AKTUELLES: RST-Beratung informiert zu Themen aus Ihren Fachgebieten

Cybersicherheit auf europäischer Ebene – die Richtlinien NIS und NIS 2

Am 14. Dezember 2022 wurde auf EU-Ebene ein Gesetz zur Stärkung der EU-weiten Widerstandfähigkeit für Cybersicherheit unterzeichnet (NIS 2-Richtlinie). Das Gesetz verlangt von EU-Mitgliedsstaaten die Harmonisierung von Auflagen für Betreiber kritischer Dienstleistungen sowie die Einführung strikterer Aufsichts- und Durchsetzungsmaßnahmen. Während die konkrete nationale Umsetzung in den EU-Mitgliedsstaaten noch beschlossen werden muss, lassen sich bereits erste Hinweise auf konkrete Auswirkungen von NIS 2 auf die betroffenen Unternehmen ableiten.

Hintergrund

Im Jahr 2016 verabschiedete die EU die Richtlinie über die Sicherheit von Netzen und Informationssystemen in der EU („NIS-Richtlinie“), welche zur Erhöhung der Sicherheit von Netzen und Informationssystemen in den EU-Mitgliedsstaaten beitragen sollte. In der Folge haben viele EU-Mitgliedstaaten erstmals eine Regulierung zur IT-Sicherheit Kritischer Infrastrukturen vorgenommen. Die Evaluierung der NIS-Richtlinie und ihrer Auswirkungen kam jedoch zu dem Schluss, dass die Inhalte und deren Umsetzung die angestrebten Ziele noch nicht erreichen konnten:

  • Schwächen der NIS und ihrer Umsetzung – Unterschiedliche Ansätze in der Umsetzung der NIS-Richtlinie in den Mitgliedstaaten führten zu einem Flickenteppich nationaler Rechtsvorschriften. Unter anderem unterscheiden sich Herangehensweisen an die Bestimmung relevanter Sektoren, die Ermittlung der Betreiber wesentlicher Dienste und die Sanktionierung von Verstößen. Auch die erwünschte Kooperation zwischen EU-Mitgliedsstaaten blieb hinter den Erwartungen zurück.
  • Veränderungen der Cybersicherheits-Landschaft – Aufgrund der beschleunigten Digitalisierung in den EU-Mitgliedstaaten und der einhergehenden zunehmenden Abhängigkeit kritischer Unternehmen von digitaler Infrastruktur erwies sich die NIS-Richtlinie als unzureichend, um neue bzw. steigende Cyberrisiken abzudecken. Gleichzeitig stieg die Bedrohung durch Cyberangriffe, die in Umfang, Kosten und Komplexität stetig zunehmen.

Vor diesem Hintergrund und mit der Entwicklung einer neuen Cybersicherheitsstrategie der EU wurde 2020 mit der Revision der NIS-Richtlinie und der Entwicklung eines Nachfolgers („NIS 2“) begonnen. NIS 2 soll die unterschiedlichen Herangehensweisen der EU-Mitgliedsstaaten harmonisieren und so die Cybersicherheit EU-weit stärken.

Wesentliche Änderungen durch NIS 2

Basierend auf dem aktuellen Entwurf der NIS 2-Richtlinie zeichnen sich zum aktuellen Zeitpunkt die folgenden Änderungen ab.

Anwendungsbereich – betroffene Sektoren

Im Vergleich mit der NIS-Richtlinie ist eine bedeutende Änderung durch die NIS 2 eine Ausweitung des Anwendungsbereichs. Während NIS auf Betreiber wesentlicher Dienste in sieben vordefinierten Sektoren sowie Anbietern digitaler Dienste anzuwenden war, hebt NIS 2 diese Unterscheidung auf.

Stattdessen definiert NIS 2 nun elf Sektoren mit hoher Kritikalität und sieben sonstige kritische Sektoren, die als Sektoren mit für die Gesellschaft kritischen Dienstleistungen eingestuft werden (*neu in NIS 2):

Sektoren mit hoher Kritikalität

  1. Energie
  2. Transport
  3. Banken
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen
  6. Trinkwasser
  7. Digitale Infrastruktur
  8. ICT Service Management (B2B)*
  9. Abwasser*
  10. Öffentliche Verwaltung*
  11. Raumfahrt*

Sonstige kritische Sektoren

  1. Post- und Kurierdienste*
  2. Abfallwirtschaft*
  3. Chemikalien*
  4. Ernährung*
  5. Verarbeitendes Gewerbe*
  6. Forschung*
  7. Digitale Dienste

Anwendungsbereich – mehr betroffene Unternehmen

Auch die Bestimmung der Unternehmen, auf welche die Regelungen innerhalb dieser Sektoren angewendet werden, ändert sich. Während die NIS-Richtlinie den einzelnen Mitgliedsstaaten an dieser Stelle große Freiheiten ließ, sieht die NIS 2 eine Größenbeschränkung vor. Entsprechend dieser zählen alle mittleren und großen Unternehmen in den Sektoren mit hoher Kritikalität als wesentliche Entitäten, und analog alle mittleren und großen Unternehmen in den sonstigen kritischen Sektoren als wichtige Entitäten. Alle betroffenen Unternehmen fallen unter den Begriff der Kritischen Infrastrukturen.

Nach 2003/361/EG definiert die EU

  • Mittlere Unternehmen als solche mit 50-250 Beschäftigten, 10-50 Mio. EUR Jahresumsatz und/oder <13 Mio. EUR Bilanzsumme
  • Große Unternehmen als solche mit >250 Beschäftigten, >50 Mio. EUR Jahresumsatz und/oder >43 Mio. EUR Bilanzsumme

Kleinst- und Kleinunternehmen sind damit in erster Linie nicht betroffen, es sei denn, sie fallen unter einen der in NIS 2 definierten Spezialfälle.

Diese Änderung hat das Potenzial, in Deutschland zu einer umfangrechen Ausweitung der Anzahl der betroffenen Unternehmen und Anlagen zu führen, da so auch viele mittelständische Unternehmen betroffen sein können. Bisher sind in Deutschland nur Unternehmen betroffen, die eine kritische Dienstleistung für mindestens 500.000 Bürger*innen bereitstellen. Somit wird die Zahl der regulierten Kritischen Infrastrukturen vermutlich stark ansteigen.

Cybersicherheit betroffener Unternehmen

NIS 2 setzt den Fokus auf Cybersicherheit und Resilienz der als wesentlich bzw. wichtig eingestuften Entitäten. Im Zuge dessen werden die Sicherheitsanforderungen, welche diese erfüllen müssen, umfassender und konkreter. Eine wesentliche Neuerung ist zudem die Berücksichtigung von Lieferkettenrisiken in den Anforderungen. Insbesondere die folgenden Maßnahmen werden von kritischen und wichtigen Entitäten gefordert, um Risiken abzumildern:

  • Richtlinien – Risiko- und Informationssicherheitspolitik
  • Vorfallmanagement – Prävention, Detektion und Reaktion
  • Business Continuity Management (BCM) – Betriebskontinuität und Notfallmanagement
  • Lieferketten – Sicherheit in Lieferketten
  • Entwicklung – Sichere Entwicklung, inkl. Umgang mit Schwachstellen
  • Audit – Test- und Prüfverfahren zur Messung der Effektivität der Cybersicherheitsmaßnahmen
  • Kryptographie – Anwendung kryptographischer Maßnahmen
  • Cyber-Hygiene – Cyber-Hygiene-Praktiken und Cybersicherheitsschulungen
  • Regelungen – Personalsicherheit, Zugangskontrolle, Wertemanagement
  • Authentifizierung – Einsatz von MFA und SSO

Die Umsetzung von geforderten Maßnahmen kann durch die zuständigen Behörden der einzelnen EU-Mitgliedsstaaten geprüft werden. Hier wird basierend auf der Einstufung der Sektoren ein zweigleisiges Verfahren angewendet:

  • Ex-ante- und Post-ante-Durchsetzung für wesentliche Entitäten – Wesentliche Entitäten müssen generell die Einhaltung der Anforderungen nachweisen, auch wenn noch keine Vorfälle eingetreten sind (ex-ante), sowie nach Eintritt von Vorfällen (post-ante).
  • Post-ante-Durchsetzung für wichtige Entitäten – Wichtige Entitäten müssen die Einhaltung der Vorschriften nachweisen, sobald ein Vorfall eingetreten ist (post-ante), werden jedoch nicht davor geprüft.

Die zuständigen Behörden erhalten durch NIS 2 neue Möglichkeiten zur Sanktionierung von Verstößen. Mitgliedstaaten können kritische Entitäten mit bis zu 10 Mio. EUR oder max. 2 % des gesamten weltweiten Jahresumsatzes und wichtige Unternehmen mit bis zu 7 Mio. EUR bzw. max. 1,4 % sanktionieren, je nachdem, welcher der beiden Beträge höher ist.

Die für Deutschland zuständige zentrale Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik.

Meldung von signifikanten Vorfällen

NIS 2 sieht strenge Fristen für die Meldung von signifikanten Störungen, Vorfällen und Cyberbedrohungen durch Unternehmen an die zuständige nationale Behörde vor.

  • Erstmeldung – Innerhalb von 24 Stunden hat eine initiale Erstmeldung zu erfolgen.
  • Vorfallmeldung – Innerhalb von 72 Stunden muss eine Vorfallmeldung erfolgen, in welcher die Informationen der Erstmeldung um eine Ersteinschätzung von Ausmaß und Auswirkung des Vorfalls sowie um die Gefährdungsanzeichen aktualisiert und ergänzt werden.
  • Zwischenbericht – Die zuständige nationale Behörde kann einen Zwischenbericht mit relevanten Statusupdates einfordern.
  • Abschlussbericht – Nach maximal einem Monat ist ein Abschlussbericht an die nationale Behörde zu senden, mit einer Beschreibung des Vorfalls, der Art der Bedrohung bzw. der Vorfallursache, sowie mit den ergriffenen Maßnahmen und ggf. den grenzüberschreitenden Auswirkungen des Vorfalls. Ist die Vorfallbehandlung nach einem Monat noch nicht abgeschlossen, so wird stattdessen ein Zwischenbericht eingereicht. Der Abschlussbericht wird innerhalb eines Monats nach Beendigung der Vorfallbehandlung nachgereicht.

Standardisierung

NIS 2 betont die Bedeutung von Standardisierung. So sollen internationale und europäische Standards zur IT-Sicherheit gefördert werden. Darüber hinaus können EU-Mitgliedsstaaten den Betreibern von wesentlichen und wichtigen Entitäten die Nutzung europäischer Zertifizierungssysteme für bestimmte IKT-Produkte, Dienstleistungen und Prozesse vorschreiben.

Register wesentlicher und wichtiger Entitäten

Die EU-Agentur für Netzwerk- und Informationssicherheit (ENISA) wird ein Register der wesentlichen und wichtigen Einrichtungen führen. Einrichtungen, die in den Anwendungsbereich fallen, müssen sich daher bis zum 17. Januar 2025 bei der entsprechenden zuständigen Behörde registrieren lassen.

Wesentliche Änderungen im behördlichen Rahmen

NIS 2 hat unter anderem das Ziel, Defizite der ersten NIS-Richtlinie aufzuheben. Daher ergeben sich nicht nur für die betroffenen Unternehmen Änderungen, sondern auch in der Struktur und beim Aufbau des behördlichen Rahmens.

  • Nationale Cybersicherheitsstrategien – EU-Mitgliedsstaaten sind verpflichtet, nationale Cybersicherheitsstrategien zu entwickeln und einen angemessenen behördlichen Aufbau zu schaffen (zuständige Behörde(n), CSIRT(s)1, zentrale Kontaktstellen).
  • Harmonisierung – Der EU-weite Rahmen für Cybersicherheit soll vereinheitlicht werden. Dies umfasst u.a. die Harmonisierung und Stärkung von Sanktionsmöglichkeiten und Aufsichtsbefugnissen der zuständigen Behörden.
  • Kooperation – Die EU-weite Kooperation zum Thema Cybersicherheit soll ausgebaut werden. Neben der Stärkung bestehende Kooperationen wie der NIS Cooperation Group oder dem CSIRT Network wird zudem mit EU-CyCLONe eine neue Institution zur Bewältigung weitreichender Cybersicherheitsvorfälle und -krisen geschaffen.
  • Informationsaustausch – Der Austausch von Informationen zwischen den EU-Mitgliedsstaaten soll verstärkt werden, u.a. im Rahmen von EU-CyCLONe. Außerdem sollen die Mitgliedstaaten den Informationsaustausch über Cyberbedrohungen, Schwachstellen und Taktiken durch geeignete Regeln, Plattformen und Technologien fördern.

Was sind die konkreten Auswirkungen von NIS 2 für Unternehmen?

Zum aktuellen Zeitpunkt bedeutet NIS 2 vor allem eins: Unsicherheit. Die EU-Richtlinie erfordert eine nationale Umsetzung durch die EU-Mitgliedsstaaten und schafft einen gemeinsamen Mindeststandard, der durchaus überschritten werden kann. Der Umsetzungszeitraum für das nationale Gesetzgebungsverfahren liegt bei 18 Monaten, daraus resultierende Fristen für betroffene Unternehmen sind noch nicht bekannt.

Auf folgende Punkte können sich Unternehmen jedoch vorbereiten:

  • Durchführung einer Betroffenheitsanalyse auf den erweiterten Anwendungsbereich der NIS 2 und der nationalen Umsetzung im jeweiligen EU-Mitgliedsstaat.
  • Durchführung einer Gap-Analyse zur Identifikation von Nichtkonformitäten mit gesetzlichen Anforderungen.
  • Umsetzung von Sicherheitsmaßnahmen zu den Themen
    • Informationssicherheit,
    • Risikomanagement,
    • Vorfallmanagement,
    • BCM und Notfallmanagement und
    • Lieferketten.
  • Regelmäßige Selbstprüfung der Umsetzung der Sicherheitsanforderungen.

Unser Leistungsspektrum umfasst u.a.

  • Beobachtung der Entwicklungen rund um NIS 2 auf europäischer und nationaler Ebene
  • Durchführung der Betroffenheitsanalyse
  • Beratung zur proaktiven Umsetzung geeigneter Sicherheitsmaßnahmen
  • Durchführung einer IT-Sicherheitsprüfung zur Bewertung des IST-Standes der Informationssicherheit und Identifikation von Verbesserungspotenzialen
  • Beratung zu IT-Notfallmanagement und BCM
  • Beratung zu Informationssicherheitsmanagementsystemen

 

[1] CSIRT steht für Computer Incident Response Team. Jeder Mitgliedstaat muss ein Computer Security Incident Response Team (CSIRT) benennen, das Cyberbedrohungen überwacht, Warnungen ausspricht und auf Vorfälle reagiert. Die CSIRTs arbeiten auf EU-Ebene im Rahmen eines CSIRT-Netzwerks zusammen.

 

Haben Sie noch Fragen?

Dann kontaktieren Sie gerne unsere RST-Ansprechpartner oder senden Sie uns eine Anfrage über das Kontaktformular:

Kontaktformular

 

Weiterführende Links

Hier finden Sie den vollständigen Text der aktuell gültigen Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.

Hier finden Sie den aktuellen Status der NIS 2-Richtlinie (englische Webseite).

 

Möchten Sie mehr über unsere Fokusthemen erfahren? Hier finden Sie einige ausgewählte Bereiche:

Informationssicherheit - unsere Leistungen │ Schutzziele der Informationssicherheit │ Kritische Infrastrukturen │ Digitalisierung │ Familienunternehmen │ Öffentliche Unternehmen │ Unternehmensberatung

Themengebiet:
Informationssicherheit

Unternehmensberatung

RST Beratung
Stammsitz Essen
Brunnenstraße 15 – 17
45128 Essen

Tel.: 0201 / 87 99 9 - 0
Fax: 0201 / 87 99 9 - 55
E-Mail: essen@rst-beratung.de