Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.
Die 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in Kraft getretene NIS 2-Richtlinie aktualisiert. Es modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten. Durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen verbessert sie die Resilienz- und Reaktionskapazitäten öffentlicher und privater Stellen, der zuständigen Behörden und der EU insgesamt weiter ( Quelle).
NIS 2 ist die Abkürzung für die zweite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.
Die NIS 2 Richtlinie 2022/2555 ist bereits in diesem Jahr auf EU-Ebene in Kraft getreten. Allerdings ist sie als Richtlinie derzeit noch nicht direkt anwendbar, sondern muss erst noch in nationales Recht transformiert werden. Die Umsetzung hat dabei bis zum 17. Oktober 2024 zu erfolgen.
Zur Sicherstellung der nationalen Umsetzung arbeitet man derzeit mit Hochdruck am NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG. Hierzu liegt ein umfassender Referentenentwurf vor, welcher in Zukunft weiter angepasst und modifiziert wird. NIS-2 ist als Mindeststandard anzusehen.
Von NIS 2 betroffen sind „wesentliche Einrichtungen“ und „wichtige Einrichtungen“. Die Einteilung in diesbezügliche Gruppen erfolgt über die Anlagen 1 und 2 der NIS-2-Richtlinie.
Wesentliche Einrichtungen
In Anhang 1 der NIS-2-Richtlinie sind als Sektoren mit hoher Kritikalität („wesentliche Einrichtungen“) genannt:
Große Unternehmen aus
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (Business-to-Business)
- öffentliche Verwaltung
- Weltraum
mit über 249 Beschäftigten oder 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz
(Größenunabhängige Sonderfälle: z. B. DNS-Diensteanbieter, Zentralregierung, KRITIS, und Einrichtungen, die vom Staat als „wesentlich“ eingestuft werden)
Proaktive Aufsicht durch Behörden: z. B. regelmäßige Sicherheitsprüfungen
Geldstrafen bei Verstößen: Höchstbetrag von mind. 10 Mio. EUR oder 2§ des weltweiten Umsatzes
Sonstige kritische Sektoren
In Anhang 2 der NIS-2-Richtlinie sind als sonstige kritische Sektoren („wichtige Einrichtungen“) benannt:
Große Unternehmen aus
- Post- und Kurierdienst
- Abfallwirtschaft
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
mit über 249 Beschäftigten oder 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz
Reaktive Aufsicht durch Behörden nach Hinweisen auf Verstöße: z. B. gezielte Sicherheitsprüfungen
Geldstrafen bei Verstößen: Höchstbetrag von mind. 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes
Mittlere Unternehmen aus Anhang 1 und Anhang 2
Mittlere Unternehmen aus Anhang 1 und Anhang 2 mit mindestens 50 Beschäftigten oder über 10 Mio. EUR Umsatz und über 10 Mio. EUR Bilanz (kein großes Unternehmen) sind dabei zu den wichtigen Einrichtungen zu zählen und unterliegen den entsprechenden Geldstrafen.
Maßnahmen zum Risikomanagement für Cybersicherheit
Gemäß der EU-Richtlinie sind von Unternehmungen und Organisationen umfassende Maßnahmen zum Risikomanagement für Cybersicherheit umzusetzen.
Dies sind: Konzepte in Bezug auf die Risikoanalyse und Sicherheit der Informationssysteme; Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement; Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen; Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit; Konzepte und Verfahren für den Einsatz von Kryptografie und ggf. Verschlüsselung; Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen; Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssyteme innerhalb der Einrichtung.
Die Richtlinie sieht ebenso vor, dass erhebliche Sicherheitsvorfälle unverzüglich (in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme) in Form einer Frühwarnung an die zuständige Behörde zu melden sind. Innerhalb von 72 Stunden ist zusätzlich ein ausführlicher Bericht über den Vorfall, sowie nach einem Monat ein umfassender Fortschritts- und Abschlussbericht an die Behörde zu übermitteln.
Aufsichtsbehörden dürfen zur Wahrnehmung ihrer Aufsichtsaufgaben z. B. gegenüber wichtigen Einrichtungen Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen und Sicherheitsscans durchführen und von allen relevanten Einrichtungen (wesentliche und wichtige) gezielte Nachweise und Informationen anfordern. Ebenso dürfen sie Warnungen über Verstöße durch die betreffenden Einrichtungen herausgeben, verbindliche Anweisungen oder Anordnungen erlassen und Einrichtungen auffordern, festgestellte Mängel oder Verstöße zu beheben, dabei Fristen benennen, anweisen potentiell von einer Cyberbedrohung betroffene natürliche oder juristische Personen zu informieren, Anweisungen zur Umsetzung formulierter Empfehlungen herausgeben, etc.
NIS-2 gibt umfassende Berichtigungen für Aufsichtsbehörden vor. So kann die zuständige Aufsichtsbehörde verantwortlichen Stellen (z. B. Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters für Leitungsaufgaben) sogar die Wahrnehmung der Leitungsaufgaben in der betroffenen Einrichtung (vorübergehend) untersagen.
Es ist ebenso beabsichtigt, dass die Geschäftsführung die Umsetzung der durch NIS-2 genannten Maßnahmen überwachen muss und für Verstöße haftet (ggf. privat). Es ist beabsichtigt, dass der genannte Verantwortungsträgerkreis an Schulungen zum Thema teilnehmen muss.
Fazit
Es ist jedem Verantwortlichen daher dringend zu empfehlen, sich entsprechend diesem Thema zu widmen und an der Sicherstellung der dann ab Inkraftsetzung rechtlich geforderten Vorgaben zeitnah zu arbeiten.
Das könnte Sie auch interessieren: