Angesichts der zunehmenden Digitalisierung und der stetig steigenden Zahl von Cybervorfällen hat der europäische Gesetzgeber 2016 die Richtlinie über die Netz- und Informationssicherheit (NIS1) verabschiedet. Ziel der NIS1 war es, ein hohes gemeinsames Cybersicherheitsniveau zu schaffen, um das Funktionieren des Binnenmarktes zu verbessern. Zu diesem Zweck konzentriert sich die NIS1 unter anderem auf die Verbesserung der Cyber-Sicherheit (präventiv) und der Cyber-Resilienz (reaktiv).
Die NIS2 stellt einen wichtigen Schritt in der digitalen Strategie der EU dar. Durch die Erweiterung des Geltungsbereichs, die Verschärfung der Sicherheitsanforderungen und die Ausweitung der Durchsetzungsbefugnisse zeigt die EU, dass Cybersicherheit eine hohe Priorität hat. Die NIS2 führt wesentliche Änderungen gegenüber der NIS1 ein: Sie verpflichtet die Mitgliedstaaten, neue Vorschriften zu erlassen, die mehr Organisationen strengere Cybersicherheitsverpflichtungen auferlegen und strengere Überwachungs- und Durchsetzungsmaßnahmen vorsehen.
Hauptziele von NIS2
Die 3 Säulen von NIS2
Wir fokussieren hier auf vier Hauptbereiche:
- den breiteren Anwendungsbereich,
- die Cybersicherheitsanforderungen,
- die Meldepflichten
- sowie die Aufsicht und Durchsetzung.
- Breiterer Anwendungsbereich
Die NIS2 gilt für eine viel größere Gruppe von Unternehmen als die NIS1, die in erster Linie für Betreiber wesentlicher Infrastrukturen wie Energieversorger oder Flughäfen galt. Mit der NIS2 werden harmonisierte Regeln für mittlere und große Unternehmen eingeführt, die entweder als „wichtig“ oder „wesentlich“ eingestuft werden. Zu den neuen Sektoren und Dienstleistungen, die nun in den Anwendungsbereich fallen, gehören unter anderem Hersteller bestimmter Produkte und digitale Dienstleistungen. Sowohl für wichtige als auch für bedeutende Unternehmen gelten dieselben Anforderungen an das Cybersicherheitsmanagement und die Berichterstattung, aber es gelten unterschiedliche Aufsichts- und Sanktionsregelungen.
Die nachstehende Grafik gibt einen Überblick.
Anforderungen an die Cybersicherheit
Zweitens sieht die NIS2 auch ein Minimum an geeigneten technischen und organisatorischen Maßnahmen vor, die die betroffenen Einrichtungen umsetzen müssen. Zu diesem Zweck enthält die NIS2 Schlüsselmaßnahmen, die alle wesentlichen und wichtigen Einrichtungen ergreifen müssen, um Cybersecurity-Risiken bei der Erbringung ihrer Dienste zu managen. Dazu gehören beispielsweise Strategien für die Risikoanalyse und die Sicherheit von Informationssystemen, die Behandlung von Zwischenfällen, das Backup-Management und das Krisenmanagement, Praktiken für die Cyber-Hygiene, Strategien und Verfahren für den Einsatz von Kryptografie und Verschlüsselung sowie die Verwendung einer mehrstufigen Authentifizierung.
Schließlich verlangt die NIS2 von den Einrichtungen, dass sie die Cybersicherheitsrisiken innerhalb der IT-Lieferkette mindern. Unternehmen, die in den Anwendungsbereich fallen, müssen bei der Bewertung des Cybersicherheitsniveaus von Zulieferern die erforderliche Sorgfalt walten lassen. In der Praxis weitet diese Bestimmung daher den Anwendungsbereich der NIS2 auf Organisationen aus, die nicht in ihren direkten Geltungsbereich fallen.
Meldepflichten
Mit der NIS2 werden die bestehenden Meldepflichten der NIS1 erweitert: Jeder „erhebliche Vorfall“ muss den Computer Security Incident Response Teams (CSIRT“) der Mitgliedstaaten oder der zuständigen Aufsichtsbehörde gemeldet werden. Ein Vorfall ist erheblich, wenn er zu einer schwerwiegenden Unterbrechung des Betriebs der Einrichtung oder zu einem finanziellen Verlust für die Einrichtung führen kann oder wenn er andere natürliche oder juristische Personen beeinträchtigen kann, indem er erhebliche (nicht-)materielle Schäden verursacht.
Die Einrichtungen müssen die zuständige Aufsichtsbehörde oder das CSIRT innerhalb von 24 Stunden benachrichtigen, innerhalb von 72 Stunden eine Meldung über den Vorfall einreichen und spätestens nach einem Monat einen Abschlussbericht mit einer detaillierten Beschreibung des Vorfalls, der Art der Bedrohung oder der Grundursache, der Abhilfemaßnahmen und der grenzüberschreitenden Auswirkungen vorlegen.
Beaufsichtigung und Durchsetzung
Die NIS2 enthält auch strengere und umfassendere Bestimmungen für die Überwachung und Durchsetzung. Darüber hinaus wird ein Bußgeldmechanismus eingeführt, der in der europäischen Gesetzgebung seit der Datenschutz-Grundverordnung immer deutlicher zu Tage tritt und auch im jüngsten Gesetz über digitale Märkte und im Gesetz über digitale Dienste zu finden ist.
Die Aufsichtsbehörden müssen in der Lage sein, wirksame, verhältnismäßige und abschreckende Maßnahmen zu ergreifen. Dies kann Geldbußen von bis zu 10 Mio. EUR bzw. 2 % des weltweiten Jahresumsatzes für wesentliche Unternehmen und 7 Mio. EUR bzw. 1,4 % des weltweiten Jahresumsatzes für wichtige Unternehmen umfassen.
Die NIS2 ist ein wichtiger Schritt in der digitalen Strategie der EU. Durch die Erweiterung des Geltungsbereichs, die Verschärfung der Sicherheitsanforderungen und die Ausweitung der Durchsetzungsbefugnisse zeigt die EU, dass Cybersicherheit eine hohe Priorität hat. Mit der NIS2 wird die Verantwortung für die Cybersicherheit klar auf die Führungsebene verlagert. Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 Zeit, die NIS2 in nationales Recht umzusetzen. Auch wenn dies viel Zeit für die anstehende Aufgabe zu sein scheint, sollten Unternehmen, die in den Anwendungsbereich der NIS2 fallen, bereits jetzt mit den Vorbereitungen beginnen.
Nutzen Sie unser Angebot von ETC, um das Wissen Ihres Security-Teams auf den besten, aktuellen Stand zu bringen! Lernen Sie dabei direkt an den ETC Standorten oder über unsere Online Trainings in einer praxisorientierten Umgebung und lassen Sie sich Ihr neu erworbenes Wissen mit einer Zertifizierung in unserem Testzentrum bestätigen.