Dass Internetkriminalität eine wachsende wie auch ernstzunehmende Gefährdung darstellt, ist schon seit langem weithin bekannt. Bedauerlicherweise zeigen Firmen nach wie vor nur wenig Engagement für die Cybersicherheit. Aufgrund dieser besorgniserregenden Situation hat die EU die EU-NIS-2-Richtlinie festgelegt, welche am 16. Januar 2023 in Kraft getreten ist. Jene Regel ersetzt die NIS-Direktive von 2016 und modernisiert den bestehenden Rechtsrahmen, um mit der wachsenden Digitalisierung sowie einer sich wandelnden Bedrohungslandschaft Schritt zu halten. In den anschließenden Absätzen lesen Sie unter anderem, welche Ziele die aktualisierte Richtlinie verfolgt, welche Auswirkungen diese auf Firmen hat sowie warum Unternehmen nicht noch weiter zögern sollten, proaktiv Maßnahmen zu fassen, um ihre Netzwerk- und Informationssicherheit zu bestärken.

Die Digitalisierung und ihre Auswirkungen

Die Digitalisierung übt zweifellos einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Etablierung moderner Geschäftsmodelle bis hin zur Verbesserung der Energiebilanz – der digitale Wandel ändert nicht nur Arbeitsvorgänge, Kommunikation und Informationszugang, sondern bietet Unternehmen ebenfalls ungeahnte Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung wie auch Ausweitung.

Allerdings ist dieser Fortschritt auch ein perfekter Nährboden für Internetkriminalität. Täglich werden groß angelegte wie auch bewusste Internetangriffe ausgeführt, bei denen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und bestmöglichen Profit zu bekommen. Der deutschen Wirtschaft bildet sich dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (Quelle).

Aufgrund dieser Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Firmen für zusätzliche gesetzliche Richtlinien aus, die jedes Unternehmen dazu bestimmen, überzeugende Maßnahmen zur Kräftigung ihrer Cybersicherheit zu fassen. Genau an dieser Stelle kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 in Kraft getreten ist.

NIS-2-Richtlinie: In aller Kürze!

Bei der EU-NIS-2-Richtlinie, auch verbreitet als die zweite Richtlinie zur Netzwerk- und Informationssicherheit bzw. Richtlinie (EU) 2022/2555 (Quelle), dreht es sich um eine überarbeitete Version der originalen NIS-Richtlinie, welche im Jahr 2016 von der Europäischen Union eingeführt wurde. Das Ziel der neuartigen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu erhöhen sowie ein einheitliches Schutzniveau für systemrelevante Infrastrukturen in der EU zu etablieren. Im Abgleich zu ihrer Vorgängerin erweitert die neue EU-NIS-2-Richtlinie das Ausmaß der geschädigten Unternehmen, intensiviert die Pflichten der Betroffenen und erweitert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.

Die Mitgliedstaaten haben aktuell bis zum 17. Oktober 2024 die Möglichkeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in gleichmäßigen Abständen das ordnungsgemäße Klappen der Richtlinie inspizieren, wobei die erste Überprüfung bis zum 17. Oktober 2027 passieren muss.

Von EU-NIS-1 zu EU-NIS-2: Die Hintergründe!

Das Bestreben, ein homogenes Cybersicherheitsniveau in der kompletten Europäischen Union zu erreichen, ist absolut nicht neu. Bereits 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel dieser Richtlinie bestand hierin, einen rechtlichen Kontext für den Aufbau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Kooperation der Mitgliedstaaten zu verbessern und Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften wie auch gesonderte Anbieter digitaler Services zu bestimmen.

Jedoch gab es bei der richtigen Umsetzung der NIS-1-Richtlinie einige Schwachstellen und Lücken. Verschiedenartige Interpretationen und Anwendungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung wie auch einer uneinheitlichen Sicherheitslandschaft in der Europäischen Union. Außerdem konnte die NIS-1-Richtlinie den fortwährenden Schwierigkeiten im Bereich der Cybersicherheit nicht genug gerecht werden.

Auf Grundlage jener Erkenntnisse wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Schritte sollen sicherstellen, dass die Richtlinie eingehalten wird und das allgemeine Cybersicherheitsniveau in der Europäischen Union weiter verbessert wird.

Modifizierter und erweiterter Anwendungsbereich!

Mit der Expansion des Geltungsbereichs auf eine breitere Palette von Firmen und Sektoren bringt die EU-NIS-2-Richtlinie erhebliche Auswirkungen mit sich. Diese nimmt nicht nur traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Blick, sondern rückt auch neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Diese neu integrierten Sektoren werden nun als „Wesentliche Einrichtungen“ angesehen und spielen eine relevante Rolle in der Wirtschaft und Infrastruktur.

Obendrein zu den „Wesentlichen Einrichtungen“ definiert die neue Richtlinie eine weitere Kategorie, die „Wichtigen Einrichtungen“. Diese Kategorie gliedert die Unternehmen graduell nach Kritikalität und Abhängigkeiten von anderen Sektoren. Losgelöst von dieser Unterscheidung gelten für Firmen beider Kategorien dieselben Anforderungen in Bezug auf Meldepflichten und Risikomanagement.

Die NIS-2-Richtlinie legt ebenso spezifische Kriterien fest, nach denen Firmen von dieser Verordnung registriert werden. Vor allem betrifft das Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro. Mit dieser sogenannten „Size-Cap-Rule“ will die Richtlinie sicherstellen, dass insbesondere Unternehmen, welche ein hohes Risiko für Internetangriffe sind und über ausreichend Mittel für angemessene Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden.

Es gibt aber Sonderfälle für manche Sektoren oder Firmen. Losgelöst von ihrer Größe unterliegen Anbieter elektronischer Kommunikation, nennenswerte nationale Monopole und die öffentliche Verwaltung, die aufgrund ihrer strategischen Wichtigkeit für die nationale Sicherheit und Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind weniger große Firmen meist von der Richtlinie ausgenommen. Nichtsdestotrotz gibt es spezielle Sektoren und Bereiche, in welchen die Regelungen unabhängig von ihrer Größe Gebrauch finden.

EU-NIS-2: Neue Regeln, neue Chancen!

Um das Cybersicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten sowie Firmen eine Menge von Maßnahmen. Dabei liegt der Kern auf dem All-Gefahren-Ansatz, welcher darauf abzielt, sämtliche Netzwerke, Informationssysteme und ihre physischen Umgebungen vor Sicherheitsvorfällen abzusichern.

Im Nachfolgenden sind einige der wichtigsten Vorgaben sowie Pflichten aufgeführt:

1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neue EU-NIS-2-Richtlinie verordnet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu entwickeln. Jene Strategie soll die strategischen Ziele, erforderlichen Mittel sowie staatlichen und regulatorischen Schritte umfassen, welche nötig sind, um ein hohes Cybersicherheitsniveau zu erreichen sowie aufrechtzuerhalten.
2. Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie müssen als wesentlich oder wichtig eingestufte Einrichtungen überzeugende und angemessen skalierbare technische, operative und organisatorische Schritte ergreifen. Zu jenen Mitteln zählen beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahrensweisen zur Bewertung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Gebrauch von Kryptografie wie auch gegebenenfalls Verschlüsselung sowie Multi-Faktor-Authentifizierungsverfahren.
3. Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Verpflichtigungen für wesentliche und wichtige Einrichtungen erheblich ausgedehnt. Die Mitgliedstaaten werden hierfür angehalten, Vor-Ort-Kontrollen und Stichproben umzusetzen sowie Informationen und Nachweise zur Erfüllung der Pflichten der entsprechenden Adressaten anzufordern. Darüber hinaus sollen die Mitgliedstaaten befugt sein, Zwangs- und Bußgelder zu vollstrecken. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes belegt werden, während wichtige Einrichtungen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erlangen können – abhängig davon, was für ein Betrag höher ist.
4. Meldepflichten: Wesentliche wie auch wichtige Einrichtungen sind nach der neuen Richtlinie dazu verpflichtet, „erhebliche Sicherheitsvorfälle“ prompt dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Behörde zu melden. Solche bedeutenden Sicherheitsvorfälle können zum Beispiel große Datenverluste oder schwerwiegende Cyberangriffe sein, welche die Dienstleistungen des Unternehmens erheblich einschränken.

EU-NIS-2: IT-Dienstleister als Unterstützung für Unternehmen!

Die Einführung der NIS-2-Richtlinie kann eine knifflige Aufgabe sein, vor allem für Unternehmen, die nicht über genügend interne Ressourcen oder Fachkenntnisse in der Cybersicherheit verfügen. In jenen Situationen können IT-Dienstleister und externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten. Sie können Firmen in nachfolgenden Bereichen unterstützen:

• Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten sind imstande, eine fundierte Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu identifizieren und gezielte Vorschläge für Verbesserungen zu offerieren.
• Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Fachkenntnisse können jene Spezialisten Firmen dabei helfen, einen detailgenauen und überzeugenden Cybersicherheitsplan zu gestalten, welcher den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird.
• Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der wirklichen Implementierung der im Cybersicherheitsplan festgelegten Schritte leisten. Sie stellen klar, dass die implementierten Maßnahmen korrekt umgesetzt werden und die gesetzten Ziele erreichen.
• Durchführung regelmäßiger Sicherheitskontrollen: Jene Experten können auch routinemäßige Sicherheitsprüfungen durchführen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv sind und den Vorstellungen der NIS-2-Richtlinie entsprechen.
• Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Berichterstattung und Reaktion auf Sicherheitsvorfälle helfen. Selbige können dabei helfen, die wichtigen Informationen an die zuständigen Behörden weiterzuleiten und angemessene Schritte zur Behebung der Situation einzuleiten.

Fazit: Ein Weckruf für Unternehmen!

Fakt ist: Die EU-NIS-2 ist in Kraft – und sie stellt definitiv einen wichtigen Schritt zur Kräftigung der Cybersicherheit in der Europäischen Union dar. Trotz strenger Sicherheitsstandards, Meldepflichten wie auch möglicher Sanktionen bietet sie betroffenen Firmen die Chance, ihre Cybersicherheit zu optimieren, geschäftskritische Daten zu schützen sowie das Vertrauen ihrer Kunden und Partner zu verstärken. Um die Vorgaben der Richtlinie wirksam zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern und externen IT-Sicherheitsexperten zurückgreifen. Mit ihrer Hilfestellung können selbige die gesetzlichen Vorgaben einhalten und rechtzeitig geeignete und angemessen skalierbare technische, operative und organisatorische Maßnahmen einführen, ohne dabei ihre hauseigenen IT-Ressourcen zu überfordern.

Brauchen auch Sie Unterstützung bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie laut der NIS-2-Richtlinie? Oder haben Sie noch andere Fragen zu diesem Thema? Kontaktieren Sie uns noch heute!