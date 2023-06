Digitalisierung bedeutet in erster Linie eine Steigerung von Effizienz, häufig auch eine Erweiterung von möglichen Kundenkreisen und eine Flexibilisierung moderner Arbeit. Mit zunehmenden Bedeutung von technologiegestützten Prozessen wächst allerdings auch die Abhängigkeit von eben diesen Technologien. In Kombination mit einer steigenden Bedrohungslage durch Cyberkriminalität in der gesamten EU sind umfassende Maßnahmen zum Schutz der Organisationen unerlässlich.

Was ist die NIS2-Richtlinie?

Im Jahr 2016 wurde deshalb bereits die NIS-Richtlinie (Network-and-Information-Security-Richtlinie) eingeführt, die für alle Sektoren der kritischen Infrastruktur gilt und strikte Vorgaben zu Cybersecurity macht. Anfang dieses Jahres überarbeitete die EU diese Richtlinie und ersetzte sie durch eine zweite, verschärfte Fassung mit der Bezeichnung NIS 2. Dabei wurde der Kreis der von der Richtlinie betroffenen Unternehmen und Organisationen deutlich ausgeweitet und in die Kategorien "wesentliche Sektoren" (hohe Kritikalität) und "wichtige Sektoren" (sonstige kritische Sektoren) eingeteilt.

Damit nicht genug erweiterte die EU die wesentlichen Sektoren, die bereits zum Teil in NIS definiert sind, dabei stark, die "wichtigen Sektoren" für NIS 2 definierte sie gänzlich neu. Teilweise herrscht hier Deckungsgleichheit mit den KRITIS-Sektoren und den sogenannten "UBI" (Unternehmen im besonderen öffentlichen Interesse). Allerdings umfasst die NIS2-Richtlinie nochmal mehr Unternehmen. Bei einem Verstoß in Organisationen mit "hoher Kritikalität" können Strafen in Höhe von bis zu 10 Millionen Euro fällig werden.

Zusätzlich sind auch Anbieter digitaler Dienste, die den Schwellenwert von 50 Mitarbeitern und 10 Millionen Euro Umsatz erreichen, verpflichtet, die Richtlinie einzuhalten. Gepaart mit der Frist zur Umsetzung bis zum Herbst 2024 übt NIS 2 auf viele Unternehmen erheblichen Druck aus. Wer nicht unverzüglich reagiert und das Thema priorisiert, dürfte Schwierigkeiten mit dem Einhalten der Richtlinie bekommen – zum Beispiel durch den Umfang der umzusetzenden Maßnahmen.

Lesetipp: EU Cyber Reslikience Act - Neue EU-Vorgaben zur Cybersicherheit

Welche Sektoren sind in welchem Umfang betroffen?

Innerhalb der Vorgänger-Richtlinie NIS waren die Mitgliedsstaaten selbst für die Einstufung der Organisationen in "wesentliche Betreiber" verantwortlich. Durch die Neuerung in NIS 2 werden hier klare Vorgaben gemacht und zudem vergleichsweise kleine Unternehmen mit in die Verantwortung genommen. Der Umfang der Strafe bei einem Verstoß gegen die Richtlinie hängt von der jeweiligen Zuordnung zu "wesentlich" oder "wichtig" ab.

Mit "wesentlichen Sektoren" sind folgende gemeint:

Energie (Strom, Öl, Gas, Wärme, Wasserstoff)

Gesundheit (Versorger, Labore, F&E, Pharma)

Transport (Luft, Schiene, Wasser, Straße)

Banken und Finanzmärkte

Wasser und Abwasser

Digital (Anbieter von Internet Exchange Points [IXP], DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)

ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung

Als "wichtige Sektoren" wurden die folgenden definiert:

Post und Kurier

Abfallwirtschaft

Chemie

Ernährung

Industrie (Technik und Ingenieurwesen)

Digitale Dienste (Online-Marktplätze, online Suchmaschinen, soziale Netzwerke)

Forschung

Welche Maßnahmen werden durch die Richtlinie definiert?

Der grundsätzliche Anspruch der NIS 2 ist eine Harmonisierung des Cybersicherheits-Niveaus aller EU-Mitgliedsstaaten. Die jeweiligen Erweiterungen dienen einer erhöhten Resilienz und Reaktionsfähigkeit auf IT-Sicherheitsvorfälle sowohl für öffentliche als auch für private Einrichtungen. Für den grenzüberschreitenden Austausch innerhalb der EU wird die digitale Infrastruktur als zentraler Bestandteil verstanden, den es für einen uneingeschränkten Binnenmarkt zu schützen gilt.

Die NIS2-Richtlinie verlangt nicht nur mehr Maßnahmen als die NIS, sondern übersteigt in ihren Anforderungen ebenfalls die Vorgaben des deutschen IT-Sicherheitsgesetzes 2.0. Die zentrale Anforderung der EU-Richtlinie ist das Einbeziehen der IT-Sicherheit in die globale Unternehmenssteuerung. Ein stringentes Risikomanagement, Sensibilisierung und Schulung von Mitarbeitern, Regelungen zum Melden von Vorfällen, sowie das Vorbehalten von Notfallplänen für den Ernstfall werden für die betroffenen Unternehmen notwendig werden.

Zentrale technische Maßnahmen zur Absicherung der Unternehmen werden in der Richtlinie als "Cyberhygiene" bezeichnet und umfassen unter anderem eine systematische Datensicherung, stichhaltige Konzepte für die Zugriffskontrolle, ein sicheres Management von Schwachstellen und die Verschlüsselung von Informationen.

Lesetipp: EU Data Act - Neue Pläne zur Datennutzbarkeit und -weitergabe

Was gilt für betroffene Unternehmen?

Das Umsetzen der durch die NIS 2 Richtlinie geregelten Maßnahmen umfasst ein breites Spektrum an Tätigkeiten und kann, wie auch Cybersicherheit selbst, eher als Prozess verstanden werden. Verantwortliche Administratoren sind kontinuierlich dazu angehalten, die eigenen Prozesse und Maßnahmen zu prüfen und an die jeweiligen Anforderungen anzupassen. Die Dynamik und Komplexität der (IT-)Umwelt bringen immer wieder neue Anforderungen an Unternehmen und deren interne IT-Sicherheitsmaßnahmen hervor.

Lesetipp: Cybergesetze – Firmen in Zugzwang

Grundsätzlich kann das Umsetzen der Maßnahmen in die folgenden sieben Schritte aufgeteilt werden: