Home » Fachbeiträge » Security Management » NIS 2: Was Sie über die neuen Sicherheitsvorgaben wissen müssen

NIS 2: Was Sie über die neuen Sicherheitsvorgaben wissen müssen

Europäischer Rechtsrahmen für Cybersecurity - Die Europäische Union hat NIS 2 verabschiedet. Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Für viele Unternehmen bedeuten die neuen Vorgaben, dass sie mehr Geld in ihre Cybersicherheit investieren müssen.

5 Min. Lesezeit
Foto: ©AdobeStock/Victor Moussa

Spätestens im letzten Jahr wurde deutlich, dass ein modernisierter Rechtsrahmen für die Cybersicherheit notwendig ist, besonders nachdem zuletzt im Russland-Ukraine-Krieg auch die deutschen kritischen Infrastrukturen sowie die öffentliche IT auf den Prüfstand gestellt wurden. Im Amtsblatt vom 27. Dezember 2022 hat die Europäische Union nunmehr die „Richtlinie
2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union […] sowie zur Aufhebung der Richtlinie 2016/1148“ veröffentlicht. Übergeordnetes Ziel ist der Schutz von wesentlichen und wichtigen Diensten sowie allgemein die Modernisierung und Ausweitung der Cybersicherheit in der EU. Die Richtlinie ist bis zum 17. Oktober 2024 von den Mitgliedstaaten umzusetzen.

Ausgedehnter Anwendungsbereich

Bereits der Anwendungsbereich von NIS 2 wartet mit erheblichen Änderungen auf: Neben einer Erweiterung des Pflichtenkatalogs werden einige Schutzlücken in Zukunft besonders durch seine Ausweitung geschlossen. Der Anwendungsbereich bezieht sich auf öffentliche und private Einrichtungen, die ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben und die in den Anhängen I („hohe Kritikalität“) und II („sonstige kritische Sektoren“) der Richtlinie konkretisiert werden. Für öffentliche Einrichtungen bestehen dabei teils signifikante, aber aus Gesichtspunkten der Cyberresilienz nicht immer nachvollziehbare Bereichsausnahmen. Im Anwendungsbereich neu hinzu kommen beispielsweise Weltraumeinrichtungen im Sinne von Bodeninfrastrukturen, die für die Erbringung von weltraumbezogenen Diensten genutzt werden. Sonstige kritische Sektoren sind Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln im Großhandel sowie in der industriellen Produktion und Verarbeitung, verarbeitendes Gewerbe/Herstellung von Waren (hierunter wiederum fallen Medizinprodukte, Invitro-Diagnostika, Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse, elektronische Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau), die schon aus NIS 1 bekannten Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Betreiber sozialer Netzwerke) sowie Forschungseinrichtungen.

Unterteilung in wesentliche und wichtige Einrichtungen

Im Weiteren wird in der Richtlinie unterschieden zwischen wesentlichen und wichtigen Einrichtungen, wobei sich diese Differenzierung unter anderem auf die Pflichten der Einrichtungen und auch auf die Aufsichts- und Durchsetzungsbefugnisse der zuständigen Behörden auswirkt.

Die wesentlichen Einrichtungen umfassen die in NIS 2 Anhang I genannten Einrichtungen, die die Schwellenwerte für mittelgroße Unternehmen im Sinne der europäischen Definition überschreiten oder von einem EU-Mitgliedstaat als Betreiber wesentlicher Dienste eingestuft wurden. Wichtige Einrichtungen hingegen sind solche, die NIS 2 Anhang I und II zugeordnet werden können, aber nicht als wesentliche Einrichtungen gelten, einschließlich solcher, die von den Mitgliedstaaten als wichtige Einrichtungen eingestuft wurden.

Erweiterter Pflichtenkatalog und betroffene Einrichtungen

Durch NIS 2 wird der Pflichtenkatalog sowohl für die Mitgliedstaaten als auch für die wesentlichen und wichtigen Einrichtungen erweitert. Neben der Pflicht einer mitgliedstaatlichen Cybersicherheitsstrategie wird eine EU-Kooperationsgruppe für den Informationsaustausch aufgebaut. Im Hinblick auf das Krisenmanagement haben EU-Staaten Computer-Security-Incident-Response-Teams (CSIRTs) vorzuhalten und eine europäische Schwachstellendatenbank wird durch European Union Agency for Cybersecurity (ENISA) eingerichtet. Ebenso wird durch die neue Richtlinie ein mitgliedstaatlicher Peer-Review zur Cybersicherheit vorgesehen.

Vom Anwendungsbereich erfasste Einrichtungen sind noch stärker als bislang zu Präventionsmaßnahmen angehalten. Neben technischen und organisatorischen Maßnahmen (TOM) sind nationale und internationale Normen und Standards zur Informationssicherheit zu berücksichtigen. Neu ist dabei auch die explizite Einbeziehung von Lieferketten. Beispiele für vorgeschlagene TOM sind Backups, Maßnahmen zur Cyberhygiene sowie der Einsatz von Verschlüsselung. Für erhebliche Sicherheitsvorfälle ist ein Meldesystem mit abgestuften Fristen von 24 und 72 Stunden einzurichten. Ein Sicherheitsvorfall gilt als „erheblich“, wenn er schwerwiegende Betriebsstörungen der Dienste zur Folge haben oder finanzielle Verluste für die betreffende Einrichtung verursachen kann oder wenn natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt werden können.

Hohe Geldbußen

Gegenüber NIS 1 qualifiziert ist das Aufsichts- und Durchsetzungsregime. So können neben ausgesprochenen Warnungen auch Zwangsgelder verhängt werden. Als Ultima Ratio besteht gar die Möglichkeit des Ausschlusses von Leitungspersonen betroffener Einrichtungen. Daneben sind unter anderem Vor-Ort-Kontrollen, Stichproben, regelmäßige Sicherheitsaudits oder auch die Anforderung von Daten und Zugängen möglich. Die maximale Geldbuße für wesentliche Einrichtungen bei Verstößen beträgt entweder zehn Millionen Euro oder einen Anteil von zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei wichtigen Unternehmen beträgt die maximale Geldbuße entweder sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Ausblick

NIS 2 ist da und wartet nun auf die Umsetzung durch die Mitgliedstaaten, die bis zum 17. Oktober 2024 stattgefunden haben muss. Bis zum 17. Oktober 2027 muss die Richtlinie in ihrer Anwendung erstmals überprüft und gegebenenfalls angepasst werden. NIS 1 aus 2016 wird mit Wirkung zum 18. Oktober 2024 aufgehoben. Das Impact-Assessment der EU-Kommission zu NIS 2 hat ergeben, dass Einrichtungen, die unter die neue Richtlinie fallen, mit einer Erhöhung ihres Cybersicherheitsbudgets um rund 22 Prozent zu rechnen haben werden, wohingegen Unternehmen, die bereits Compliance-Maßnahmen aufgrund von NIS 1 haben treffen müssen, lediglich mit einem Kostenanstieg von rund 12 Prozent zu rechnen haben.

Wer sich bereits intensiv mit dem deutschen IT-SiG 2.0 beschäftigt hat, wird den neuen europäischen Regelungskatalog zu kritischer Cybersicherheit nur wenig überraschend finden, denn NIS 2 zeichnet sich in erster Linie durch seine erhebliche Ausdehnung des Anwendungsbereichs, durch die europäische Vereinheitlichung und verbesserte EU-weite Vernetzung aus, außerdem wird das Sanktions- und Durchsetzungsregime weiter verschärft. Über viele der Aspekte, die letztlich auch NIS 2 betreffen, wurden hierzulande in den letzten Jahren schon erschöpfende rechtspolitische Debatten geführt. Der politische Ansatz, Cybersecurity-Governance rechtlich möglichst breitenwirksam zu gestalten, ist jedoch sinnvoll und gibt die aktuelle globale Bedrohungslage treffend wieder. Insoweit fügt sich NIS 2 inhaltlich auch sinnvoll in das stetig wachsende EU-Regelungsgefüge zur Cybersicherheit ein und erscheint auf den ersten Blick mit bereichsspezifischen Regelungen gut abgestimmt.

Auch der Entwurf des EU Cyber Resilience Act (CRA), der für dieses Jahr im finalen Stadium erwartet wird, hat NIS 2 bereits im Blick. Trotz allem Positiven jedoch fällt bei NIS 2 eines auf: der strenge Umgang mit privatwirtschaftlichen Anbietern einerseits und der eher zaghafte Ansatz zur Regulierung des öffentlichen Sektors andererseits, wo sich doch gerade hier in der Vergangenheit in der Praxis regelmäßig erhebliche Schwächen in der Cybersicherheit gezeigt haben und nach wie vor zeigen. Eine europäisch vereinheitlichte Regulierung zur Cybersecurity, die ein flächendeckendes und hohes Maß an Cybersicherheit gewährleisten will, sieht zumindest unter diesem Gesichtspunkt anders aus.

Dennis-Kenji Kipker

Dr. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, EAID-Vorstand sowie GF von Certavo.

Andere interessante Fachbeiträge

Hand präsentiert Zertifizierungs-Symbol

Warum Zertifizierungen allein nicht ausreichen

Die Cyberangriffe der letzten Monate haben gezeigt, dass auch Schwachstellen in Prozessen und Anwendungen von Dienstleistern ein Risiko für die Sicherheit von Organisationen darste...

Justitia-Statue

Warum Unternehmen ein ISMS brauchen

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) ist für viele Unternehmen heute unerlässlich, um die zahlreichen neuen Gesetze im Bereich der Cybersicher...

Gesundheits-App

Digitale Gesundheitsförderung und mobile Sicherheit

Die Gesundheitsförderung durch Apps ist auf mobilen Endgeräten allgegenwärtig geworden. Von Fitnesstracking über Ernährungsberatung bis hin zur Unterstützung bei der Krankheitsther...