Ein starkes BündNIS: EU-Richtlinie NIS2 kommt!

Acht Jahre nach Einführung der NIS-Richtlinie zur Netz-und Informationssicherheit ist klar: es muss nachgebessert und mehrere Gänge hochgeschaltet werden. Denn während die Digitalisierung auch in traditionell papierversessenen Mitgliedsstaaten wie Deutschland dankenswerterweise zunimmt, vergrößert sich hierdurch die Angriffsfläche für Cyberkriminelle. Insbesondere ist dies der Fall, wenn die Schutzmechanismen nicht in gleichem Maße mitwachsen und mit der Realität der Cyberkriminalität nicht ansatzweise schritt halten können. Blicken wir etwa auf den prinzipiell guten Ansatz der stärkeren Vernetzung öffentlicher Verwaltungen, wird vor diesem Hintergrund schnell klar, dass eine Kette immer nur so stark sein kann wie ihr schwächstes Glied. So ist es möglich gewesen, dass eine falsch angelegte Passwortrichtlinie eines einzigen Zuganges einen großen kommunalen IT-Dienstleister zu Fall bringen und in der Folge 72 Kommunen und 6 Kreise lahmlegen konnte. Beim Schutz kritischer Infrastrukturen sieht die EU folgerichtig einen Handlungsbedarf und legt die Richtlinie NIS2 (Network and Information Security Directive 2) vor. Alles Wissenswerte gibt es hier bei uns zum Nachlesen.

Hintergründe & Entstehung

Notwendigkeit der NIS-Richtlinie

In den letzten Jahren haben Cyberbedrohungen in Häufigkeit und Intensität stark zugenommen. Kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen und Transport sind zunehmend Ziel von Cyberangriffen geworden, was die Einführung eines koordinierten und umfassenden Ansatzes zur Cybersicherheit innerhalb der EU unumgänglich gemacht hat. Die NIS-Richtlinie wurde 2016 eingeführt, um die Cybersicherheitskapazitäten der Mitgliedstaaten zu stärken und eine einheitliche Sicherheitsbasis im gemeinsamen Wirtschaftsraum zu schaffen.

Entstehungsgeschichte der NIS-Richtlinie

Die ursprüngliche NIS-Richtlinie (2016/1148) war der erste EU-weite Rechtsrahmen zur Verbesserung der Cybersicherheit. Sie zielte darauf ab, die Widerstandsfähigkeit der Netz- und Informationssysteme in kritischen Sektoren zu erhöhen. Trotz ihrer Erfolge zeigte sich jedoch, dass nationale und teils sogar regionale Unterschiede in der Umsetzung und Durchsetzung zu inkonsistenten Sicherheitsstandards führten und dauerhaft als Abwehr nicht stark genug konzipiert waren.

Gründe für die Überarbeitung zu NIS2

Mit der Zeit haben sich die Cyberbedrohungen weiterentwickelt, und neue technologische Fortschritte haben zusätzliche Herausforderungen mit sich gebracht. Die NIS2-Richtlinie zielt darauf ab, diese Herausforderungen zu adressieren, indem sie strengere Anforderungen stellt, den Anwendungsbereich erweitert und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert. Das vollständige Gesetz finden Sie hier.

Anwendungsbereich und Definitionen

Erweiterter Geltungsbereich der NIS2

NIS2 deckt nun auch Sektoren ab, wie:

• öffentliche Verwaltung
• Raumfahrt
• Lebensmittelproduktion
• Abfallbewirtschaftung
• Post- und Kurierdienste 

Zudem differenziert sie zwischen „wesentlichen“ und „wichtigen“ Einrichtungen, um die unterschiedlichen Sicherheitsanforderungen besser abzustimmen.

Kriterien für betroffene Unternehmen

Die Richtlinie berücksichtigt nun auch kleine und mittlere Unternehmen (KMU), sofern sie wesentliche Dienstleistungen erbringen oder in kritischen Sektoren tätig sind. Hierdurch soll eine breitere Basis für die Cybersicherheit geschaffen werden. 
Anzahl betroffener Unternehmen in Deutschland: ca. 29.000

Sicherheitsanforderungen und Berichtspflichten

Risikomanagementmaßnahmen

Unternehmen sind verpflichtet, regelmäßige Risikobewertungen durchzuführen und geeignete technische und organisatorische Maßnahmen zu ergreifen. Dazu gehören unter anderem Firewalls, Verschlüsselungstechnologien und regelmäßige Sicherheitsüberprüfungen.

Meldepflichten

Sicherheitsvorfälle müssen unverzüglich den zuständigen Behörden gemeldet werden. Dies erhöht die Transparenz und ermöglicht eine schnellere Reaktion auf Cyberbedrohungen. Als Zeitfenster in schweren Fällen sind hier 72 Stunden vorgesehen innerhalb derer eine Meldung über einen Cyberangriff bei den zuständigen Behörden zu machen ist. 

Praktische Beispiele und Implikationen für Unternehmen

Beispiele für Maßnahmen

Ein Unternehmen könnte beispielsweise eine umfassende Sicherheitsstrategie implementieren, die regelmäßige Mitarbeiterschulungen, den Einsatz von Antivirenprogrammen und die Durchführung von Penetrationstests umfasst.

Konkrete Auswirkungen auf Unternehmen

KMU müssen ihre IT-Infrastruktur möglicherweise erheblich anpassen und in zusätzliche Sicherheitsmaßnahmen investieren. Dies kann und wird in vielen Fällen initiale Kosten verursachen, aber langfristig die Widerstandsfähigkeit gegen Cyberangriffe erhöhen. 
Die jährliche Mehrbelastung für die Wirtschaft wird in einem aktuellen Referentenentwurf auf ungefähr 2,3 Mrd. Euro geschätzt, die Initialkosten für etwa die Anschaffung modernerer Technik beläuft sich dieser Schätzung zufolge auf rund 2 Mrd. Euro. 
121 Millionen Euro sollen die jährlichen Mehrkosten für Bürokratie (bspw. Auskunftspflichten) betragen. 

Was an dieser Stelle nach horrenden Kosten klingt, könnte jedoch langfristig angesichts eines derzeitigen wirtschaftlichen Gesamtschadens durch Cybercrime von ca. 205 Mrd. Euro/Jahr eine regelrecht geringe Summe sein.

Dies ist gewissermaßen das maximale Ausmaß dessen, was wir stets sagen:
IT-Sicherheit kostet Geld. Keine IT-Sicherheit kostet mehr Geld.

Umsetzung und Zeitplan

Nationale Umsetzung

Die Mitgliedstaaten müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Dies beinhaltet die Anpassung der bestehenden Gesetze und die Einrichtung geeigneter Aufsichtsbehörden. Derzeit wird intensiv an der Ausgestaltung der entsprechenden Gesetzgebung gearbeitet. Einen umfangreichen und aufschlussreichen Referentenentwurf finden Sie schon jetzt hier!

Internationale Zusammenarbeit

Die Richtlinie fördert die internationale Zusammenarbeit durch die Einrichtung von Kooperationsgruppen und den Austausch von Bedrohungsinformationen. Dies soll eine koordinierte Reaktion auf grenzüberschreitende Cyberbedrohungen ermöglichen.

Folgen bei Nichtbeachtung

Sanktionen und Strafen

Unternehmen, die die Anforderungen der NIS2-Richtlinie nicht erfüllen, drohen empfindliche Geldstrafen und andere rechtliche Konsequenzen. Dies soll sicherstellen, dass die Richtlinie ernst genommen und konsequent umgesetzt wird. Compliance ist in der IT-Sicherheit schließlich der Schlüssel zum Erfolg!

Rolle der Aufsichtsbehörden

Nationale Behörden haben die Befugnis, die Einhaltung der Richtlinie zu überwachen und bei Verstößen durchzugreifen. Sie können Inspektionen durchführen und Sanktionen verhängen, sind also keine zahnlosen Papiertiger, sondern tatsächlich wirkungsvolle Kontrolleure.

Fazit und Ausblick

Zusammenfassung der Keypoints:

Die NIS2-Richtlinie stellt einen entscheidenden Schritt zur Stärkung der Cybersicherheit in der EU dar. Sie erweitert den Anwendungsbereich, stellt strengere Anforderungen und fördert die Zusammenarbeit zwischen den Mitgliedstaaten.

Ausblick

Die Cybersicherheitslandschaft wird sich weiterhin entwickeln, und die NIS2-Richtlinie bietet einen Rahmen, der flexibel genug ist, um auf neue Bedrohungen und technologische Fortschritte zu reagieren. Wir finden: gut so!
Die kontinuierliche Zusammenarbeit und Anpassung der Sicherheitsstandards bleibt dabei entscheidend, oder wie Erich Honecker sagen würde: Vorwärts immer, rückwärts nimmer!