Im Januar 2023 trat die neue EU-Richtlinie NIS 2 zur Stärkung der Cybersicherheit in Kraft. Die neue Richtlinie ist für KRITIS-Betreiber in der Europäischen Union verbindlich. In diesem Beitrag möchten wir Sie über die Unterschiede zu den alten NIS-Richtlinien informieren und erklären, was Unternehmen nun beachten müssen, um die neue Richtlinie zu erfüllen.

Was war das Ziel der ersten NIS-Richtlinie?

Die 2016 verabschiedete NIS-Richtlinie war die erste Rechtsvorschrift zur Cybersicherheit, die alle Mitgliedstaaten der Europäischen Union betraf. Sie konzentrierte sich hauptsächlich auf zwei Gruppen von Organisationen:

• Betreiber grundlegender Dienste (OES) wie Gesundheit, Verkehr, Energie usw.
• und Anbieter digitaler Dienste (DSP), einschließlich Online-Suchmaschinen, Internet-Marktplätze und Cloud-Dienste.

Die NIS verlangte von diesen Organisationen, angemessene Maßnahmen für die Cybersicherheit zu ergreifen und gravierende Vorfälle zu melden. Dabei war es den Einzelstaaten überlassen, die Vorgaben an ihre individuellen Umstände anzupassen. Hauptziel der Richtlinie war es, die Cybersecurity europäischer Unternehmen zu erhöhen. Unter anderem soll dies organisatorisch durch

• die Einrichtung einer nationalen NIS-Behörde,
• die Verpflichtung für Unternehmen, ein Computer Security Response Team (CSIRT) einzurichten,
• und die Aufstellung einer NIS-Kooperationsgruppe – bestehend aus den EU-Mitgliedstaaten, der Europäischen Kommission und der EU-Agentur für Cybersicherheit (ENISA) – geschehen.

Was ist NIS2?

NIS2 erweitert die Vorgängerrichtlinie, der Anwendungsbereich wird größer und umfasst nun mehr Organisationen aus einer größeren Anzahl von Sektoren. Zusätzlich beschäftigt sich die Verordnung nun zum ersten Mal auch mit der Absicherung der Lieferkette von IKT-Diensten.
Die Entwicklung der NIS2 stand einerseits unter dem Eindruck einer laufenden Weiterentwicklung und Verbesserung der EU-weiten Cybersecurity. Andererseits machte das Aufkommen neuer Herausforderungen eine Novellierung unumgänglich. So hatten allein während der Corona-Pandemie Cyberangriffe in den EU-Mitgliedsstaaten um 220 Prozent zugenommen. Dies zeigte deutlich, wie dringend nötig eine Erweiterung der NIS-Richtlinie war.

Die neue Richtlinie zur Netzwerk- und Informationssicherheit zielt darauf ab, die Unterschiede zwischen den vielen Ländern und Sektoren zu minimieren und einen einheitlichen strategischen Plan für eine Vielzahl von Cyber-Sicherheitsbedrohungen zu bieten. Dabei sollen drei wichtige Ziele erreicht werden:

1. Verbesserung der Resilienz gegen digitale Angriffe und insgesamt eine bessere Cybersicherheit
2. Harmonisierung der EU-weiten Mindeststandards und Regeln
3. Verbesserung der Zusammenarbeit (insbesondere bei größeren, mehrere Mitgliedstaaten betreffenden Krisen bzw. Vorfällen)

Welche Organisationen werden von NIS2 erfasst?

NIS2 wird nahezu alle mittleren und großen Unternehmen abdecken, die auf dem Binnenmarkt der Europäischen Union tätig sind. Dazu gehören nicht nur die EU-Mitgliedstaaten, sondern auch Organisationen außerhalb der EU, die für den EU-Markt von wesentlicher Bedeutung sind.

Welche Sektoren wurden durch die NIS2-Richtlinie hinzugefügt?

NIS 2 definiert elf „Essential“ und sieben „Important“ Sektoren. Diese sind:.

Essential

• Energie
• Transport
• Bankwesen
• Finanzmärkte
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• ICT Service Management im B2B
• Öffentliche Verwaltung
• Weltraum

Important

• Post und Kurier
• Abfall
• Chemikalien
• Lebensmittel
• Industrie
• Digitale Dienste
• Forschung

Welche Anforderungen stellt NIS2?

Die Richtlinie besteht aus vierzehn Punkten, die von den betroffenen Unternehmen und Sektoren erfüllt werden müssen:

• Policies: Richtlinien für Risiken und Informationssicherheit
• Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
• Business Continuity: BCM mit Backup Management, DR, Krisen Management
• Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
• Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
• Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
• Training: und Cyber Security Hygiene
• Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
• Personal: Human Resources Security
• Zugangskontrolle
• Asset Management (ISMS)
• Authentication: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO)
• Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
• Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Hinzu kommt beispielsweise die Einbeziehung aller Leitungsorgane mit Überwachungs- und Weiterbildungsverpflichtung und die persönliche Haftung bei Nicht-Compliance.

Was passiert mit Unternehmen, die die Richtlinie nicht einhalten?

Wenn Unternehmen die Anforderungen der NIS2 nicht erfüllen, können verschiedene Durchsetzungsmaßnahmen ergriffen werden. Darunter fallen verbindliche Anordnungen, die Empfehlung eines Sicherheitsaudits und Verwaltungsstrafen in Höhe von bis zu 10 Millionen Euro oder zwei Prozent des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.

Wann wird die Richtlinie in Kraft treten?

Die EU-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die Mitgliedsstaaten haben nun bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen.

Wie können sich Unternehmen vorbereiten?

Bis die Richtlinie in nationale Gesetze überführt wurde, stehen zunächst keine konkreten Aufgaben an. Dennoch sollten Sie bereits jetzt Maßnahmen ergreifen, um Ihr Unternehmen optimal auf die neuen Anforderungen vorzubereiten. Denn dies erhöht Ihr Sicherheitsniveau schon jetzt und nicht erst im nächsten Jahr.

Beispielsweise fordert NIS2 Organisationen zurecht auf, ihre spezifischen Cybersecurity-Risiken zu erfassen und zu bewerten. Nur so erhalten Sie einen realitätsnahen Einblick sowohl in Ihre Stärken als auch Ihre noch offenen Schwachstellen.

Da die Richtlinie zudem großen Wert auf die Einführung von Verschlüsselungstechnologien legt, sollten Sie bereits jetzt prüfen, wie Sie Daten im Unternehmen schützen, verschlüsseln und welche Verbesserungen hier möglich sind.