Einleitung EU-NIS-2: Neue Richtlinie – neuer Schutz Neue Vorgaben zur Informationssicherheit
Es ist schon lange bekannt, dass Internetkriminalität eine steigende und ernstzunehmende Bedrohung verkörpert. Leider zeigen Unternehmen weiterhin bloß wenig Engagement für die Cybersicherheit. Angesichts dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie festgelegt, welche am 16. Januar 2023 in Kraft getreten war. Die NIS-Direktive erneuert diese Richtlinie und modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung sowie einer sich wandelnden Bedrohungslandschaft Schritttempo zu halten. In den folgenden Absätzen lesen Sie, welche Ziele und Auswirkungen die aktualisierte Richtlinie mit sich bringt, warum Unternehmen nicht weiter zögern sollten, proaktiv zu handeln und vieles mehr. EU-NIS-2: Neue Richtlinie – neuer Schutz
Die Digitalisierung übt zweifellos einen tiefgreifenden Einfluss auf beinahe alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Etablierung moderner Geschäftsmodelle bis hin zur Optimierung der Energiebilanz. Der digitale Wandel ändert nicht bloß Arbeitsweisen, Kommunikation oder Informationszugang, sondern eröffnet Unternehmen ebenfalls unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Ausweitung. Neue Vorgaben zur Informationssicherheit
Allerdings ist der Fortgang ebenso ein idealer Nährboden für Internetkriminalität. Jeden Tag werden groß angelegte wie auch gezielte Internetangriffe ausgeführt, bei denen Firmen infiltriert werden. Das Ziel ist geschäftskritische Daten zu stehlen und bestmöglichen Profit zu bekommen. Der deutschen Wirtschaft bildet sich dadurch gegenwärtig ein jährlicher Schaden von rund 203 Milliarden Euro (Presseartikel von bitkom.org). EU-NIS-2: Neue Richtlinie – neuer Schutz
Aufgrund dieser Bedrohungslage spricht sich inzwischen eine Mehrzahl der Unternehmen für erweiterte gesetzliche Richtlinien aus. Sie sollen jedes Unternehmen dazu verpflichten, angemessene Maßnahmen zur Kräftigung ihrer Cybersicherheit zu ergreifen.
Genau hier kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 eingeführt worden ist. Neue Vorgaben zur Informationssicherheit
NIS-2-Richtlinie: Die Zukunft der Netzwerk- und Informationssicherheit in Europa!
Bei der EU-NIS-2-Richtlinie dreht es sich um eine überarbeitete Version der ursprünglichen NIS-Richtlinie, welche im Jahr 2016 von der EU eingeführt wurde. Sie ist auch bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (eur-lex.europa.eu/legal-content). Die Absicht der neuartigen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu erhöhen und ein durchgängiges Schutzniveau für systemrelevante Infrastrukturen in der EU zu etablieren. Im Abgleich zu ihrer Vorgängerin ergänzt die aktuelle EU-NIS-2-Richtlinie nicht nur das Ausmaß der betroffenen Unternehmen. Sie intensiviert auch die Verpflichtungen der Betroffenen und vergrößert die Aufsichtsbefugnisse und Sanktionsbefugnisse der Behörden.
Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 die Möglichkeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in gleichmäßigen Intervallen das ordnungsgemäße Funktionieren der Richtlinie überprüfen. Dabei muss die erste Begutachtung bis zum 17. Oktober 2027 erfolgen.
Von EU-NIS-1 zu EU-NIS-2: Die Hintergründe!
Das Ziel, ein einheitliches Cybersicherheitsniveau in der gesamten EU zu erlangen, ist absolut nicht neu. Bereits 2016 wurde die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU eingeführt. Die Ziele dieser Richtlinie waren nicht nur, einen rechtlichen Rahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der Europäischen Union zu schaffen. Auch die Kooperation der Mitgliedstaaten sollte damit optimiert werden. Die Richtlinie legte auch fest, dass wichtige Unternehmen und Anbieter von digitalen Diensten bestimmte Sicherheitsmaßnahmen einhalten und Probleme melden müssen. Neue Vorgaben zur Informationssicherheit
Jedoch gab es bei der praktischen Umsetzung der NIS-1-Richtlinie einige Schwachstellen und Lücken. Verschiedenartige Interpretationen sowie Anwendungen der Richtlinie in den Mitgliedstaaten leiteten zu fehlender Harmonisierung und einer uneinheitlichen Sicherheitslandschaft in der EU. Außerdem konnte die NIS-1-Richtlinie den fortwährenden Herausforderungen im Bereich der Cybersicherheit nicht genug gerecht werden. EU-NIS-2: Neue Richtlinie – neuer Schutz
Auf Grundlage jener Erkenntnisse wurde die EU-NIS-2-Richtlinie ausgearbeitet. Die verschärften Schritte sollen sicherstellen, dass die Richtlinie befolgt wird und das allgemeine Cybersicherheitsniveau in der Union weiter verbessert wird.
NIS 2 erweitert den Geltungsbereich! Neue Vorgaben zur InformationssicherheitEU-NIS-2: Neue Richtlinie – neuer Schutz
Mit der Ausweitung des Geltungsbereichs auf eine größere Palette von Unternehmen und Sektoren bringt die EU-NIS-2-Richtlinie enorme Auswirkungen mit sich. Sie nimmt traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Blick. Ebenso rückt sie neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Fokus. Diese neu integrierten Sektoren werden mittlerweile als “Wesentliche Einrichtungen” angesehen und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur.
Zusätzlich zu den „Wesentlichen Einrichtungen“ bestimmt die neue Richtlinie eine zusätzliche Kategorie, welche „Wichtigen Einrichtungen“. Diese Kategorie unterteilt die Firmen graduell nach Kritikalität sowie Abhängigkeiten von anderweitigen Sektoren. Losgelöst von jener Unterscheidung gelten für Firmen beider Kategorien die gleichen Anforderungen in Bezug auf Meldepflichten und Risikomanagement.
Die NIS-2-Richtlinie legt auch spezifische Faktoren fest, nach welchen Unternehmen von jener Verordnung registriert werden. Insbesondere betrifft dies Unternehmen mit mindestens 50 Mitarbeitern sowie einem Jahresumsatz von mehr als 10 Millionen Euro. Mit jener sogenannten „Size-Cap-Rule” will die Richtlinie gewährleisten, dass Firmen geeignet reguliert werden. Insbesondere die Firmen, welche ein hohes Risiko für Internetangriffe sind und über ausreichend Mittel für überzeugende Sicherheitsmaßnahmen verfügen.
Es gibt aber Sonderfälle für manche Sektoren und Firmen. Losgelöst von ihrer Größe unterliegen Anbieter elektronischer Kommunikation, nennenswerte nationale Monopole und die öffentliche Verwaltung dem Anwendungsbereich der EU-NIS-2-Richtlinie. Das hat den Grund, da sie aufgrund ihrer strategischen Wichtigkeit für die nationale Sicherheit wie auch Infrastruktur von großer Maßgeblichkeit sind. Ferner sind weniger große Firmen oft von der Richtlinie ausgenommen. Dennoch gibt es spezielle Sektoren und Bereiche, in denen die Regelungen unabhängig von deren Größe Anwendung finden.
Die Sicherheitsanforderungen und Pflichten der Mitgliedsstaaten und Unternehmen auf einen Blick!
Um das Cybersicherheitsniveau in der EU zu optimieren, fordert die NIS-2-Richtlinie von den Mitgliedstaaten sowie Unternehmen eine Menge von Maßnahmen. Hierbei liegt der Schwerpunkt auf dem All-Gefahren-Ansatz, der hierauf abzielt, alle Netzwerke, Informationssysteme und ihre physischen Umgebungen vor Sicherheitsvorfällen abzusichern. Neue Vorgaben zur Informationssicherheit
Im Folgenden sind einige der wichtigsten Anforderungen und Pflichten aufgezeigt:
- Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation: Die neuste EU-NIS-2-Richtlinie verpflichtet jeden Mitgliedsstaat dazu, eine nationale Cybersicherheitsstrategie zu erarbeiten. Diese Strategie soll die strategischen Ziele, nötigen Ressourcen sowie staatlichen und regulatorischen Maßnahmen umfassen, welche nötig sind, um ein hohes Cybersicherheitsniveau zu erreichen und aufrechtzuerhalten. Neue Vorgaben zur Informationssicherheit
- Risikomanagementpflichten für Einrichtungen: Gemäß der NIS-2-Richtlinie sollen als wesentlich oder wichtig eingestufte Einrichtungen überzeugende und angemessen skalierbare technische, operative sowie organisatorische Maßnahmen ergreifen. Zu jenen Maßnahmen gehören beispielsweise Backup-Management, Notfall-Wiederherstellung von Daten, Sicherheit der Lieferkette, Verfahrensweisen zur Bewertung der Effektivität von Risikomanagementmaßnahmen, Cyberhygiene, Einsatz von Kryptografie wie auch gegebenenfalls Verschlüsselung plus Multi-Faktor-Authentifizierungsverfahren.
- Verschärfte Aufsichtsbefugnisse und Sanktionsbefugnisse: Im Rahmen der NIS-2-Richtlinie wird die Aufsicht sowie Durchsetzung von Pflichten für wesentliche wie auch wichtige Einrichtungen erheblich verschärft. Die Mitgliedstaaten werden dazu angehalten, Vor-Ort-Kontrollen wie auch Stichproben umzusetzen sowie Informationen und Nachweise zur Umsetzung der Pflichten der entsprechenden Adressaten anzufordern. Außerdem sollen die Mitgliedstaaten berechtigt sein, Zwangs- und Bußgelder zu vollstrecken. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes belegt werden, während wichtige Einrichtungen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes erhalten können – abhängig davon, welcher Betrag höher ist. Neue Vorgaben zur Informationssicherheit
- Meldepflichten: Wesentliche wie auch wichtige Einrichtungen sind nach der neuen Richtlinie dazu verordnet, “erhebliche Sicherheitsvorfälle” umgehend dem nationalen Computer-Notfallteam (Computer Security Incident Response Team, CSIRT) oder der zuständigen Amtsstelle zu melden. Solche bedeutenden Sicherheitsvorfälle können zum Beispiel große Datenverluste oder gravierende Cyberangriffe sein, die die Dienstleistungen der Firma erheblich beeinträchtigen.
EU-NIS-2: IT-Dienstleister als Unterstützung für Unternehmen!
Die Einführung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, vor allem für Firmen, welche keinesfalls über ausreichende interne Ressourcen oder Fachkenntnisse in der Cybersicherheit verfügen. In solchen Fällen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine nützliche Hilfestellung bieten. Sie können Unternehmen in nachfolgenden Bereichen unterstützen:
- Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind imstande, eine fundierte Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu identifizieren und gezielte Vorschläge für Verbesserungen anzubieten.
- Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Kenntnisse können jene Spezialisten Unternehmen dabei helfen, einen detailgenauen und effizienten Cybersicherheitsplan zu gestalten, der den spezifischen Anforderungen der NIS-2-Richtlinie gerecht wird. Neue Vorgaben zur Informationssicherheit
- Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister sowie externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der wirklichen Umsetzung der im Cybersicherheitsplan festgelegten Maßnahmen leisten. Sie stellen klar, dass die implementierten Optimierungen korrekt umgesetzt werden und die beabsichtigten Ziele erreichen.
- Durchführung regelmäßiger Sicherheitskontrollen: Diese Experten können auch routinemäßige Sicherheitsprüfungen durchführen, um zu garantieren, dass die implementierten Sicherheitsmaßnahmen kontinuierlich effektiv bleiben und den Vorstellungen der NIS-2-Richtlinie nachkommen.
- Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister sowie externe IT-Sicherheitsexperten können Firmen bei der effektiven Reportage und Reaktion auf Sicherheitsvorfälle helfen. Sie können hierbei helfen, die wichtigen Informationen an die zuständigen Behörden weiterzuleiten sowie angemessene Schritte zur Behebung der Situation einzuleiten.
Fazit: Ein Weckruf für Unternehmen! Neue Vorgaben zur Informationssicherheit
Tatsache ist: Die EU-NIS-2 ist in Kraft – und sie stellt zweifelsohne einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten wie auch etwaiger Sanktionen bietet diese betroffenen Firmen die Möglichkeit, ihre Cybersicherheit zu verbessern, geschäftskritische Daten abzusichern sowie das Vertrauen ihrer Kunden und Partner zu verstärken. Um die Vorgaben der Richtlinie wirksam zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern sowie externen IT-Sicherheitsexperten ausweichen. Mit ihrer Unterstützung können selbige die gesetzlichen Vorgaben einhalten und rechtzeitig geeignete und angemessen skalierbare technische, operative und organisatorische Maßnahmen umsetzen, ohne im Zuge dessen ihre eigenen IT-Ressourcen zu überfordern.
Brauchen auch Sie Hilfe bei der Durchführung einer ganzheitlichen IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie? Oder haben Sie noch andere Fragen zu diesem Thema? Benachrichtigen Sie uns noch heute!
Lesen Sie hier, wie wir unsere und die IT unserer Kunden sicher gestalten, oder stöbern Sie hier weiter in unserem Blog.
