NIS2-Richtlinie: Neue Standards und Herausforderungen für die Cybersicherheit in der EU
Die NIS2-Richtlinie (Network and Information Security Directive) ist eine wichtige Entwicklung im Bereich der Cybersicherheit für die Europäische Union. Als Nachfolgerin der ursprünglichen NIS-Richtlinie ist sie am 16.01.2023 in Kraft getreten, um auf die steigenden Bedrohungen durch Cyberangriffe zu reagieren und die Resilienz kritischer Infrastrukturen (KRITIS) zu stärken. Bis zum 17. Oktober 2024 muss die NIS2-Richtlinie in allen EU-Mitgliedsstaaten ins nationale Recht überführt sein. In Deutschland selbst greift bereits seit Juli 2023 das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG), als Referentenentwurf des Bundesinnenministeriums.
Verwandte und hilfreiche Links:
-
Cybersecurity Unternehmen: Finden Sie den idealen Anbieter für die Umsetzung der IT-Sicherheit in Ihrem Unternehmen.
-
Projekt ausschreiben: Schreiben Sie Ihr Cybersecurity-Projekt kostenlos auf unserer Plattform aus und lernen Top-Unternehmen für IT-Sicherheit kennen.
Erweiterter Anwendungsbereich der NIS2-Richtlinie
Die NIS2-Richtlinie erweitert den Anwendungsbereich der ersten Richtlinie erheblich, indem zusätzliche Sektoren einbezogen werden, die ebenfalls als kritisch für die Cybersicherheit angesehen werden.
Wenn bedacht wird, wie schwerwiegend die Auswirkungen von Cyberangriffen auf diese Gesellschaften sein können, ist dieser Schritt längst überfällig. Cyberangriffe auf Krankenhäuser und andere medizinische Einrichtungen könnten für finanzielle Verluste sorgen, oder schlimmer noch, die Versorgung von Patienten gefährden.
Durch die Erweiterung des Anwendungsbereichs der NIS2-Richtlinie soll sichergestellt werden, dass mehr Organisationen als zuvor strenge Sicherheitsmaßnahmen umsetzen müssen, um sich vor Cyberbedrohungen zu schützen. Einfach ausgedrückt führt das Umsetzen der NIS2-Richtlinie zu einer widerstandsfähigeren Infrastruktur in der gesamten EU.
Definition von wesentlichen und wichtigen Einrichtungen
Die NIS2-Richtlinie der EU unterscheidet zwischen zwei Kategorien von Unternehmen, die den Richtlinien unterliegen: „wesentliche“ oder auch „besonders wichtige“ (essential) und „wichtige“ (important) Organisationen.
Wesentliche / besonders wichtige Einrichtungen sind Organisationen
- in einem Sektor mit hoher Kritikalität und
- mehr als 250 Beschäftigten oder
- mehr als 50 Millionen Euro Umsatz.
Wichtige Einrichtungen sind Organisationen mit
- mehr als 50 Mitarbeitern oder
- einem Jahresumsatz von mehr als 10 Millionen Euro.
Was sind Kritische Infrastrukturen?
Kritische Infrastrukturen werden vom BSI wie folgt definiert:
„Kritische Infrastrukturen (kurz: KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Zur Gruppe der wesentlichen Organisationen gehören hauptsächlich KRITIS-Unternehmen, die von großer Bedeutung für das staatliche Gemeinwesen sind und deren Ausfall schwerwiegende Folgen hätte. Die NIS2-Richtlinie nennt folgende Sektoren:
- Energie
- Ernährung
- Finanz- und Versicherungswesen
- Gesundheit
- Informationstechnik und Telekommunikation
- Siedlungsabfallentsorgung
- Medien und Kultur
- Staat und Verwaltung
- Transport und Verkehr
- Wasser
Strengere Sicherheitsanforderungen
Für betroffene Unternehmen und Organisationen gelten mit der NIS2-Richtlinie strengere Sicherheitsanforderungen. Zu diesen gehören etwa Maßnahmen zur Risikobewertung, zum Verhindern von Cybervorfällen und zur Schadensbegrenzung im Falle eines Angriffs.
Damit Schwachstellen und potenzielle Bedrohungen schnell identifiziert werden können, ist das Durchführen von regelmäßigen Risikobewertungen besonders wichtig. Je nach Ergebnis der Bewertung müssen Organisationen und Unternehmen dann geeignete Sicherheitsmaßnahmen implementieren. Im technischen Bereich umfasst das zum Beispiel Firewalls, eine verbesserte Verschlüsselung oder Intrusion-Detection-Systeme. Im organisatorischen Bereich gehören Schulungen für Mitarbeiter oder auch das Einführen klarerer Sicherheitsrichtlinien.
Ein ebenfalls wichtiger Punkt in der NIS2-Richtlinie: Unternehmen müssen Notfallpläne entwickeln, damit sie im Schadensfall wirklich schnell und effektiv reagieren können. In diesen Plänen sollten Maßnahmen zur Eindämmung des Schadens, zur Wiederherstellung der vom Cyberangriff betroffenen Systeme und auch zur Kommunikation mit den betroffenen Parteien festgehalten werden.
Meldepflichten und Berichtswesen
Die verschärften Meldepflichten für Cybervorfälle sind ein weiterer wichtiger Aspekt der NIS2-Richtlinie. Unternehmen und Organisationen in den betroffenen Sektoren sind dazu verpflichtet, sämtliche Sicherheitsvorfälle unverzüglich den zuständigen nationalen Behörden zu melden. Das heißt, dass nicht nur erfolgreiche Cyberangriffe meldepflichtig sind, sondern auch gescheiterte Versuche.
In der Richtlinie werden klare Fristen und Verfahren zur Meldung dieser Vorfälle festgelegt. Wird ein Cyberangriff entdeckt, haben die betroffenen Sektoren 24 Stunden Zeit, diesen zu melden. Die Meldung selbst muss detaillierte Informationen über die Art des Vorfalls, die betroffenen Systeme und Daten sowie die ergriffenen Maßnahmen zur Schadensbegrenzung enthalten.
Die nationalen Behörden müssen die Vorfälle analysieren und geeignete Maßnahmen ergreifen, um die Auswirkungen zu minimieren und weitere Angriffe zu verhindern. Weil die Richtlinie aber auf internationaler Ebene greift, sind die nationalen Behörden dazu verpflichtet, regelmäßige Berichte über die Cybersicherheitslage in ihrem Zuständigkeitsbereich zu erstellen und an die Europäische Agentur für Cybersicherheit (ENISA) weiterzuleiten. Auf diese Art lässt sich ein umfassendes Bild zur Cybersicherheitslage in der EU erhalten, das es Behörden ermöglicht, geeignete Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.
Zusammenarbeit und Informationsaustausch
Die NIS2-Richtlinie fördert die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten und verschiedenen Sektoren, um die Cybersicherheit zu stärken. Wichtig ist das vor allem, weil Cyberbedrohungen oft grenzüberschreitend sind und eine koordinierte Reaktion erfordern.
Ein zentrales Element der Zusammenarbeit ist die Einrichtung nationaler Computer-Sicherheitsvorfall-Teams (CSIRTs), die für die Überwachung und Bekämpfung von Cybervorfällen zuständig sind. Die einzelnen Teams arbeiten untereinander eng zusammen, um einen kontinuierlichen Austausch über Bedrohungen und Angriffe aufrechtzuerhalten und gemeinsam Gegenmaßnahmen zu entwickeln.
Die NIS2-Richtlinie fördert außerdem den Informationsaustausch zwischen öffentlichen und privaten Akteuren. Unternehmen und Organisationen sind verpflichtet, sicherheitsrelevante Informationen mit den zuständigen Behörden und anderen betroffenen Parteien zu teilen. Durch die komplexe Zusammenarbeit aller einzelnen Parteien können sämtliche EU-Mitgliedstaaten und auch die einzelnen Sektoren besser auf Cyberbedrohungen reagieren und die Sicherheit der IT-Systeme verbessern.
Sanktionen und Durchsetzung
Die NIS2-Richtlinie sieht auch strenge Sanktionen für Unternehmen und Organisationen vor, die die Sicherheitsanforderungen nicht erfüllen oder ihre Meldepflichten vernachlässigen. Erhebliche finanzielle Strafen und weitere Maßnahmen sollen sicherstellen, dass die Richtlinie ernst genommen und nicht vernachlässigt wird.
Für wesentliche Einrichtungen fällt die Geldstrafe deutlich höher aus als für wichtige Einrichtungen. Wesentliche Einrichtungen können mit Sanktionen von 2 % des Jahresumsatzes oder maximal 10 Mio. Euro behängt werden. Ausschlaggebend ist der höhere Betrag. Wichtige Einrichtungen zahlen 1,4 % des Jahresumsatzes oder maximal 7 Mio. Euro Bußgeld. Auch hier ist der höhere Betrag entscheidend.
Wichtig zu wissen: Der Entwurf des Bundesinnenministeriums sieht bislang vor, dass Leitungsorgane von Unternehmen auch mit ihrem Privatvermögen haften. Die Obergrenze liegt hier bei 2 % des globalen Jahresumsatzes vom Unternehmen.
Ob die NIS2-Richtlinie eingehalten wird, wird von nationalen Behörden überwacht. Dafür gibt es regelmäßige Prüfungen und Audits. Die Behörden können Bußgelder verhängen, die sich nach der Schwere des Verstoßes und den damit verbundenen Risiken richten. In besonders schweren Fällen können auch andere Maßnahmen, wie beispielsweise das Auferlegen von Betriebsbeschränkungen oder das Entziehen von Lizenzen ergriffen werden.
Diese Sanktionen und Durchsetzungsmaßnahmen sind notwendig, um sicherzustellen, dass die NIS2-Richtlinie wirksam ist und die Cybersicherheit in der EU verbessert. Es ist ihr Ziel, Unternehmen und Organisationen dazu zu bewegen, die notwendigen Sicherheitsmaßnahmen zu ergreifen und ihre Verantwortung für den Schutz der IT-Sicherheit zu erkennen.
Herausforderungen und Umsetzungsprobleme
Der technische und organisatorische Aufwand, der mit dem Umsetzen der erforderlichen Sicherheitsmaßnahmen verbunden ist, sollte nicht unterschätzt werden und stellt viel Unternehmen und Organisationen vor eine Reihe von Herausforderungen.
Viele Unternehmen müssen erhebliche Investitionen in ihre IT-Infrastruktur tätigen, um den neuen Sicherheitsanforderungen gerecht zu werden. Der Kauf und die Implementierung neuer Sicherheitstechnologien ist nicht ausreichend, auch die Schulung der Mitarbeiter und das Ausarbeiten neuer Sicherheitsrichtlinien und -prozesse sind von entscheidender Bedeutung.
Foto von rivage auf Unsplash
Ein weiteres Problem, vor dem viele Sektoren stehen, ist der Mangel an qualifiziertem Personal. Cybersicherheit ist ein sehr spezialisiertes und umfangreiches Feld und viele Unternehmen haben Schwierigkeiten dabei, die benötigten Fachkräfte im Cybersecurity-Bereich a) zu finden und b) zu halten. Das Umsetzen der erforderlichen Sicherheitsmaßnahmen für die NIS2-Richtlinie verzögert sich damit stellenweise nicht unerheblich und beeinträchtigt die Effektivität der Maßnahmen massiv.
Nicht zuletzt können auch regulatorische und bürokratische Hürden die Implementierung der NIS2-Richtlinie erschweren. Unternehmen müssen sich durch eine Vielzahl von Vorschriften und Anforderungen arbeiten, um sicherzustellen, dass sie alle rechtlichen Vorgaben erfüllen.
Trotz all dieser Herausforderungen gibt es zumindest Strategien, die Unternehmen und Organisationen bei der Umsetzung der NIS2-Richtlinie unterstützen. Dazu gehört die enge Zusammenarbeit mit den zuständigen Behörden, die Nutzung von Best Practices und Standards sowie die kontinuierliche Überprüfung und Verbesserung der eigenen Sicherheitsmaßnahmen.
Vorteile und Nutzen der NIS2-Richtlinie
Der Hauptvorteil der NIS2-Richtlinie ist die Erhöhung der Cybersicherheit und Widerstandsfähigkeit gegen Cyberangriffe. Durch ihre Umsetzung wird eine insgesamt sicherere, digitale Umgebung erschaffen, von der nicht nur die betroffenen Sektoren, also Unternehmen und Organisationen profitieren, sondern auch deren Kunden.
Neben dem bereits abgesprochenen Vorteil in der Gesundheitsbranche “Wenn Krankenhäuser und medizinische Einrichtungen besser gegen Cyberangriffe geschützt sind, können sie die Kontinuität der Patientenversorgung sicherstellen und potenziell lebensbedrohliche Unterbrechungen vermeiden” und der allgemein erhöhten Sicherheit gibt es aber noch weitere Dinge, die für die Richtlinie sprechen.
Unternehmen, die in moderne Sicherheitstechnologien investieren und strenge Sicherheitsstandards einhalten, können sich als vertrauenswürdige Partner positionieren und dadurch einen Wettbewerbsvorteil gewinnen. Das kann auch zu einem Anstieg der Nachfrage nach Sicherheitslösungen führen und den Markt für Cybersicherheitsprodukte und -dienstleistungen ankurbeln.
Außerdem trägt die NIS2-Richtlinie zur Schaffung eines einheitlichen Sicherheitsniveaus in der gesamten EU bei. Durch die Harmonisierung der Sicherheitsanforderungen und -verfahren wird sichergestellt, dass alle Mitgliedstaaten und Sektoren ein vergleichbares Sicherheitsniveau erreichen. Diese Maßnahme erleichtert die grenzüberschreitende Zusammenarbeit und stärkt das Vertrauen in die digitalen Dienste und Infrastrukturen innerhalb der EU.
Ebenfalls nützlich ist das Erhöhen des Bewusstseins für Cybersicherheitsrisiken. Besonders die verstärkten Anforderungen an die Meldung von Sicherheitsvorfällen und die regelmäßige Berichterstattung tragen dazu bei, das Bewusstsein für die Bedrohungen zu schärfen und die Notwendigkeit proaktiver Sicherheitsmaßnahmen zu unterstreichen. Das führt zu einer Kultur der Cybersicherheit, in der alle Beteiligten – von Unternehmen über öffentliche Einrichtungen bis hin zu Einzelpersonen – ihre Rolle und Verantwortung verstehen und ernst nehmen.
Ausblick und zukünftige Entwicklungen
Die NIS2-Richtlinie ist für die EU ein wichtiger Schritt in die richtige Richtung der Weiterentwicklung der Cybersicherheit. Aufgrund der stetigen Weiterentwicklung der digitalen Bedrohungen und Herausforderungen ist es wahrscheinlich, dass die NIS2-Richtlinie auch in Zukunft angepasst und verbessert wird, um auf aktuelle Entwicklungen und Bedrohungen angemessen reagieren zu können.
Bereiche, die dabei besondere Aufmerksamkeit verdienen, sind Technologien wir das Internet der Dinge (IoT), Künstliche Intelligenz (KI) und 5G. All diese Technologien bieten zwar enorme Chancen und sind nichts ganz Neues, bringen aber immer auch enorme Sicherheitsrisiken mit sich. Die EU muss sicherstellen, dass ihre Sicherheitsrichtlinien mit den technologischen Fortschritten Schritt halten und geeignete Maßnahmen zur Bewältigung neuer Bedrohungen entwickeln.
Die fortschreitende Professionalisierung der Cyberkriminalität ist ein weiterer wichtiger Trend. Die Menge an organisierten, cyberkriminellen Gruppen und staatlich unterstützten Akteuren nimmt zu und die Techniken und Taktiken, die sie nutzen, um Unternehmen und Infrastrukturen anzugreifen, werden immer ausgefeilter. Auch hier muss die Fähigkeit zur Abwehr dieser Bedrohungen kontinuierlich verbessert werden. Sinnvoll ist es ebenfalls, eng mit internationalen Partnern zusammenzuarbeiten.
Die Rolle der Europäischen Agentur für Cybersicherheit (ENISA) wird in diesem Kontext zunehmend wichtiger. Allem Anschein nach wird ENISA eine zentrale Rolle bei der Koordinierung der Cybersicherheitsbemühungen in der EU spielen und als Plattform für den Informationsaustausch und die Entwicklung gemeinsamer Strategien dienen.
Die zukünftigen Maßnahmen sollten die Förderung von Forschung und Innovation in der Cybersicherheit, das Entwickeln von Schulungsprogrammen, um den Mangel an Fachkräften zu beheben, sowie die Unterstützung kleinerer und mittlerer Unternehmen bei der Umsetzung der NIS2-Richtlinie umfassen. All diese Maßnahmen in Kombination sollten die Cybersicherheit in der EU stärken und eine sichere digitale Zukunft schaffen.
Fazit
Die NIS2-Richtlinie ist ein großer Schritt nach vorn, um die Cybersicherheit in der Europäischen Union zu verbessern. Sie erweitert die Regeln auf mehr Bereiche wie Gesundheitswesen und öffentliche Verwaltung und fordert strengere Sicherheitsmaßnahmen und Meldepflichten. Ziel ist es, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und eine sicherere digitale Umgebung zu schaffen.
Die Umsetzung der NIS2-Richtlinie bringt Herausforderungen mit sich, vor allem durch hohe Kosten für IT-Infrastruktur und Mitarbeiterschulungen und den Mangel an Fachkräften, aber es gibt Wege, diese Probleme zu lösen. Strenge Strafen bei Nichteinhaltung der Richtlinie sollen Unternehmen dazu anregen, die neuen Anforderungen ernst zu nehmen.
Trotz aller Herausforderungen bei der Implementierung, überwiegen die Vorteile und Nutzen für Unternehmen, Organisationen und die Gesellschaft insgesamt. Unternehmen, die hohe Sicherheitsstandards einhalten, können sich als vertrauenswürdige Partner positionieren und Wettbewerbsvorteile erlangen. Die Harmonisierung der Sicherheitsanforderungen innerhalb der EU fördert die Zusammenarbeit zwischen den Mitgliedsländern und erhöht das Vertrauen in digitale Dienstleistungen. Durch die stetige Anpassung der Richtlinie an neue Technologien und Bedrohungen wird gewährleistet, dass die EU auch zukünftig optimal aufgestellt ist.
Ihr Unternehmen ist betroffen und Sie haben noch nichts unternommen? Finden Sie jetzt passende Cybersecurity-Unternehmen für die Umsetzung der notwendigen IT-Sicherheitsmaßnahmen in unserem Anbieterverzeichnis für Cybersecurity.
Quellen:
https://www.gdata.de/business/nis-2-richtlinie
https://regina-stoiber.com/2023/10/23/eu-nis-2-richtlinie-zusammenfassung/
Armin Vakilpour hat einen Master of Science in Informatik von der Hochschule Bonn-Rhein-Sieg. Seit über 20 Jahren ist er in Digitalisierungsprojekten tätig. Nach seinem Studium arbeitete er als leitender Berater bei renommierten Unternehmen wie IBM, Accenture und Avanade und führte zahlreiche Projekte in den Bereichen Technologie, IT und Softwareentwicklung zum Erfolg. Als Gründer und CEO von Feedbax teilt er sein Wissen und seine Erfahrungen in den Bereichen Technik, IT, Marketing und Design.