt handeln, bevor es zu spät ist!

Fakt ist: Die EU-NIS-2 ist aktiv – und sie stellt definitiv einen wichtigen Schritt zur Stärkung der Cybersicherheit in der Europäischen Union dar. Trotz strenger Sicherheitsstandards, Meldepflichten wie auch etwaiger Sanktionen bietet sie betroffenen Unternehmen die Chance, ihre Cybersicherheit zu optimieren, geschäftskritische Daten abzusichern sowie das Vertrauen ihrer Kunden und Partner zu verstärken. Um die Vorgaben der Richtlinie effektiv zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern und externen IT-Sicherheitsexperten zurückgreifen. Mit der Unterstützung können sie die gesetzlichen Vorgaben einhalten und fristgerecht geeignete und angemessen skalierbare technische, operative wie auch organisatorische Maßnahmen einführen, ohne im Zuge dessen ihre hauseigenen IT-Ressourcen zu überlasten.

Benötigen auch Sie Hilfe bei der Durchführung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch andere Fragen zu diesem Thema? Benachrichtigen Sie uns noch heute!