Cyberkriminalität birgt enorme Risiken für Betreiber digitaler Dienste. IT-Sicherheitsvorfälle in kritischen Infrastrukturen führen zu Störungen und wirtschaftlichen Verlusten. Um die Sicherheit zu steigern, setzt die EU auf NIS, was den EU-Mitgliedsstaaten helfen soll, die Informationssicherheit zu verbessern, Cyberrisiken zu erkennen und zu mindern und Sicherheitsvorfälle den Behörden zu melden.
Kritische Sektoren, wie die öffentliche Verwaltung, müssen geschützt werden. Denn Unternehmen, die Netzwerke zur Speicherung und Übermittlung von Daten nutzen, sind häufig von Cyberangriffen betroffen.
So kam es im Dezember 2015 in der Westukraine zum Stromausfall, der 230.000 Bürger bei eisigen Temperaturen in der Dunkelheit zurückließ. Grund dafür war eine Gruppe Cyberkrimineller, die die Kontrollsysteme eines Umspannwerks hackten und so den Stromausfall verursachten.
Der Not-Petya-Malware-Angriff betraf 2017 EU-Staaten, wie Deutschland, und sorgte in verschiedenen Branchen, wie beim Pharmariesen Merck und beim Logistikunternehmen Maersk für Beeinträchtigungen. Die steigende Anzahl der Angriffe stellte die Europäische Kommission vor die Frage, welche Sicherheitsanforderungen an kritische Infrastrukturen notwendig sein werden.
Um kritische Sektoren mit Maßnahmen auszustatten, führte die EU 2016 die Richtlinie zur Netz- und Informationssicherheit (NIS) ein. Im Januar 2023 erschien dann NIS2, die neue Fassung der Richtlinie.
Die NIS2-Richtlinie gilt für mehr Branchen. Sie enthält zudem Aktualisierungen für neue Technologien und Rückmeldungen von Interessensgruppen. Bei NIS wurden bei Nichteinhaltung keine hohen Strafen verhängt, da die meisten Unternehmen, für die die Richtlinie galt, keine Klarheit über die Umsetzung der Richtlinien hatten. Oft waren sich auch die EU-Mitgliedstaaten nicht einig, da es einen Spielraum für individuelle Interpretationen gab.
Angesichts der Unklarheiten war es notwendig, die Richtlinie zu überarbeiten, mehr Klarheit zu schaffen und den Anwendungsbereich neu zu definieren. Das Ziel ist dasselbe: der Schutz kritischer Einrichtungen und die Erhöhung der Widerstandsfähigkeit von Organisationen.
NIS2 gilt für Unternehmen in EU-Ländern, die in die Kategorien „wesentliche“ und „wichtige“ Einrichtungen fallen. Auch Unternehmen, die außerhalb der EU ansässig sind, aber digitale Dienste in Europa anbieten, müssen die Richtlinie möglicherweise einhalten.
Zu den „Wesentlichen Einrichtungen“ gehören:
Zu den wichtigen Einrichtungen gehören:
Für beide Kategorien von Unternehmen gibt es verschiedene Schwellenwerte und Geldbußen.
Zu den „wesentlichen Diensten“ gehören Unternehmen mit 250 Mitarbeitern oder mehr und einem Umsatz von 50 Millionen Euro oder einer Bilanzsumme von 43 Millionen Euro.
Zu den „wichtigen Diensten“ gehören Unternehmen mit 50 oder mehr Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanz von 10 Millionen Euro.
Unternehmen, die in den Geltungsbereich der Richtlinie fallen, werden Maßnahmen, wie Vor-Ort-Kontrollen, Audits und Cybersicherheits-Scans unterzogen. Auch andere Parameter, die über die Sicherheitslage und -politik einer Einrichtung Aufschluss geben, können verlangt werden, um das Sicherheitsniveau und die Bereitschaft zur sofortigen Intervention in Notfallsituationen zu bewerten.
Mit NIS2 hat das EU-Parlament den Schwerpunkt auf die Durchführung gelegt. Grauzonen wurden reduziert, sodass weniger Raum für Unklarheiten bleibt. So besagt die NIS2-Richtlinie, dass ein Angriff unabhängig davon, ob er Auswirkungen hat, gemeldet werden muss. Nach einem Sicherheitszwischenfall muss innerhalb von 24 Stunden ein grober Bericht des Vorfalls übermittelt und ein detaillierter Bericht innerhalb eines Monats vorgelegt werden. Zudem sollen der Wissensaustausch und die Zusammenarbeit zwischen den EU-Mitgliedstaaten durch die Richtlinie verbessert werden.
Die EU-Staaten haben 20 Monate Zeit, die Richtlinien in nationales Recht umzusetzen. Alle betroffenen Unternehmen müssen die NIS2-Richtlinie bis zum 18. Oktober 2024 umsetzen.
Analysieren Sie, ob Ihr Unternehmen von der neuen Richtlinie betroffen ist und wenn ja, in welche Kategorie Ihr Unternehmen fällt:
Die Einhaltung der NIS2-Richtlinie bedeutet nicht, dass Sie eine umfassende Überarbeitung vornehmen müssen. Wenn Sie bereits über gute Sicherheitsmaßnahmen verfügen, ist die Wahrscheinlichkeit groß, dass nur wenige Anpassungen notwendig sind.
Für Unternehmen, die verstehen wollen, wie sich die NIS2-Richlinie auf sie auswirkt und welche Schritte sie unternehmen müssen, um ihre Netzwerksicherheit zu verbessern und ihre Informationssysteme zu schützen, haben wir einen Drei-Schritte-Plan entwickelt: