Die digitale Landschaft entwickelt sich rasant, und damit auch die Bedrohungen für die Informationssicherheit. Vor diesem Hintergrund hat die Europäische Union die neue „Network and Information Security Directive“ (NIS2) eingeführt, welche die erste NIS-Richtlinie aus dem Jahr 2016 ablöst. Während die ursprüngliche NIS-Richtlinie vor allem auf den Aufbau von Cybersicherheitskapazitäten abzielte, bringt NIS2 umfassendere Pflichten für Mitgliedstaaten und Unternehmen mit sich.
Was regelt die NIS2-Richtlinie?
Die NIS2-Richtlinie zielt darauf ab, die Cyber- und Informationssicherheit von Unternehmen und Institutionen zu regulieren. Anvisiert wird dabei ein hohes und harmonisiertes Cybersicherheitsniveau auf EU-Ebene. Um dies zu gewährleisten, werden verschiedene Maßnahmen getroffen, welche die betroffenen Einrichtungen umzusetzen haben.
Für die Betroffenheit der Unternehmen werden diese gemäß der NIS-2 in vier Einrichtungstypen eingeteilt: Betreiber kritischer Anlagen (KRITIS), besonders wichtige Einrichtungen („essential“), wichtige Einrichtungen („important Entities“) und Bundeseinrichtungen. Die Einteilung in die jeweiligen Typen erfolgt dabei anhand der Größe, Mitarbeiterzahl und des Umsatzes der jeweiligen Einrichtung.
Des Weiteren muss jeder Einrichtungstyp spezifische Maßnahmen umsetzen, wobei KRITIS-Betreiber höheren Standards unterliegen. Auch gilt, dass die Einrichtungen den in den Anhängen eins und zwei angegebenen Sektoren zuordenbar sein müssen.
So gelten beispielsweise Unternehmen, die in einem der jeweiligen Sektoren tätig sind, mehr als 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro erzielen und eine Bilanz von über 42 Millionen Euro vorweisen, als besonders wichtige Einrichtungen und unterliegen strengeren Auflagen als Unternehmen die lediglich mehr als 50 Mitarbeiter beschäftigen oder Umsatz und Bilanz bei über 10 Millionen Euro liegen.
Umzusetzen ist eine Reihe von technischen und organisatorischen Maßnahmen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören Risikoanalysen, Management von Schwachstellen, sichere Kommunikationskanäle und die Meldung von Sicherheitsvorfällen an das BSI. Die Meldung erfolgt in einem mehrstufigen Verfahren, welches die Erstmeldung, Folgemeldung, Zwischenmeldung und die Abschlussmeldung beinhalten.
Gemeldet werden unter anderem Beschreibung des Vorfalls, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung und laufende Abhilfemaßnahmen.
Basierend auf der Meldung der Sicherheitsvorfälle ermöglicht die Zusammenarbeit zwischen Unternehmen und staatlicher Stellen Ressourcen zu bündeln und gemeinsam auf Bedrohungen zu reagieren, was die Gesamtsicherheit erhöht. Diese kollaborativen Ansätze sind entscheidend, um eine breitere und effektivere Verteidigung gegen Cyberbedrohungen zu gewährleisten und eine resiliente digitale Infrastruktur aufzubauen.
Kontinuierliche Anpassung
Technologien bringen bekanntlich nicht nur Vorteile, sondern auch neue Herausforderungen für die Cybersicherheit. Die NIS-2 betont daher die Notwendigkeit einer kontinuierlichen Anpassung an die Bedrohungen. Die Fähigkeit, schnell auf neue Bedrohungen zu reagieren, ist dabei von zentraler Bedeutung. Flexibilität und Schnelligkeit sind hier gefragt. IT-Infrastrukturen sollten so gestaltet werden, dass auf neue Gefahren schnell reagiert werden kann. Erforderlich sind hier vor allem regelmäßige Updates und Sicherheitspatches, um Schwachstellen zeitnah zu schließen. Technologische Fortschritte im Bereich der Automatisierung bieten zusätzliche Möglichkeiten, Bedrohungen schneller und effizienter zu erkennen und abzuwehren.
Die kontinuierliche Anpassung sollte hierbei nicht nur als eine Verpflichtung der NIS-2 verstanden werden, sondern vielmehr als eine Notwendigkeit für den langfristigen Erfolg und das Vertrauen der Kunden und Partner.
Sanktionen bei Nichteinhaltung
Setzen Unternehmen die geforderten Verpflichtungen nicht um, sieht die NIS-2 empfindliche Sanktionen für Unternehmen vor. Diese Sanktionen sollen sicherstellen, dass die geforderten Sicherheitsmaßnahmen ernst genommen und konsequent umgesetzt werden. Unternehmen, die die Vorgaben der NIS-2 ignorieren oder unzureichend umsetzen, riskieren erhebliche Bußgelder. Diese können bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Die strengen Sanktionen unterstreichen die Bedeutung, die die EU der Cybersicherheit beimisst. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe und der steigenden Abhängigkeit von digitalen Infrastrukturen ist es von entscheidender Bedeutung, dass Unternehmen robuste Sicherheitsmaßnahmen implementieren. Die Möglichkeit hoher Geldstrafen soll hier als Anreiz dienen, die notwendigen Investitionen in u. a. Sicherheitslösungen oder auch Schulungen vorzunehmen. Auch die organisatorische Einbindung der Cybersicherheit in die Unternehmensstrategie wird damit gefördert. Die Umsetzung und Einhaltung der NIS-2 werden durch das BSI überwacht. Unternehmen, die ihren Meldepflichten nicht nachkommen oder Sicherheitsvorfälle verschweigen, müssen folgend mit strengen Konsequenzen rechnen. Dies soll sicherstellen, dass Sicherheitsvorfälle schnell erkannt und eingedämmt werden können, um größere Schäden zu verhindern.
In einer Zeit, in der Cyberbedrohungen ständig zunehmen und immer raffinierter werden, ist eine robuste Sicherheitsstrategie unerlässlich. Die Sanktionen der NIS-2 sind daher ein wesentliches Element, um die Resilienz der digitalen Infrastrukturen in Europa zu stärken und die Wirtschaft vor den verheerenden Auswirkungen von Cyberangriffen zu schützen.
Umsetzung der NIS2-Richtlinie in den EU-Mitgliedstaaten
Die EU-Mitgliedstaaten sind verpflichtet, im Rahmen der NIS2-Richtlinie nationale Cybersicherheitsstrategien zu entwickeln, sodass sichergestellt werden kann, dass die NIS-2-Vorgaben umfassend umgesetzt werden und die nationalen Behörden in der Lage sind, effektiv auf Cybersicherheitsvorfälle zu reagieren.
Konkrete Umsetzung in Deutschland
In Deutschland wird die Umsetzung der NIS-2 Richtlinie derzeit intensiv vorbereitet, wobei die Integration in bestehende Gesetze und Strukturen im Vordergrund steht. Das BSI übernimmt dabei eine zentrale Rolle als Aufsichtsbehörde. Die Herausforderung besteht darin, die NIS-2 Vorgaben mit nationalen Regelungen zu harmonisieren, insbesondere hinsichtlich der KRITIS-Gesetzgebung, die für Betreiber kritischer Infrastrukturen bereits existiert. Die Komplexität der Umsetzung ergibt sich aus der Vielzahl an spezifischen Anforderungen, die an die unterschiedlichen Unternehmensgrößen und -typen angepasst werden müssen.
Herausforderungen und wirtschaftlicher Aufwand
Die Umsetzung der NIS2-Richtlinie bringt erhebliche wirtschaftliche Herausforderungen mit sich. Unternehmen müssen in neuere Technologien, Sicherheitslösungen, Schulungen und Infrastrukturen investieren, um die geforderten Standards zu erfüllen. Dazu gehören der Erwerb und die Implementierung von Sicherheitssoft und -hardware, die Wartung von Systemen sowie die Etablierung sicherer Kommunikationskanäle. Des Weiteren ist die Schulung der Mitarbeiter entscheidend, um sicherzustellen, dass sie sich der Sicherheitsrisiken bewusst sind und wissen, wie sie diese minimieren können.
Besonders für mittlere Unternehmen kann der wirtschaftliche Aufwand signifikant sein, da sie oft nicht über die gleichen Ressourcen wie große Konzerne verfügen.
Die Kosten für die Implementierung der NIS-2 Maßnahmen können hoch sein, werden jedoch durch das erhöhte Schutzniveau gerechtfertigt. Unternehmen, die frühzeitig in Cybersicherheitsmaßnahmen investieren, können zudem von einem Wettbewerbsvorteil profitieren, da sie besser auf Bedrohungen reagieren und folgend Geschäftskontinuität gewährleisten können.
Der Zeitplan zur Umsetzung der NIS2-Richtlinie ist ambitioniert, und je später das entsprechende nationale Umsetzungsgesetz verkündet wird, desto kürzer wird die Frist für die betroffenen Unternehmen sein, um die geforderten Maßnahmen umzusetzen.
Ausschlüsse
Während durch die NIS-2 eine breite Palette von Einrichtungen und Sektoren abgedeckt wird, gibt es auch bestimmte Ausschlüsse, die klar definiert sind. Die Ausschlüsse sind notwendig, um sicherzustellen, dass die Maßnahmen der NIS-2 zielgerichtet und umsetzbar bleiben. Spezifische Brancheneinrichtungen, die bereits unter andere spezielle Regulierungen fallen, müssen die Verpflichtungen der NIS-2 nicht beachten. Dies trifft bspw. auf Finanzunternehmen zu, die bereits unter die DORA-Verordnung der EU fallen. Durch die DORA-Verordnung werden den betroffenen Unternehmen teilweise detailliertere Pflichten verordnet.
Unternehmen, die nicht gänzlich, allerdings teilweise von den NIS-2 Pflichten ausgeschlossen werden können, werden durch u. a. DNS-Diensteanbieter, Top Level Domain Name Registries und Cloud-Computing-Dienstleister dargestellt. Diese müssen die Einzelmaßnahmen gemäß §30 (2) nicht umsetzen. In diesem Fall haben die Durchführungsrechtsakten (Implementing Acts) der EU Vorrang. Mithilfe der Implementing Acts können konkretere technische und methodische Anforderungen erlassen werden, die verbindlich werden und vor der Umsetzung der Maßnahmen nach §30 (2) Vorrang haben. Weitergehende Konkretisierungen können durch das Innenministerium erlassen werden.
Fazit und Ausblick
Die NIS2-Richtlinie markiert einen bedeutenden Schritt zur Stärkung der Cybersicherheit in Europa. Durch die erweiterten Pflichten und dem breiteren Anwendungsbereich wird sichergestellt, dass mehr Unternehmen und Dienstleistungen geschützt werden. Für Unternehmen bedeutet dies jedoch auch eine erhebliche Verantwortung und einen hohen Aufwand, um die neuen Anforderungen zu erfüllen.
In einer zunehmend digital vernetzten Welt ist Cybersicherheit unerlässlich. Die NIS2-Richtlinie bietet den notwendigen Rahmen, um den aktuellen und zukünftigen Bedrohungen begegnen zu können. Unternehmen sollten sich frühzeitig auf die neuen Anforderungen vorbereiten, um sicherzustellen, dass sie den Vorgaben gerecht werden und ihre Netz- und Informationssysteme wirksam schützen.
Die Entwicklungen im Bereich der Cybersicherheit bleiben dynamisch.
Zum Autor:
Chousein Montour Chasan ist Werkstudent im Bereich Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Unterstützung bei der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Auch die Prozessoptimierung und Beratungen zur IT-Sicherheit zählen zu seinen Aufgaben. Darüber hinaus ist er maßgeblich an der Optimierung des internen ISMS bei der migosens beteiligt.