Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555), die im Amtsblatt der EU veröffentlicht wurde, ist ein bahnbrechender Rechtsakt, mit dem das erste horizontale Instrument für Cybersicherheit in der EU geschaffen wird. Ein horizontales Instrument gilt für alle Sektoren und Branchen, nicht nur für einige wenige.

Rechtsvorschriften zur Cybersicherheit in der EU

Vor der NIS2 legte die ursprüngliche NIS-Richtlinie den Grundstein für die Zusammenarbeit im Bereich der Cybersicherheit in der EU. Das rasante Tempo der digitalen Transformation und die harte Realität, die durch die Coronapandemie zutage traten, zeigten jedoch die Grenzen des Vorgängers auf:

• Unzureichende allgemeine Cyber Resilience: Viele in der EU tätige Unternehmen waren immer noch anfällig für Cyberbedrohungen.
• Uneinheitliche Resilience in den Mitgliedstaaten und Sektoren: Der Grad hinsichtlich des Vorbereitung auf Cyberbedrohungen variierte erheblich zwischen den Mitgliedsstaaten und Sektoren.
• Begrenztes Verständnis der Bedrohungen: Den Mitgliedstaaten fehlte eine gemeinsame Sichtweise auf die sich entwickelnde Cyberbedrohungslandschaft, einschließlich der neuesten Bedrohungen und Schwachstellen.
• Fragmentierte Krisenreaktion: Das Fehlen eines koordinierten Ansatzes hat die kollektiven Reaktionsbemühungen bei Cyberangriffen behindert.

Aufgrund der o. a. Einschränkungen erkannte die Europäische Kommission die Notwendigkeit einer zukunftssicheren Lösung und formulierte die NIS2-Richtlinie, um die allgemeine Sicherheitslage der EU zu verbessern.

Hier finden Sie eine Übersicht über die wichtigsten Anforderungen von NIS2:

• Risikomanagement: Organisationen müssen ein umfassendes Programm für Risikomanagement einführen, um potenzielle Bedrohungen für ihre kritische Infrastruktur zu identifizieren, zu analysieren und zu priorisieren. Dazu können Bedrohungsmodellierung, Schwachstellenbewertungen und Penetrationstests gehören. Ein Energieversorger muss beispielsweise die Risiken abschätzen, die mit einem Cyberangriff verbunden sind, der sein Stromnetz stört.
• Sicherheitsmaßnahmen: Organisationen müssen ein Grundniveau für technische und grundlegende Sicherheitsmaßnahmen festlegen und aufrechterhalten, das Bereiche wie Zugriffskontrolle, Reaktion auf Sicherheitsvorfälle, Business Continuity (Aufrechterhaltung des Betriebs) und Sicherheit der Lieferkette abdecken.
• Aufsicht durch das Management: Das Management einer Organisation (z. B. Vorstand, CEO) ist für die Aufsicht und Genehmigung des Managementprogramms für Cybersicherheitsrisiken sowie der Sicherheitsmaßnahmen und der Reaktionspläne für Sicherheitsvorfälle verantwortlich. Führungskräfte können für erhebliche Verstöße gegen diese Anforderungen haftbar gemacht werden.
• Meldung von Sicherheitsvorfällen: Organisationen müssen die zuständigen Behörden unverzüglich über alle bedeutenden Sicherheitsvorfälle informieren, die sich auf ihren Betrieb oder ihre Services auswirken. Innerhalb von 24 Stunden ist eine Frühwarnung mit dem Hinweis erforderlich, ob der Sicherheitsvorfall böswillig erscheint. Anschließend folgt Innerhalb von 72 Stunden ein detaillierterer Bericht über den Sicherheitsvorfall, in dem der Schweregrad, die Auswirkungen und alle Hinweise auf eine Kompromittierung beschrieben werden. Schließlich muss innerhalb eines Monats ein umfassender Abschlussbericht vorgelegt werden, in dem der gesamte Sicherheitsvorfall, seine Ursache und die getroffenen Abhilfemaßnahmen detailliert beschrieben werden.
• Informationsaustausch: NIS2 schreibt einen besseren Informationsaustausch zwischen den Mitgliedstaaten vor, um koordinierte Reaktionen auf groß angelegte Cyberangriffe zu erleichtern. Dazu gehört der Austausch von Informationen über Cyberbedrohungen, Schwachstellen und Best Practices.

In den Leitlinien der zuständigen Behörden werden die 10 wichtigsten Maßnahmen beschrieben:

1. Risikoanalyse und Sicherheit von Informationssystemen
2. Umgang mit Sicherheitsvorfällen
3. Maßnahmen zur Business Continuity (Sicherung, Notfallwiederherstellung, Krisenmanagement)
4. Lieferkettensicherheit
5. Sicherheit bei der Beschaffung, Entwicklung und Wartung von Systemen, einschließlich des Umgangs mit und der Offenlegung von Schwachstellen
6. Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
7. Grundlegende Computerhygiene und -schulungen
8. Richtlinien für den angemessenen Einsatz von Kryptographie und Verschlüsselung
9. Human-Resources-Sicherheit, Richtlinien für Zugriffskontrolle und Asset Management
10. Verwendung geschützter Sprach-, Video- und Text-Multifaktor-Kommunikation und geschützter Notfallkommunikation

Gemäß den Leitlinien müssen alle Maßnahmen in einem angemessenen Verhältnis zu Risiko, Umfang, Kosten sowie Auswirkungen und Schwere der Vorfälle stehen und den Stand der Technik sowie gegebenenfalls relevante europäische und internationale Standards berücksichtigen.

NIS vs. NIS2

In der folgenden Tabelle werden die wichtigsten Merkmale von NIS und NIS2 verglichen:

Um die laufende NIS2-Compliance zu gewährleisten, sind die zuständigen Behörden befugt, potenzielle Verstöße zu untersuchen. Während solcher Untersuchungen dürfen sie jede beliebige der folgenden Maßnahmen ergreifen:

• Untersuchungen vor Ort: Mitarbeiter der zuständigen Behörden können eine Einrichtung vor Ort besuchen, um sich aus erster Hand ein Bild von ihrem Cybersicherheitsstatus zu machen.
• Sicherheitsaudits: Sie können Sicherheitsaudits durchführen, um die Sicherheitsinfrastruktur einer Einrichtung zu bewerten und potenzielle Schwachstellen zu identifizieren.
• Anforderung von Informationen: Sie können detaillierte Informationen von einer Einrichtung anfordern, z. B. Pläne für das Management von Cybersicherheitsrisiken, Protokolle für die Reaktion auf Sicherheitsvorfälle und Nachweise für implementierte Sicherheitsmaßnahmen.
• Sicherheitsscans: Sie können Netzwerk- oder Systemscans durchführen, um ausnutzbare Sicherheitsschwachstellen oder Fehlkonfigurationen zu identifizieren.
• Zugriff auf Informationen: Mitarbeiter der zuständigen Behörden können Informationen über die Cybersicherheitsmaßnahmen eines Unternehmens anfordern, einschließlich der Art und Weise, wie sie umgesetzt werden, und der entsprechenden Dokumente.

Es ist wichtig zu wissen, dass für wichtige Einrichtungen diese Untersuchungsmaßnahmen erst nach einem Vorfall ergriffen werden dürfen. Bei essenziellen Einrichtungen, die zu den kritischen Infrastrukturen gehören, können die zuständigen Behörden diese Maßnahmen auch je nach Bedarf einsetzen, um die kontinuierliche Einhaltung der NIS2-Anforderungen zu gewährleisten – sogar bevor es zu einem Verstoß kommt.

Geldbußen bei Non-Compliance:

• Wesentliche Einrichtungen müssen mindestens 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes zahlen, je nachdem, welcher Betrag höher ist.
• Wichtige Einrichtungen müssen mindestens 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes zahlen, je nachdem, welcher Betrag höher ist.

NIS2 schreibt Sicherheitsmaßnahmen für alle Organisationen vor, die gemäß der Richtlinie als „wesentlich“ oder „wichtig“ eingestuft werden. Einfacher ausgedrückt: Wenn die Öffentlichkeit tagtäglich von den Produkten oder Dienstleistungen einer Organisation abhängig ist, muss die Organisation die NIS2-Regeln einhalten.

Beispiele für wesentliche Einrichtungen sind: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser und digitale Infrastruktur.

Beispiele für wichtige Einrichtungen sind: Post- und Kurierdienste, Chemie, Lebensmittel, Verarbeitendes Gewerbe/Herstellung von Waren, Abfallwirtschaftung und Forschung.

Zusätzlich zu den wesentlichen und wichtigen Organisationen in der EU gilt die NIS2 auch für bestimmte Nicht-EU-Einrichtungen, die Dienstleistungen in der EU anbieten. Dazu gehören: DNS-Diensteanbeiter, Diensteanbieter für Cloud Computing und Rechenzentren, Namensregister der Domäne oberster Stufe (TLD; Top-Level-Domain), Managed Service Provider (MSPs; Anbieter verwalteter Dienste), Content Delivery Network(CDN)-Anbieter (Betreiber von Inhaltszustellnetzen) und Anbieter von Online-Marktplätzen.

NIS2 ist eine umfassende Cybersicherheitsrichtlinie, die darauf abzielt, den allgemeinen Ausblick der EU hinsichtlich Sicherheit zu verbessern. Wenn es sich bei Ihrer Organisation um eine wichtige oder wesentliche Einrichtung gemäß NIS2 handelt, sollten Sie die Einführung strengerer Cybersicherheitsmaßnahmen zum Schutz Ihrer kritischen Systeme und Dienstleistungen in Betracht ziehen. Das macht Sie nicht nur widerstandsfähiger gegen Cyberangriffe, sondern trägt auch zu einer sichereren digitalen Landschaft in der gesamten Europäischen Union bei.

Die EU-Mitgliedsstaaten sind nun dabei, die NIS2-Richtlinie bis zum 17. Oktober 2024 in ihre eigenen Verordnungen umzusetzen (zu übernehmen), wobei die Verordnungen am nächsten Tag, dem 18. Oktober 2024, in Kraft treten. Es wird erwartet, dass diese nationalen Verordnungen detailliertere Angaben zu den technischen Aspekten der Richtlinie enthalten und weitere Hinweise zur Compliance gegeben werden.