Das Internet durchzieht längst unser gesamtes Leben und ist fester Bestandteil unserer Freizeit und Arbeitswelt. Die steigende Abhängigkeit vom Internet, aber auch eine wachsende Bedrohungslage haben das EU-Parlament in Brüssel zu einer Neujustierung ihrer Richtlinie über Netz- und Informationssicherheit (NIS) veranlasst.
Rund 20 Jahre nach der Einführung der ersten Cyber-Regulierung kommt mit der NIS2-Richtlinie ein zweites Gesetz, das den gestiegenen Anforderungen an die Cyber-Security Rechnung tragen soll. Wie viele Unternehmen sind betroffen und welche Verpflichtungen kommen für diese hinzu?
Welche Unternehmen sind betroffen?
Mit der Novellierung hat sich der Kreis betroffener Unternehmen erheblich erweitert. Statt 7 Sektoren gibt es nunmehr 18, die vom EU-Gesetzgeber als sicherheitsrelevant eingestuft werden. Zu beachten ist ferner, dass die EU mit der NIS2-Richtlinie zwischen „wichtigen“ und „wesentlichen” Einrichtungen unterscheidet. Unternehmen, die in einem der 18 als sicherheitsrelevant definierten Sektoren tätig sind, können darüber hinaus als „wichtig“ eingeordnet werden, wenn sie über 50 Beschäftigte haben und auf einen Jahresumsatz von mindestens 10 Millionen Euro kommen. Eine Klassifizierung als „wesentlich“ kann ab 250 Mitarbeitern und einem Jahresumsatz ab 50 Millionen Euro oder einer Jahresbilanzsumme von mindestens 43 Millionen Euro erfolgen. Experten schätzen die Anzahl betroffener Unternehmen in Deutschland auf 30.000 bis 40.000. Suchen Sie weitere Informationen? Die NIS2-Richtlinie erklärt dieser Anbieter von Sicherheitsleistungen ebenfalls, die nach den NIS2-Anforderungen ausgerichtet sind.
Die Ziele der EU
Hinsichtlich der Intention wurden die steigende Abhängigkeit vom Internet und die wachsende Bedrohungslage schon angesprochen. Im internationalen Maßstab zeigt zum Beispiel der Russisch-Ukrainische Krieg die steigende Bedeutung einer effizienteren Cybersicherheitsstruktur. Da die EU die von Russland angegriffene Ukraine unter anderem mit Waffen unterstützt, haben Cyberangriffe aus Russland erheblich zugenommen. Aber auch Länder wie China, Nordkorea und der Iran wie fast der gesamte arabische Raum befinden sich in ideologischer Gegnerschaft zum Westen und haben andere geostrategischen Interessen. Ebenfalls zugenommen hat die Zahl privater Cyberangriffe. Die Motive der Täter reichen von Datenklau, Erpressung, Kontoplünderung, Rache bis zum politischen Aktivismus. Ist die digitale Infrastruktur von Unternehmen bis auf Weiteres lahmgelegt, kann ihnen dies die Existenz kosten. Mit der NIS2-Richtlinie soll die Widerstandsfähigkeit der kritischen Infrastruktur und bedeutsamer digitaler Dienste gestärkt werden.
Die Mitgliedsländer erhalten mit der NIS2-Richtlinie ein verbindliches Rahmenwerk, das ihnen bei der Erkennung, Prävention und Bewältigung von Cyberangriffen Orientierung bietet. Zur Zielsetzung gehört weiterhin eine Harmonisierung der sicherheitsrelevanten Standards in den einzelnen Mitgliedsländern, weil die Erfahrung gezeigt hat, dass die Unterschiede zwischen den EU-Ländern teilweise gravierend sind. Der Datenschutz soll verbessert und der Geschäftsverkehr sicherer werden.
Welche Maßnahmen müssen umgesetzt werden?
Der Umfang an obligatorischen Maßnahmen für die Sicherheit und Integrität von Netzwerken und Informationssystemen richtet sich nach ihrer Bedeutung aus. Entscheidend ist die individuelle Risikoexposition einer sensiblen Einrichtung. Dem Gesetzeswerk werden Unternehmer entnehmen können, ob sie selbst betroffen sind und welcher Art die Anforderungen im Einzelfall sind.
Typische Schritte betreffen für wichtige oder wesentliche Einrichtungen unter anderem die folgenden:
- Durchführung regelmäßiger Penetrationstests
- gründliche Bearbeitung von Vorfällen
- Meldepflicht in 24 bzw. 72 Stunden
- Sicherheit von Lieferketten
- Verwendung von Kryptografie und Verschlüsselung
- Implementierung eines Informationssicherheitsmanagementsystems (ISMS)
- Einhaltung von Sicherheitsstandards
- effektives Krisenmanagement und Geschäftskontinuität
- umfassende Netzwerksicherheit
- Fixen von Schwachpunkten
- Verpflichtung, Systeme stets auf den neuesten Stand zu halten
Verstöße gegen die neuen Bestimmungen werden im Rahmen von NIS2 härter sanktioniert. Die Höchststrafen belaufen sich auf bis zu 10 Millionen Euro, Verantwortliche können in Schadensfällen persönlich haften und der Gesetzgeber erhält die Kompetenz, belastete Entscheidungsträger vorübergehend den Zugang zu ihrem Bereich zu entziehen.
Wie wird sich NIS2 auswirken? Ein Ausblick
Zweifellos wird die NIS2-Richtlinie zur Stärkung der Cyberresilienz beitragen. Dies ist ein wichtiges Anliegen, dem angesichts verheerender Cyberangriffe in der jüngsten Vergangenheit eine enorme Relevanz zukommt. Die zahlreichen Richtlinien erhöhen den Druck auf Unternehmen und Einrichtungen, die in einem kritischen Sektor wirken, leisten aber auch in puncto Orientierung gute Dienste – vor allem für Unternehmen mit fehlender Digitalkompetenz. Dennoch möchten wir nicht verschweigen, dass es gerade die auch von unabhängigen Beobachtern immer wieder erwähnte Fülle an einzelnen Maßnahmen ist, die Unternehmen ein hohes Maß an Bürokratie abverlangt. Dabei ächzen Unternehmer regelmäßig unter dem Joch bürokratischer Verpflichtungen, die bis ins Detail genau geregelt sind. Dieser weitere Zuwachs an Bürokratie wird in Kombination mit den beträchtlichen Kosten und dem mit der Compliance verbundenen Mehraufwand die Position von betroffenen Marktakteuren schwächen, was im globalen Konkurrenzkampf durchaus ein Wettbewerbsnachteil ist.
Foto: Unsplash