Die NIS2-Richtlinie ist die neueste Verordnung der Europäischen Union zur Cybersicherheit, die darauf abzielt, allgemeine Maßnahmen zur Cybersicherheit und die Resilienz gegenüber Cyberangriffen in verschiedenen Sektoren zu verbessern. Sie verpflichtet Unternehmen, Sicherheitsvorfälle unverzüglich an die Behörden zu melden und neue Verordnungen einzuhalten. Die Nichteinhaltung kann zu erheblichen Geldstrafen führen, wobei in einigen Fällen auch die Direktoren zur Verantwortung gezogen werden.
KMU müssen sich der NIS2-Richtlinie und ihrer Auswirkungen auf ihr Unternehmen bewusst sein und sich auf folgende Aspekte konzentrieren:
- Ihre Strategie zur Cybersicherheit verbessern, um sich vor entstehenden Cyberbedrohungen zu schützen.
- Über die sich ändernde Gesetzeslage informiert bleiben und sich entsprechend anpassen.
- Die rechtzeitige Erkennung und Meldung von Vorfällen sowie die Reaktion darauf gemäß der NIS2-Richtlinie gewährleisten.
Einführung
Nachdem sie im November 2022 durch die Mitglieder des Europaparlaments (MEPs) verabschiedet wurde, trat die neue „NIS2-Richtlinie“ am 16. Januar 2023 in Kraft. Die Mitgliedsstaaten der Europäischen Union haben nun 21 Monate Zeit (konkret bis zum 17. Oktober 2024), um diese Richtlinie in nationales Recht umzusetzen. Doch was sind eigentlich die zentralen Elemente der überarbeiteten NIS-Richtlinie? Wie planen Länder wie Frankreich, Deutschland, Belgien oder die Niederlande, diesen neuen Standard und die damit einhergehenden Anforderungen für die Cybersicherheit in ihre jeweilige nationale Gesetzgebung zu übertragen? Genau diese Fragen sollen in diesem Artikel beantwortet werden.
NIS2 als gesetzliche Schutzmaßnahme für mehr Cybersicherheit in Europa
Im Jahr 2016 verabschiedete die Europäische Union die Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen (NIS), in der eine erste Reihe von Maßnahmen zur Cybersicherheit vorgesehen waren. Damit wurde bezweckt, das Sicherheitsniveau auf dem europäischen Markt gegenüber Bedrohungen im Zusammenhang mit dem digitalen Wandel in den Mitgliedsstaaten zu erhöhen.
Diese Bedrohungen haben sich weiterentwickelt, die Cyberangriffe auf die Lieferkette haben zugenommen und Cyberkriminalität ist insgesamt professioneller geworden. Daher war es an der Zeit, die Richtlinie entsprechend nachzubessern. Aus diesem Grund sind sowohl die Ziele als auch der Umfang von NIS 2 breiter gefasst. Mit dieser neuen Version der Richtlinie wird die Cybersicherheit auf dem europäischen Markt harmonisiert und verstärkt. Insbesondere sind darin folgende Maßnahmen vorgesehen:
- Unternehmen werden dazu aufgefordert, ihre Resilienz gegenüber Cyberangriffen zu verbessern.
- Die Verpflichtungen in Bezug auf die Cybersicherheit werden über alle sensiblen Branchen hinweg harmonisiert, die entscheidend dafür sind, dass Gesellschaften und auch Nationen normal funktionieren können.
- Unternehmen werden verpflichtet, Sicherheitsvorfälle und die ergriffenen Maßnahmen innerhalb von 24 Stunden an die zuständigen Behörden zu melden.
- Der Informationsaustausch zwischen den Mitgliedstaaten soll verbessert werden.
In den meisten Ländern fallen nun 35 Wirtschaftsbereiche (gegenüber 19 Bereichen in der ersten Version) unter die europäische Richtlinie, darunter die Sektoren Energie, Wasser und Verkehr sowie Abfallbewirtschaftung, Post- und Kurierdienste und die Lebensmittelproduktion. Esist wichtig zu beachten, dass nicht alle KMU der NIS2-Richtlinie unterliegen. Diese Verordnung gilt insbesondere für Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von 10 Millionen Euro, mit bestimmten Ausnahmen für Unternehmen, die in speziellen Bereichen wie MSP und MSSP tätig sind. Diese Verordnungen gelten für alle EU-Mitgliedstaaten.
Darüber hinaus entfallen die bisherigen Kategorien wie zum Beispiel „Betreiber wesentlicher Dienste“ (OES) für Frankreich. OES sind Einrichtungen, deren Aktivitäten für die Gesellschaft und für das Land als entscheidend angesehen werden und bei denen ein Ausfall signifikante Folgen für die Abläufe und für die Sicherheit des Staates haben könnte.
Stattdessen soll nun zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden werden. Anbieter digitaler Dienste und Gebietskörperschaften sind jetzt genau wie auch die gesamte Lieferkette in diesen Sicherheitsmechanismus integriert. Dabei handelt es sich um die wichtigsten Akteure, die in der ursprünglichen NIS-Richtlinie nicht berücksichtigt wurden.
Jedes Land muss nun also eine Liste der nationalen Einrichtungen aufstellen, die der NIS2-Richtlinie unterliegen. Alle betroffenen Unternehmen des privaten wie des öffentlichen Sektors müssen dann die Anforderungen der Richtlinie erfüllen und sind außerdem verpflichtet, die jeweils zuständigen Behörden in Bezug auf Sicherheitsvorfälle zu informieren. Diese Meldung muss bei Frühwarnungen innerhalb von 24 Stunden und bei Vorfallsmeldungen innerhalb von 72 Stunden erfolgen.
Im Falle der Nichteinhaltung sieht NIS2 erhebliche Geldstrafen vor (in Millionen Euro oder in Prozent des weltweiten Umsatzes), wobei in bestimmten Fällen auch die Direktion zur Verantwortung gezogen werden. Diese Sanktionen werden von den zuständigen nationalen Behörden bekannt gegeben.
Mehr zuständige Behörden in den Niederlanden
In den Niederlanden wurde die ursprüngliche NIS-Richtlinie durch das Gesetz über die Sicherheit von Netzwerk- und Informationssystemen ( Wet beveiliging netwerk- en informatiesystemen, Wbni) in nationales Recht umgesetzt. Dieses Gesetz muss nun im Zuge der NIS-2-Richtlinie entsprechend überarbeitet werden. Die niederländische Regulierungsbehörde Rijksinspectie Digitale Infrastructuur (RDI) hat ein Selbstbewertungstool entwickelt. Unternehmen können damit selbst ermitteln, ob die Bestimmungen des Wbni auch für sie gelten. Dieses System wird mit der Umsetzung von NIS-2 in nationales Recht weiterentwickelt werden. Die für die Niederlande zuständige Behörde – das Nationaal Cyber Security Centrum (NCSC) – hat auf ihrer Website angekündigt, dass es 2023 eine Internetbefragung von Bürgerinnen und Bürgern, Unternehmen und staatlichen Institutionen geben wird, um „etwaige Verbesserungen der Gesetze und der Vorschriften aufzuzeigen, die derzeit ausgearbeitet werden“.
Hierbei ist zu beachten, dass es in den Niederlanden keine zentrale zuständige Behörde gibt und dass Vorfälle dem IT-Notfallteam (CERT) des NCSC und der für den jeweiligen Wirtschaftsbereich zuständigen Aufsichtsbehörde Aktivitäten gemeldet werden:
- Nationale Aufsichtsbehörde für digitale Infrastruktur: Die „Rijksinspectie Digitale Infrastructuur“ (RDI) ersetzt seit dem 1. Januar 2023 die „Autoriteit Persoonsgegevens“ (AP) als Aufsichtsbehörde. Letztere reguliert in den Niederlanden die Cybersicherheit und den Datenschutz.
- Die niederländische Zentralbank (DNB) ist zuständig für Unternehmen aus dem Finanzsektor.
- Die „Inspectie Leefomgeving en Transport“ (ILT, zu Deutsch: „Inspektion für Lebensraum und Transport“) ist zuständig für Unternehmen aus dem Telekommunikationssektor.
- Die niederländische Gesundheitsbehörde „Inspectie Gezondheidszorg en Jeugd“ (IGJ) ist zuständig für Einrichtungen im Gesundheits- und Jugendbereich.
IT-Sicherheitsgesetz 3.0 für Deutschland
Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wurden 2015 alle als Kritische Infrastrukturen (KRITIS) klassifizierte Unternehmen verpflichtet, die Einhaltung der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegebenen Sicherheitsanforderungen nachzuweisen.
Die ursprüngliche NIS-Richtlinie wurde im Juni 2017 mit dem IT-Sicherheitsgesetz in nationales Recht umgesetzt. In diesem Zusammenhang erhielt das BSI neue Befugnisse und Aufgaben. Es ist die für die Überwachung der Sicherheit der KRITIS-Betreiber und der Anbieter von digitalen Diensten zuständige Behörde. Darüber hinaus ist es auch Aufgabe des BSI, die Reaktion auf Cybersicherheitsvorfälle auf nationaler Ebene zu koordinieren.
Im Jahr 2021 wurde das Sicherheitsniveau für KRITIS-Einrichtungen mit dem IT-Sicherheitsgesetz 2.0 erhöht. Diese müssen nun Angriffe erkennen, relevante Vorfälle melden und dem BSI Informationen für das Krisenmanagement zur Verfügung stellen.
Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, das NIS2UmsuCG, sollte ab 2024 in Kraft treten. Auf der offiziellen KRITIS-Seite finden Sie Informationen über die neuesten Entwicklungen rund um NIS2UmsuCG. Das Inkrafttreten ist auf März 2025 verschoben worden.
BSI hat die Aufgabe, die wesentlichen und die wichtigen Einrichtungen im Land zu ermitteln (was eine Erweiterung der aktuellen KRITIS-Betreiber bedeutet) und die Cybersicherheitsanforderungen gemäß der NIS2-Richtlinie zu überwachen und anzuwenden.
NIS-2-Gesetz in Belgien
Die zuständige nationale Behörde in Belgien ist das Centre for Cyber Security Belgium (CCB), das 2015 gegründet wurde und an den Föderalen Öffentlichen Dienst Kanzlei des Premierministers angeschlossen ist. Diese Behörde ermöglichte die Umsetzung der europäischen NIS-Richtlinie von 2016 mit dem NIS1-Gesetz von 2019. Alle Sicherheitsvorfälle, die die entsprechenden Einrichtungen betreffen, müssen auf der vom CCB und dem CERT.be eingerichteten Plattform für die Vorfallmeldung angezeigt werden.
Im Hinblick auf diese zweite Version der Richtlinie schätzt das CCB, dass die Anzahl der betroffenen Organisationen um den Faktor 20 steigen wird, also von derzeit rund hundert auf etwa 2.500 Einrichtungen. In Belgien sind 18 Sektoren betroffen. Zu den sechs Sektoren, für die bereits NIS-1 galt, kommen nun weitere zwölf Sektoren hinzu, unter anderem die Lebensmittelproduktion, öffentliche Dienste, die Chemieindustrie und die Bereiche Gesundheit und Energie.
Das neue NIS2-Gesetz wird derzeit ausgearbeitet, sodass es vor Oktober 2024 und somit vor der durch die NIS2-Richtlinie gesetzten Frist veröffentlicht werden kann. Dieses Gesetz gilt dann für in Belgien ansässige Einrichtungen, die laut der Definition auf der offiziellen Website des CCB die „effektive Ausübung einer Tätigkeit durch eine feste Einrichtung“ impliziert.
„Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei unerheblich. Dieses Kriterium sollte nicht davon abhängen, ob sich der physische Standort der Netz- und der Informationssysteme an einem bestimmten Ort befindet[.]“ Ausländische Unternehmen mit Niederlassung in Belgien, deren Tätigkeitsbereiche den 18 zentralen Sektoren zuzuordnen sind, unterliegen der NIS2-Richtlinie.
„Wesentliche Einrichtung“ statt „OIV“ in Frankreich
Im Jahr 2013 wurden in Frankreich mit dem „Loi de programmation militaire“ (LPM, zu Deutsch: „Militärprogrammierungsgesetz“) die sogenannten „Opérateurs d’Importance Vitale“ (OIV, zu Deutsch: „Akteure von entscheidender Bedeutung“ eingeführt, für die hohe Sicherheitsanforderungen gelten. Im Jahr 2018 wurden diese OIV durch die Umsetzung der ursprünglichen NIS-Richtlinie in französisches Recht auf die Betreiber wesentlicher Dienste ausgeweitet.
Diese wichtigsten Akteure, die für den reibungslosen Betrieb des Staates entscheidend sind, wurden dadurch verpflichtet, Cybersicherheitsmaßnahmen umzusetzen und ihre Sicherheitsvorfälle an die „Agence nationale de la sécurité des systèmes d'information“ (ANSSI), Frankreichs nationale Behörde für digitale Sicherheit, zu melden.
Die ANSSI leitet das Projekt zur Umsetzung der NIS-2-Richtlinie in französisches Recht in Zusammenarbeit mit Ministern und Ministerinnen der Regierung, den verschiedenen Interessengruppen in Frankreich und mit europäischen Partnern. Darüber hinaus hat die Agentur die Aufgabe, einer Liste der wesentlichen und wichtigen Einrichtungen des Landes zu erstellen, die gemäß ihrem jeweiligen Grad der Kritikalität klassifiziert werden.
Die ANSSI „plant, dieses Konzept anzuwenden, um Anforderungen zu definieren, die an die in jeder dieser Kategorien zu berücksichtigenden Faktoren angepasst werden und verhältnismäßig sind“, so die Erklärung auf der offiziellen Website.
Guillaume Poupard, Generaldirektor der ANSSI, äußerte sich bei der Verabschiedung von NIS-2 im Europäischen Parlament im Juni 2022 wie folgt: „Die Anzahl der als Betreiber wesentlicher Dienste klassifizierten Akteure wird um den Faktor 10 steigen und sie werden reguliert werden.“ Die zukünftige Gesetzgebung betrifft Tausende von Einrichtungen, von KMU bis hin zu im CAC 40 gelisteten Unternehmen, nicht zu vergessen Behörden aller Größen (Zentralverwaltungen und Regionalbehörden).
Fazit
Jeder Mitgliedsstaat und seine zuständigen Behörden arbeiten nun an der Umsetzung der NIS-2-Richtlinie, um eine Verabschiedung der nationalen Gesetze bis Oktober 2024 zu ermöglichen. Wenn Ihr Unternehmen in den genannten Sektoren digitale Dienste in der Europäischen Union anbietet, müssen Sie unbedingt sicherstellen, dass Sie die Compliance-Anforderungen in den jeweiligen Ländern erfüllen. Wie wir gesehen haben, kann die Liste der Sektoren je nach Land und je nach zuständigen Behörden variieren. Dies trifft auch die Art und Weise, wie Sicherheitsvorfälle zu melden sind.
Wenn Sie sich die Unterstützung von Experten und Expertinnen auf dem Gebiet der Cybersicherheit holen wollen, wenden Sie sich einfach an das Team von Eye Security.
Das Angebot von Eye Security
Um Unternehmen bei der Bewältigung der komplexen Anforderungen der NIS2-Richtlinie zu unterstützen, bietet Eye Security einen umfassenden MDR-Dienst (Managed Detection and Response, Dienst zur Erkennung und Reaktion auf Bedrohungen) mit Versicherungsschutz an. Mit diesem Komplettpaket erhalten sie eine leicht verständliche und kostengünstige Lösung mit Preisen ab 10 € pro Mitarbeiter und pro Monat.
Durch die Partnerschaft mit Eye Security können KMU:
- Ihre allgemeine Strategie zur Cybersicherheit und ihre Resilienz gegenüber Cyberangriffen verbessern.
- Über Entwicklungen neuer Verordnungen zum Thema Cybersicherheit informiert und darauf vorbereitet sein.
- Fachkundige Unterstützung bei der Erkennung, Reaktion und Meldung von Vorfällen erhalten, um die Meldeanforderungen der NIS2-Richtlinie zu erfüllen.
- Die finanziellen und betrieblichen Auswirkungen von Cybersicherheitsvorfällen dank maßgeschneidertem Versicherungsschutz reduzieren.
Mit Eye Security können sich Unternehmen auf ihr Kerngeschäft konzentrieren und gleichzeitig sicherstellen, dass ihre Anforderungen an Cybersicherheit professionell verwaltet und an die Anforderungen der NIS2-Richtlinie angepasst werden.