EU verabschiedet NIS 2-Richtlinie: Stärkung der Cybersicherheit

Kritische Sektoren wie Verkehr, Energie, Gesundheit und Finanzen sind zunehmend abhängig von digitalen Technologien, um ihr Kerngeschäft zu betreiben. Während die Digitalisierung enorme Chancen und Lösungen für viele der Herausforderungen bietet, setzt sie Wirtschaft und Gesellschaft auch Cyberbedrohungen aus. Cyberangriffe und -kriminalität nehmen in ganz Europa an Zahl und Komplexität zu. Dieser Trend wird sich in Zukunft weiter verstärken, denn bis 2024 sollen weltweit 22,3 Milliarden Geräte mit dem Internet der Dinge verbunden sein (weitere Informationen dazu, wie die Europäische Union (EU) das Thema Cyberbedrohungen angehen will, finden Sie hier).

Die EU führt schrittweise politische und institutionelle Veränderungen durch, um ihre Fähigkeit zur Bewältigung künftiger Notfälle zu verbessern. Um ihre Widerstandsfähigkeit gegenüber künftigen Herausforderungen zu stärken, versucht die EU, das sektor- und grenzübergreifende Krisenmanagement zu optimieren.

Schutz von Netzwerk- und Informationssystemen (NIS)

Im Jahr 2016 verabschiedete die EU mit der Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen (NIS) die erste EU-weite Gesetzgebungsmaßnahme mit dem Ziel, die Zusammenarbeit zwischen den EU-Ländern in der wichtigen Frage der Cybersicherheit zu verstärken.

Die Richtlinie legte Sicherheitsverpflichtungen für Betreiber wesentlicher Dienste in kritischen Sektoren fest, z. B. für Krankenhäuser, Energienetze, Eisenbahnen, Rechenzentren, öffentliche Verwaltungen, Forschungslabors und Fabriken, die kritische medizinische Geräte und Medikamente herstellen. Die Einführung der Richtlinie NIS war auch ein entscheidender Schritt zur Verbesserung der Cyber-Resilienz in der EU.

NIS zielt in erster Linie auf die Verbesserung der Cybersicherheit ab, ist aber an sich kein Cybersicherheitsgesetz. Sie bezieht sich auf jeden „Vorfall“, der sich auf einen Dienst auswirkt, wenn diese Auswirkung eine erhebliche Störung bewirkt.

In Deutschland erfolgte die Umsetzung der NIS-Richtlinie über das Umsetzungsgesetz vom 29.06.2017 und dort insbesondere über die Anpassung des IT-Sicherheitsgesetzes, das bereits vorher viele Anforderungen umsetzte.

Vier Jahre nach der Einführung untersuchte ein NIS-Investitionsbericht (NIS Investments report, veröffentlicht im Dezember 2020) der EU-Agentur für Netzwerkinformationssicherheit (ENISA – European Union Agency for Cybersecurity) anhand einer Umfrage unter 251 Organisationen von Betreibern wesentlicher Dienste (OES – Operators of Essential Services) und Anbietern digitaler Dienste (DSP – Digital Service Providers) aus Frankreich, Deutschland, Italien, Spanien und Polen, wie sich die Ausgaben für Cybersicherheit seither verändert haben. Die Umfrage ergab, dass 82 % der OES und DSP der Meinung sind, dass sich die NIS-Richtlinie positiv ausgewirkt hat. Es bestehen jedoch nach wie vor Investitionslücken und beim Vergleich von Organisationen aus der EU und den USA zeigen die Daten, dass EU-Organisationen im Durchschnitt 41 % weniger für Cybersicherheit aufwenden als die US-Organisationen.

Um auf die wachsenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyberangriffen zu reagieren, hat die Europäische Kommission einen Vorschlag vorgelegt, um die NIS-Richtlinie zu ersetzen und dadurch die Sicherheitsanforderungen zu stärken, die Sicherheit von Lieferketten anzugehen, Meldepflichten zu straffen und strengere Aufsichtsmaßnahmen und Durchsetzungsanforderungen einzuführen, einschließlich harmonisierter Sanktionen in der gesamten EU. Der Rat und das Europäische Parlament erzielten eine vorläufige Einigung über die neuen Maßnahmen, die ein stärkeres Risiko- und Vorfallmanagement sowie eine Zusammenarbeit gewährleisten und den Anwendungsbereich der Vorschriften erweitern werden.

NIS 2

Die neue Richtlinie mit dem Namen „NIS 2“ ersetzt die derzeitige Richtlinie NIS und wurde im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen (siehe Pressemitteilung vom 28.11.2022). Am 27.12.2022 wurde die NIS 2-Richtlinie im EU-Amtsblatt veröffentlicht und tritt zum 16.01.2023 in Kraft. Ab dann haben die Mitgliedstaaten 21 Monate zur Umsetzung in nationales Recht.

Die neue Richtlinie wurde an sektorspezifische Rechtsvorschriften angepasst, insbesondere an die Verordnung über die digitale operative Betriebsstabilität digitaler Systeme des Finanzsektors (DORA – Digital Operational Resilience Act) und die Richtlinie über die Resilienz kritischer Einrichtungen (CER – Critical Entities Resilience Directive), um Rechtsklarheit zu schaffen und die Kohärenz zwischen NIS 2 und diesen Vorschriften zu gewährleisten.

Darüber hinaus hebt die neue Richtlinie die Unterscheidung zwischen OES und DSP auf und klassifiziert die erfassten Einheiten in solche, die als wesentlich angesehen werden, und solche, die wichtig sind. Im Folgenden sind die Sektoren aufgeführt, die von der NIS- und NIS 2-Richtlinie abgedeckt werden. Die Scope-Erweiterung in NIS 2 ist deutlich sichtbar.

Scope von NIS

• Energie (Strom, Öl, Gas, Wärme)
• Gesundheit (Versorger, Pharma)
• Transport (Luft, Schiene, Wasser, Straße)
• Banken und Finanzmärkte
• Wasser
• Digital (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, ICT-Dienstleistungsverwaltung)
• Industrie (Technik und Ingenieurwesen)
• Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, soziale Netzwerke)

Scope von NIS 2

Wesentlich („Essential“):

• Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
• Gesundheit (Versorger, Labore, F&E, Pharma)
• Transport (Luft, Schiene, Wasser, Straße)
• Banken und Finanzmärkte
• Wasser und Abwasser
• Digital (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
• ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung

Wichtig („Important“):

• Post und Kurier
• Abfallwirtschaft
• Chemie
• Ernährung
• Industrie (Technik und Ingenieurwesen)
• Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, sozialer Netzwerke)
• Forschung

In der NIS 2-Richtlinie sind achtzehn Sektoren (elf „Essential“-Sektoren und sieben „Important“-Sektoren) definiert, die sich mit den deutschen KRITIS-Sektoren und den UBI (Unternehmen im besonderen öffentlichen Interesse) teilweise überschneiden, teilweise aber auch über diese hinausgehen. Die im jetzigen IT-Sicherheitsgesetz noch fehlenden Sektoren (und Branchen) könnten dann im IT-Sicherheitsgesetz 3.0 oder in neuen Rechtverordnungen geregelt werden: Raumfahrt, öffentliche Verwaltung, Energie (Wasserstoff), Gesundheit (Medizinforschung, Medizingeräte), Forschung (Forschungsinstitute), ICT Service Management.

Während unter der alten NIS-Richtlinie die Mitgliedstaaten dafür verantwortlich waren, zu bestimmen, welche Unternehmen die Kriterien erfüllen würden, um sich als Betreiber wesentlicher Dienste zu qualifizieren, führt die neue NIS 2-Richtlinie eine „size-cap rule“ (Artikel 2 Nr. 1) als allgemeine Regel zur Identifizierung regulierter Unternehmen ein. Das bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder Dienstleistungen erbringen, in ihren Anwendungsbereich fallen. Im Sinne der Empfehlung 2003/361/EG:

• Kleines Unternehmen: weniger als 50 Mitarbeiter und ein Jahresumsatz bzw. eine Jahresbilanz von unter 10 Mio. Euro.
• Mittleres Unternehmen: weniger als 250 Mitarbeiter und ein Jahresumsatz von unter 50 Mio. Euro bzw. eine Jahresbilanz von unter 43 Mio. Euro.

Gleichzeitig wird den Mitgliedstaaten Flexibilität bei der Identifizierung kleinerer Unternehmen mit einem hohen Risikoprofil garantiert.

Der Text stellt auch klar, dass die Richtlinie nicht für Einrichtungen gilt, die Tätigkeiten in Bereichen wie Verteidigung oder nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung ausüben. Auch Justiz, Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen. Allerdings wird NIS 2 auch für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten.

Die NIS 2 zielt auf ein effektiveres Risiko- und Vorfallmanagementsystem und mehr Zusammenarbeit zwischen den Ländern ab. In Rahmen der Richtlinie wird ein „gefahrenübergreifender“ Ansatz verfolgt, der den Schutz von Netz- und Informationssystemen und ihres physischen Umfelds vor allen Ereignissen umfasst, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können (Artikel 21).

Meldung von Sicherheitsverletzungen

Wesentliche und wichtige Stellen müssen dem Netzwerk nationaler Reaktionsteams für IT-Sicherheitsvorfälle (CSIRT – National Computer Security Incident Response Team) nach einem mehrstufigen Prozess erhebliche Sicherheitsverletzungen melden. Die erste Benachrichtigung sollte innerhalb von 24 Stunden erfolgen, gefolgt von einer zweiten Benachrichtigung mit einer Analyse des Vorfalls innerhalb von 72 Stunden, nachdem ein schwerwiegender Vorfall bekannt geworden ist (Artikel 23 Nr. 4).

Gemäß Artikel 34 stellen die Mitgliedstaaten sicher, dass die Verhängung von Geldbußen gegen wesentliche und wichtige Einrichtungen gemäß diesem Artikel bei Verstößen gegen die in dieser Richtlinie festgelegten Verpflichtungen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Die Mitgliedstaaten stellen sicher, dass für Verstöße einer wesentlichen Einrichtung gegen die Verpflichtungen nach Artikel 21 oder Artikel 23 im Einklang mit den Absätzen 2 und 3 des vorliegenden Artikels Geldbußen verhängt werden. Für wesentliche Einrichtungen liegt der Höchstbetrag der Strafe bei mindestens 10 Mio. Euro oder im Falle einer juristischen Person bei 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt der Höchstbetrag der Strafe bei mindestens 7 Mio. Euro oder 1,4 % des Umsatzes.

Die überarbeitete Richtlinie zielt darauf ab, Cybersicherheitsanforderungen und die Umsetzung von Cybersicherheitsmaßnahmen in verschiedenen Mitgliedstaaten zu harmonisieren. Um dies zu erreichen, legt die Richtlinie Mindestregeln für einen Regulierungsrahmen sowie Mechanismen für eine effektive Zusammenarbeit zwischen den zuständigen Behörden in jedem Mitgliedstaat fest.

Die durch die rasante Digitalisierung verursachten Cyberrisiken und die Widerspiegelung globaler Probleme in der Cyberwelt machen es dringend erforderlich, strengere Maßnahmen in diesem Bereich zu ergreifen und eine stärkere Zusammenarbeit zwischen den Ländern zu etablieren. Auf der anderen Seite scheint es unvermeidlich, dass Unternehmen ihre Systeme sicherer und stärker gegen zunehmende Bedrohungen der Cybersicherheit machen.