Die überarbeitete NIS-Richtlinie (NIS2) Wie die Cybersicherheit in der EU widerstandsfähiger werden soll

Die Widerstandsfähigkeit kritischer Einrichtungen muss gestärkt werden, daran lassen die zunehmenden Cyberattacken keinen Zweifel. In der EU gibt es mehrere Vorhaben, die die Cyber-Resilienz erhöhen sollen. Auch für nicht kritisch eingestufte Unternehmen sind diese interessant.

Anbieter zum Thema

Die digitale Infrastruktur in der EU soll belastbar und ausfallsicher sein, gerade im Krisenfall.
Die digitale Infrastruktur in der EU soll belastbar und ausfallsicher sein, gerade im Krisenfall.
(© video4all - stock.adobe.com)

Wirtschaft und Gesellschaft sind nun schon lange im Krisenmodus, bedingt durch die Corona-Pandemie. Eine hohe Belastbarkeit und möglichst keine Ausfälle, das braucht man nicht nur im Bereich digitaler Dienste. Trotzdem spielt die Resilienz der digitalen Dienste eine besonders große Rolle in Krisenzeiten, das hat die Corona-Pandemie mehr als deutlich gemacht.

Auch bei Eintritt anderer Krisensituationen müssen IT-Infrastrukturen, IT-Systeme und Daten verfügbar bleiben. Das fordert bereits der Datenschutz nach Datenschutz-Grundverordnung (DSGVO), generell und explizit: Zum Datenschutz gehört auch die die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen, ebenso die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Neben die Datenschutzvorgaben treten die IT-Sicherheitsvorgaben. Wir erinnern uns: Zur Verbesserung der digitalen wie auch der physischen Widerstandsfähigkeit kritischer Einrichtungen und Netze hatte die EU-Kommission im Dezember 2020 Vorschläge unterbreitet für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie, kurz „NIS 2“) und für eine neue Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen. Diese decken eine Vielzahl von Bereichen ab und haben zum Ziel, aktuelle und künftige Risiken online und offline, von Cyberangriffen bis hin zu Kriminalität oder Naturkatastrophen, zu bewältigen.

Eine höhere Abwehrfähigkeit gegen Cyberbedrohungen

Europas kollektive Abwehrfähigkeit gegen Cyberbedrohungen soll gestärkt werden, so dass alle Bürgerinnen und Bürger und Unternehmen die Vorzüge vertrauenswürdiger und zuverlässiger Dienste und digitaler Instrumente uneingeschränkt nutzen können, so die EU-Kommission. Gleich ob die Menschen in Europa vernetzte Geräte, Stromnetze oder Banken, Flugzeuge, öffentliche Verwaltungen oder Krankenhäuser nutzen oder aufsuchen möchten, sie verdienen dabei die Gewissheit, vor Cyberbedrohungen geschützt zu sein, betont die EU-Kommission.

Bestehende Maßnahmen auf EU-Ebene zum Schutz wichtiger Dienste und Infrastrukturen vor physischen Risiken und Cybergefahren müssen aktualisiert werden. Der Grund: Mit zunehmender Digitalisierung und Vernetzung verändern sich die Cybersicherheitsrisiken ständig.

Um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung zu reagieren, soll die vorgesehene Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) mittlere und große Einrichtungen aus einer größeren Anzahl von Sektoren erfassen, wobei deren strategische Bedeutung für Wirtschaft und Gesellschaft zum Maßstab genommen wird.

Wichtig ist dabei: Die NIS 2 stellt höhere Sicherheitsanforderungen an die Unternehmen, widmet sich der Sicherheit der Lieferketten und den Beziehungen zwischen den Anbietern, vereinfacht die Berichterstattungspflichten, sieht strengere Aufsichtsmaßnahmen durch die nationalen Behörden sowie strengere Durchsetzungsanforderungen vor und zielt auf einheitlichere Sanktionsregelungen in den Mitgliedstaaten ab.

Mit der vorgeschlagenen Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen wird die Richtlinie über europäische kritische Infrastrukturen von 2008 erweitert und vertieft. Erfasst werden nunmehr zehn Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Der Richtlinienvorschlag sieht vor, dass die Mitgliedstaaten nationale Strategien zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen festlegen und regelmäßige Risikobewertungen durchführen.

Stärkung der EU-weiten Cybersicherheit und Resilienz

Im Dezember 2021 hat sich nun der Rat der Europäischen Union auf einen Standpunkt zu Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU geeinigt, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter zu verbessern. Nach ihrer Annahme wird die neue Richtlinie mit der Bezeichnung NIS 2 die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (die NIS-Richtlinie) ersetzen.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Mit der überarbeiteten Richtlinie sollen Unterschiede bei den Anforderungen an die Cybersicherheit und bei der Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten beseitigt werden.

Während nach der alten NIS-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der neuen NIS 2-Richtlinie ein Schwellenwert für die Größe eingeführt. Das bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder die unter die Richtlinie fallende Art von Diensten erbringen, in den Anwendungsbereich der Richtlinie fallen.

Der Standpunkt des Rates hält zwar an dieser allgemeinen Regel fest, enthält aber auch zusätzliche Bestimmungen, um die Verhältnismäßigkeit, ein höheres Maß an Risikomanagement und eindeutige Kritikalitätskriterien zur Bestimmung der erfassten Einrichtungen zu gewährleisten. Außerdem wurden die Meldepflichten gestrafft, um übermäßige Meldungen und einen übermäßigen Aufwand für die betreffenden Einrichtungen zu vermeiden.

Sowohl der Rat als auch das Europäische Parlament müssen sich auf den endgültigen Text einigen. Die Mitgliedstaaten müssten die Vorschriften der Richtlinie innerhalb von zwei Jahren nach ihrem Inkrafttreten in nationales Recht umsetzen.

Das bleibt zwar noch abzuwarten, doch Unternehmen, ob als kritisch, als wesentliche oder wichtige Einrichtung eingestuft oder nicht, sollten sich stärker mit Cyber-Resilienz befassen. Dazu bietet NIS 2 mehr als nur Anregungen.

Was Unternehmen (freiwillig) tun sollten

Ein wesentlicher Gesichtspunkt von NIS 2 ist die kollektive Widerstandskraft, es geht darum, dass sich die Mitgliedsstaaten auf gemeinsame Maßnahmen verständigen. Nicht ohne Grund blickt NIS 2 auch speziell auf Lieferketten. Widerstandsfähigkeit ist ohne eine sichere Lieferkette nicht möglich.

Das gilt aber nicht nur für die EU als Ganzes, sondern für jedes Unternehmen. Wenn ein Unternehmen belastbar und ausfallsicher und damit widerstandsfähig auch in Krisenzeiten sein will, geht dies nicht ohne abgestimmte, kollektive Maßnahmen zusammen mit den Partnern in der Lieferkette.

Die Automobilbranche macht dies bereits sehr deutlich mit den Sicherheitsanforderungen an Lieferanten. Dies sollte aber in jeder Branche und bei jedem Unternehmen die Regel werden. Ohne Sicherheitsanforderungen an die Partner und Lieferanten kann kein Unternehmen gewiss sein, in Krisenzeiten zu bestehen. Zu hoch sind die Abhängigkeiten in der Wirtschaft, wie ebenfalls die Corona-Pandemie klarmacht.

Übergreifende IT-Sicherheitsanforderungen, die sich an gemeinsamen Regeln orientieren und die die Risiken in der ganzen Lieferkette berücksichtigen, werden zur Pflicht werden, nicht nur im Geltungsbereich von NIS 2, sondern generell, denn lückenhafte Schutzmaßnahmen, die unsichere Lieferbeziehungen zulassen, können keine Widerstandsfähigkeit sicherstellen. Ohne eine hohe digitale Widerstandsfähigkeit aber kann kein Unternehmen wirklich Bestand haben, zu hoch sind die Risiken und zu mannigfaltig die möglichen Krisensituationen.

(ID:48000051)