Die NIS-2-Richtlinie der EU: Eine Antwort auf die wachsende Cyberbedrohung

Der Cyberraum ist heute stärker bedroht als je zuvor, und Behörden weltweit sind sich darüber einig. Auch die Europäische Union hat die Dringlichkeit erkannt und am 28.11.2022 die NIS-2-Richtlinie verabschiedet, eine EU-weite Richtlinie zur Stärkung der Cybersicherheit. Diese Richtlinie hat das Ziel, ein einheitliches Schutzniveau für systemrelevante IT-Infrastrukturen in der EU zu schaffen und eine schnellere Reaktion auf Cyberkrisen zu ermöglichen. Im Vergleich zur Vorgängerrichtlinie NIS-1 erweitert die NIS-2-Richtlinie den Kreis der betroffenen Unternehmen, erhöht die Pflichten der Betroffenen und erweitert die Befugnisse der Aufsichtsbehörden.

Anwendungsbereich

Die NIS-2-Richtlinie gilt für öffentliche und private Einrichtungen, die ihre Dienste in der EU erbringen. Es wird geschätzt, dass über 100.000 Einrichtungen von dieser Richtlinie erfasst werden. Der Anwendungsbereich umfasst alle Einrichtungen mit mehr als 50 Beschäftigten, einem Jahresumsatz von über 10 Millionen Euro und die in den systemrelevanten Sektoren tätig sind. Zu den Sektoren mit hoher Kritikalität gehören beispielsweise Energie, Gesundheit, Verkehr, Banken und Finanzmärkte, Trink- und Abwasser, digitale Infrastrukturen, Raumfahrt und öffentliche Verwaltung. Es gibt auch weitere kritische Sektoren wie Post und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Industrie, digitale Dienste und Forschung, für die teilweise abweichende Regelungen gelten.

Pflichten der Betroffenen

Die betroffenen Unternehmen müssen angemessene technische, operative und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dies erfordert die Implementierung eines detaillierten Risikomanagementsystems, das bestimmte Mindestanforderungen erfüllen muss. Das Risikomanagementsystem umfasst unter anderem die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten, Maßnahmen zur Aufrechterhaltung des Betriebs, Sicherheit der Lieferketten und andere Sicherheitsmechanismen wie Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor-Authentifizierung, sichere Kommunikationsmittel und Zugriffskontrollen. Unternehmen müssen außerdem Sicherheitsvorfälle an die zuständige Behörde melden und gegebenenfalls die Nutzer ihrer Dienste informieren.

Aufsicht und Durchsetzung

Die nationalen Behörden werden mit umfangreichen Befugnissen zur Durchsetzung der Cybersicherheitsvorgaben ausgestattet. Dies umfasst Vor-Ort-Kontrollen, Sicherheitsscans, Zugang zu Daten und Dokumenten, die Herausgabe von Sicherheitswarnungen an die Öffentlichkeit, die Festsetzung von Zwangsgeldern und die Erteilung verbindlicher Anweisungen an Unternehmen. Bei Verstößen gegen die Richtlinie können Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden. Es ist jedoch festgelegt, dass Verstöße gegen die NIS-2-Richtlinie und die Datenschutzgrundverordnung (DSGVO) nur einmal mit einer Geldbuße geahndet werden sollen.

Zusammenarbeit und praktische Anwendung

Die NIS-2-Richtlinie stärkt auch die Zusammenarbeit zwischen den nationalen Behörden und etabliert eine Kooperationsgruppe der Cybersicherheitsbehörden, um den Informationsaustausch zu fördern. Ein Ergebnis dieser Zusammenarbeit ist das Schwachstellen-Register, das dazu dient, Schwachstellen in IT-Systemen zu veröffentlichen und kontinuierliche Verbesserungen zu ermöglichen.

Fazit:

Die NIS-2-Richtlinie ist eine angemessene Reaktion auf die steigenden Cyberbedrohungen und bietet klare Vorgaben für Unternehmen im Bereich der Cybersicherheit. Die Umsetzung der Richtlinie kann bereits jetzt als Wettbewerbsvorteil genutzt werden, da Unternehmen, die frühzeitig handeln, Kosten vermeiden und sich einen Vorsprung im Markt verschaffen können. Die parallelen Anforderungen der NIS-2-Richtlinie und der DSGVO machen deutlich, dass die Zeit zum Handeln gekommen ist. Unternehmen sollten sich bewusst sein, dass die Umsetzung der Cybersicherheitsmaßnahmen sowohl den Schutz ihrer Systeme als auch ihre Wettbewerbsfähigkeit stärken kann.