NIS2: Neue Cybersecurity-Regulierung in 2023
von Tina Siering
Kritische Infrastrukturen im Blickpunkt: Die Bedeutung der NIS2-Richtlinie
Kritische Infrastrukturen bilden das Fundament unserer modernen Gesellschaft. Sie gewährleisten die Versorgung mit essenziellen Dienstleistungen wie Strom und Wasser. Ein Ausfall oder eine Beeinträchtigung dieser Systeme kann gravierende Konsequenzen nach sich ziehen. An dieser Stelle tritt die NIS2-Richtlinie in Erscheinung. Ihr Ziel ist es, sicherzustellen, dass die kritischen Infrastrukturen europaweit einheitliche, angemessene Sicherheitsvorkehrungen treffen, um sich gegen digitale Angriffe zu wappnen. Dabei geht es nicht nur um die Prävention von Cyberangriffen, sondern auch um eine zeitnahe und effektive Reaktion im Falle eines Angriffs.
Neue Herausforderungen in der Cybersicherheit: Die Umsetzung des NIS2-Gesetzes
Das NIS2-Gesetz zielt darauf ab, die Resilienz kritischer Sektoren zu stärken und die Zusammenarbeit zwischen den Mitgliedstaaten zu fördern. Es legt klare Anforderungen an Betreiber wesentlicher Dienste und digitale Diensteanbieter fest, um sicherzustellen, dass sie angemessene Sicherheitsmaßnahmen ergreifen und Vorfälle melden. Die Umsetzung des Gesetzes erfordert eine enge Zusammenarbeit zwischen nationalen Behörden und relevanten Stakeholdern.
Ein weiterer Schwerpunkt des NIS2-Gesetzes ist die Erweiterung des Anwendungsbereichs im Vergleich zur ersten Phase. Es werden nun auch neue Sektoren wie der Finanzsektor und der Gesundheitssektor berücksichtigt. Dies unterstreicht die Bedeutung der Cybersicherheit in einer immer stärker vernetzten Welt.
Die Umsetzung des NIS2-Gesetzes in nationales Recht ist jedoch nicht ohne Herausforderungen. Es erfordert eine sorgfältige Abwägung zwischen den Sicherheitsanforderungen und den operativen Bedürfnissen der betroffenen Unternehmen. Darüber hinaus müssen die Mitgliedstaaten sicherstellen, dass sie über die notwendigen Ressourcen und Fähigkeiten verfügen, um die Einhaltung des Gesetzes zu überwachen und durchzusetzen.
Die Evolution der NIS-Richtlinien
Die Cyber-Bedrohungslage hat in den letzten Jahrzehnten erheblich zugenommen. Als Reaktion auf immer häufigere und immer schwerwiegendere Cyberangriffe verabschiedete die Europäische Kommission bereits 2016 die NIS1-Richtlinie (Network and Information Security). Diese Richtlinie zielte darauf ab, KRITIS-Betreiber - darunter Einrichtungen aus den Bereichen Energie, Wasser, Finanzen und Gesundheitswesen sowie Anbieter digitaler Dienste in der EU - zu verpflichten, fortschrittliche technische und organisatorische Maßnahmen zu ergreifen, um sich gegen Cyberangriffe zu wappnen. Mit der Einführung der NIS2-Richtlinie intensiviert die EU nun ihre Bemühungen und erweitert den Anwendungsbereich der Sicherheitsanforderungen, wobei deutlich mehr Sektoren als zuvor berücksichtigt werden.
Ein notwendiges Upgrade für die Cybersicherheit
In Deutschland war man bereits gut auf die Implementierung der NIS1 vorbereitet, da viele der Anforderungen bereits durch das 2015 verabschiedete nationale IT-Sicherheitsgesetz 1.0 abgedeckt waren. 2021 wurde mit dem IT-Sicherheitsgesetz 2.0 nochmal nachgelegt: Der Anwendungsbereich wurde erweitert und die Verpflichtungen für betroffene Unternehmen verschärft. Zudem erhielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Zuständigkeiten, wodurch seine Position als zentrale Cyber-Sicherheitsbehörde des Bundes gestärkt wurde.
Trotz dieser Maßnahmen blieb die Cyber-Bedrohungslage jedoch weiterhin besorgniserregend. Die EU sah sich daher gezwungen, ihre Sicherheitsrichtlinien zu überarbeiten. Die NIS1-Richtlinie wurde in den Mitgliedstaaten uneinheitlich umgesetzt, und die Kriterien für KRITIS-Betreiber variierten erheblich. Dies führte zu einem unzureichenden Cybersicherheitsstandard in der EU. Als Antwort darauf trat Anfang 2023 die NIS2-Richtlinie in Kraft, die bis Oktober 2024 in nationales Recht überführt werden muss.
NIS2 im Detail: Was Unternehmen jetzt wissen müssen
Die aktualisierte Richtlinie NIS2 bringt tiefgreifende Veränderungen mit sich, die Unternehmen und Organisationen in der gesamten EU betreffen. Zu den wichtigsten Anpassungen der Richtlinie zählen unter anderem:
- Erweiterter Anwendungsbereich und strengere Vorgaben
Ein zentrales Merkmal der NIS2-Richtlinie ist die Ausweitung des Anwendungsbereichs. Neben den bereits bekannten "Sektoren mit hoher Kritikalität" werden nun auch "kritische Sektoren" wie Post- und Kurierdienste, Abfallwirtschaft und Lebensmittelproduzenten berücksichtigt. Zudem fallen Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro in den Geltungsbereich. Dies bedeutet, dass nicht mehr nur Großunternehmen, sondern auch KMU von den neuen Vorschriften betroffen sind. - Verschärfte Meldepflichten und Lieferketten-Sicherheit
Die NIS2-Richtlinie legt großen Wert auf Transparenz und Reaktionsfähigkeit. Unternehmen müssen Sicherheitsvorfälle innerhalb von 24 Stunden melden und innerhalb eines Monats einen detaillierten Bericht vorlegen. Zudem wird der Schutz der gesamten Lieferkette betont. Unternehmen müssen Sicherheitsstandards für ihre Partner festlegen und deren Einhaltung überwachen. - Ein ganzheitlicher Ansatz zur Risikominimierung
Die NIS2-Richtlinie betont die Notwendigkeit eines umfassenden Risikomanagements. Dies beinhaltet die Einführung von Zero-Trust-Prinzipien, regelmäßige Software-Updates und eine effektive Netzwerksegmentierung. Darüber hinaus sind Identitäts- und Zugriffsmanagement, Verschlüsselung und Multi-Faktor-Authentifizierung unerlässlich. Die Schulung und Sensibilisierung der Mitarbeiter, insbesondere im Hinblick auf Phishing-Angriffe, ist ebenfalls von zentraler Bedeutung. - Cybersicherheit als Führungsaufgabe
Die NIS2-Richtlinie stellt klar, dass IT-Sicherheit eine Führungsaufgabe ist. Verstöße können zu erheblichen Strafen führen, sowohl für Unternehmen als auch für einzelne Führungskräfte. Unternehmen müssen spätestens mit Inkrafttreten der Richtlinie proaktiv handeln und die erforderlichen Maßnahmen ergreifen, um die Vorgaben der NIS2-Richtlinie zu erfüllen.
Das kommt 2023 auf Unternehmen zu
Das NIS2-Implementierungsgesetz bringt signifikante Veränderungen in der deutschen KRITIS-Regelung mit sich. Zusätzlich zu den Betreibern kritischer Anlagen werden nun "hochrelevante Institutionen" und "relevante Institutionen" eingeführt. Für schätzungsweise 30.000 Unternehmen in Deutschland intensivieren sich die Sicherheitsanforderungen.
- Verantwortliche: Im Fokus stehen sowohl Betreiber kritischer Anlagen (KRITIS) als auch die neu definierten hochrelevanten und relevanten Institutionen (Identifizierung basierend auf der Unternehmensgröße). Bundesinstitutionen und einige spezielle Fälle sind ebenfalls betroffen.
- Branchen: Während die KRITIS-Sektoren bestehen bleiben, erweitern sich die Sektoren der neu definierten Institutionen entsprechend der NIS2-Richtlinie.
- Öffentliche Unternehmen: Unternehmen von besonderem öffentlichen Interesse werden nicht mehr berücksichtigt und stattdessen in relevante und in einigen Fällen in hochrelevante Institutionen eingegliedert.
- Cybersicherheit: Die Verpflichtungen für Unternehmen werden präziser und umfangreicher, einschließlich Risikomanagement, Meldung von Vorfällen, technischen Maßnahmen und Unternehmensführung.
- Regulierung: Die staatliche Regulierung wird durch Registrierungserfordernisse, Nachweispflichten, Meldepflichten und verpflichtenden Informationsaustausch intensiviert. Die geteilte Zuständigkeit über verschiedene Behörden wie BSI oder BNetzA soll gleichzeitig vereinfacht werden.
- Strafen: Die Sanktionsregelungen werden erweitert, einschließlich neuer Bußgeldtatbestände und erhöhter Bußgelder. Die Bußgelder variieren zwischen 100.000 und 20 Millionen EUR und sind in einigen Fällen an den weltweiten Gesamtumsatz des vorangegangenen Geschäftsjahres gebunden.
- Verantwortung: Geschäftsführer können in bestimmten Fällen persönlich für die Implementierung (und "Genehmigung") der Sicherheitsmaßnahmen in ihrem Unternehmen verantwortlich gemacht werden.
Die bisherige KRITIS-Regelung wird durch die Implementierung von NIS2 erheblich erweitert, wobei ein System mit mehreren Betreiberklassen und unterschiedlichen Verpflichtungsstufen eingeführt wird.
Den neuen Herausforderungen mit intelligenter Cyberabwehr entgegnen
Das NIS2-Implementierungsgesetz stellt erhöhte Anforderungen an KRITIS-Betreiber und Betreiber von Energieversorgungsnetzen, insbesondere in Bezug auf die Implementierung von Systemen zur Angriffserkennung. Das muss auch so sein, denn diese Systeme sind entscheidend, um potenzielle Cyberbedrohungen frühzeitig zu identifizieren und entsprechend zu reagieren.
Allgeier secion bietet Ihrem Unternehmen mit dem "Active Cyber Defense-KRITIS"-Service eine maßgeschneiderte Lösung, die zuverlässig die gesetzlichen Anforderungen erfüllt und einen umfassenden, proaktiven Schutz der IT-Infrastruktur bietet. Durch eine passgenaue Suche nach verdächtigen Aktivitäten, einem effizienten, professionellen Management von Sicherheitsvorfällen und nicht zuletzt einer effektiven Reaktion auf identifizierte Bedrohungen stellt Allgeier secion sicher, dass Netzwerke und Informationssysteme rund um die Uhr und an 365 Tagen im Jahr vor Cyberangriffen geschützt sind.