Die Europäische Union hat am 27.12.2022 in ihrem Amtsblatt die seit langer Zeit erwartete neue europäische Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht (wir berichteten). Am 22.03.2023 hat dazu der Bremer Prof. Dr. Dennis-Kenji Kipker an der Hochschule Bremen im Rahmen der Akademie des Freien Institutes für IT-Sicherheit e. V. (IFIT) einen Vortrag gehalten und die Regelungen in der aktualisierten Richtlinie über die Netz- und Informationssicherheit (NIS) vorgestellt. Die zentralen Erkenntnisse aus dem Vortrag möchten wir Ihnen in diesem Beitrag zusammenfassen.
Das neue Gesetz sieht eine Umsetzungsfrist für die Mitgliedstaaten in nationales Recht bis zum 17.10.2024 vor. Die Vorgängerregelung, Richtlinie (EU) 2016/1148 (NIS-1-Richtlinie), wird mit Wirkung vom 18.10.2024 aufgehoben. Das regulatorische Ziel der neuen Richtlinie ist die Vertiefung und inhaltliche Erweiterung der Anforderung an die Cybersicherheit zu einem verbesserten Schutz im Sinne der Verstärkung, Modernisierung und Ausweitung von zentralen Vorgaben.
Nach einer kurzen Vorstellung des neuen Gesetzes hat Prof. Dr. Kipker zuerst die komplexen Regelungen, insbesondere den erweiterten Anwendungsbereich, angesprochen. Es folgte eine Einordnung von NIS-2 als Bestandteil des europäischen Cybersecurity-Regulierungsgefüges und insbesondere eine Abgrenzung zum Entwurf des EU Cyber Resilience Acts, dessen Gegenstand die Cybersicherheit von Produkten über den gesamten Lebenszyklus sei.
Neue Anforderungen an Organisationen
Mit NIS-2 sollen auch kleinere Unternehmen zur Umsetzung weiterer Informationssicherheitsmaßnahmen angehalten werden. Diesbezüglich ist es für Unternehmen wichtig zu erfahren, ob man von diesem neuen Gesetz betroffen ist. Grundsätzlich ist das Gesetz sowohl für private als auch öffentliche Organisationen anwendbar, wobei für öffentliche Einrichtungen zahlreiche Bereichsausnahmen bestehen. In Bezug auf den Anwendungsbereich wird in NIS-2 zwischen Sektoren mit hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II) differenziert.
Zum Anhang I mit hoher Kritikalität gehören u. a. Unternehmen aus den Sektoren:
- Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung sowie Weltraum
Die Unternehmen aus dem Anhang II, sog. sonstige kritische Sektoren, sind:
- Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Herstellung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste sowie Forschungseinrichtungen
Im weiteren Verlauf seines Vortrages hat Prof. Dr. Kipker die europäischen Schwellenwerte für betroffene Unternehmen präsentiert. Diese sind:
- Mittlere Unternehmen gemäß der Empfehlung aus dem Jahr 2003 mit mindestens 50 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanz von über 10 Mio. Euro.
- Unternehmen, die die Schwellenwerte für mittlere Unternehmen nach EU-Recht überschreiten, mit mindestens 250 Beschäftigten und einem Jahresumsatz von mehr als 50 Mio. Euro oder einer Jahresbilanz von mehr als 43 Mio. Euro.
- Nicht abhängig von der Unternehmensgröße, unter der Voraussetzung, dass qualifizierende Faktoren umgesetzt werden, bspw. aufgrund von kritischer Tätigkeit, Auswirkungen auf öffentliche Ordnung, Systemrisiken, grenzüberschreitenden Auswirkungen.
Neue Kategorisierung der Organisationen
Eine weitere Neuerung ist die Zuordnung von Unternehmen in zwei Kategorien: „wesentliche“ und „wichtige“ Einrichtungen. Zu den „wesentlichen Einrichtungen“ gehören die Unternehmen im Anhang I, die die europäischen Schwellenwerte für mittlere Unternehmen überschreiten und die Unternehmen, die nach NIS-1 bzw. mitgliedstaatlich als wesentliche Einrichtungen eingestuft werden. Zu den „wichtigen Einrichtungen“ gehören die Unternehmen in NIS-2 Anhang I und II, die nicht als „wesentliche Einrichtungen“ gelten bzw. die mitgliedstaatlich als „wichtige Einrichtungen“ eingestuft wurden. Die Mitgliedstaaten müssen bis zum 17.04.2025 eine Liste zu den genannten Einrichtungen erstellen.
Pflichten der Mitgliedstaaten
Prof. Dr. Kipker hat anschließend die Pflichten der Mitgliedstaaten in Bezug auf das neue Gesetz erläutert. Demzufolge müssen die Mitgliedstaaten u. a. eine nationale Cybersicherheitsstrategie inklusive Steuerungsrahmen für NIS-2 entwickeln und darin – im Zuge verschiedener Vorkommnisse, wie z. B. die Corona-Pandemie und der russische Überfall auf die Ukraine – den Lieferkettenschutz vermehrt einbeziehen. Außerdem fordert die Gesetzgebung, dass die koordinierte Offenlegung von Schwachstellen adressiert werden soll.
Des Weiteren schreibt das neue Gesetz vor, dass alle fünf Jahre die nationalen Cybersicherheitsstrategien anhand sog. Leistungsindikatoren evaluiert werden müssen. Zur Bewältigung massiver Cybersicherheitsvorfälle müssen darüber hinaus in jedem Mitgliedsland Computer-Notfallteams (CSIRTs) zusammengestellt werden. Verlangt wird auch die aktive Beteiligung für eine bessere Kollaboration am Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe). Zudem ist die Entwicklung und der Betrieb einer europäischen Schwachstellendatenbank, für die die europäische Cybersicherheitsagentur (ENISA) verantwortlich sein soll, ebenfalls relevant. Darin sollen alle möglichen Informationen zur Beschreibung von Schwachstellen, zu betroffenen Produkten und Diensten, dem Ausmaß der Schwachstelle sowie Patches und anderen Möglichkeiten gesammelt werden, um den Schwachstellen entgegenwirken zu können. Ein weiterer Punkt, den Prof. Dr. Kipker erwähnt hat, waren freiwillige mitgliedstaatliche Cybersecurity Peer Reviews. Es soll darum gehen, dass die Mitgliedstaaten den Stand der Umsetzung nationalstaatlicher Cybersicherheitsstrategien, von Cybersicherheitsrisikomanagement und operativer Kapazitäten unabhängig überprüfen sollen.
Pflichten der Organisationen
Im Anschluss veranschaulichte Prof. Dr. Kipker die Pflichten der Unternehmen in Bezug auf das neue Gesetz. Demzufolge müssen die Leitungsorgane der „wesentlichen“ und „wichtigen“ Unternehmen Maßnahmen für die Cybersicherheit nicht nur billigen, sondern ihre Umsetzung auch kontinuierlich überwachen. Das Gesetz, ebenso wie NIS-1, fordert, dass die Unternehmen im Rahmen von Cybersecurity-Prävention alle angemessenen technischen und organisatorischen Maßnahmen (TOMs) gemäß Stand der Technik und individueller Risikoexposition umsetzen müssen. Dazu findet sich im Gesetzeswortlaut ein Katalog von TOMs, der bspw. Krisenmanagement, Cyberhygiene, Kryptografie, Personalsicherheit, Authentifizierungstechnologien und Notfallkommunikation inkludiert. Des Weiteren müssen die Unternehmen in ihren Maßnahmen nicht nur den Digitalschutz berücksichtigen, sondern von einer hybriden Bedrohungslage ausgehen und eine physische Infrastruktur der IT-Systeme integrieren. Eine Bezugnahme auf internationale Normen und Standards sei zu erwarten.
Daraufhin hat Prof. Dr. Kipker das abgestufte Meldesystem in NIS-2 aufgeführt. Zunächst hat er erläutert, wann ein Sicherheitsvorfall im Rechtsakt als erheblich definiert ist. Demzufolge kann ein Sicherheitsvorfall dann erheblich sein, wenn er „schwerwiegende Betriebsstörung der Dienste oder finanzielle Verluste verursacht oder verursachen kann“ oder aber „natürliche oder juristische Person durch erhebliche materielle oder immaterielle Schäden beeinträchtigt“. In dem Fall sieht das Gesetz Maximalfristen von 24 Stunden für eine sog. Frühwarnung und 72 Stunden für eine Aktualisierung der in der Frühwarnung enthaltenen Informationen und eine Bewertung des Vorfalls sowie einen Abschlussbericht, spätestens einen Monat nach initialer Meldung, vor (siehe Erwägungsgrund 102).
Höhere Strafen bei Verstößen
Am Ende seines Vortrags hat Prof. Dr. Kipker die behördlichen Befugnisse im Rahmen des Gesetzes dargestellt. Der jeweilige Mitgliedstaat muss für eine wirksame und risikobasierte Beaufsichtigung zwischen wesentlichen und wichtigen Einrichtungen unterscheiden. Bei einem Verstoß gegen das Gesetz muss der Staat wirksame, verhältnismäßige und abschreckende Maßnahmen ergreifen. Geldbußen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes sind bei wesentlichen Einrichtungen vorgesehen (siehe Art. 34 Abs. 4). Für wichtige Einrichtungen sind 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, jeweils je nachdem, welcher Betrag höher ist, anberaumt (siehe Art. 34 Abs. 5). Für beide Kategorien seien zur Durchsetzung bspw. Kontrollen vor Ort oder ein vorübergehender Ausschluss von Leitungspersonen durch die zuständigen Behörden möglich (siehe Erwägungsgrund 25).
Fazit und Ausblick
Am Ende wurden die wichtigsten Aspekte des neuen Gesetzes samt ihres zunehmend komplexen Zusammenspiels mit weiteren EU-Regelungen von Prof. Dr. Kipker resümiert und kritisch reflektiert. Der Anwendungsbereich wird erheblich erweitert, die Anforderungen an die dann eigentlich zu treffenden TOMs sind jedoch wenig überraschend. Die Privatwirtschaft wird umfassend reguliert, das Vorgehen im öffentlichen Sektor sei aber nur zaghaft. Für neu hinzugekommene betroffene Einrichtungen sei von einem Kostenanstieg von 22 % auszugehen, bei bereits durch NIS-1 regulierte Einrichtungen von 12 %.
Zuletzt wagt Prof. Dr. Kipker die Prognose, dass NIS-2 zusammen mit den anderen angesprochenen Acts bzw. Gesetzen eine ähnlich große Auswirkung für die Unternehmen haben wird, wie die Einführung der DSGVO im Jahre 2018. Sollte sich dies bewahrheiten, sollten die Unternehmen sich mit NIS-2 frühzeitig befassen, um eine reibungslose Umsetzung zu erreichen.
25. Mai 2023 @ 14:29
Vielen Dank für die wertvollen Informationen und die Zeit, die Sie für den Artikel die aufgewendet haben, weiß ich zu schätzen !
23. Mai 2023 @ 20:51
Die neue EU-Richtlinie für Cybersicherheit (NIS-2) bringt eine Reihe von Änderungen mit sich, die darauf abzielen, den Schutz und die Sicherheit im digitalen Bereich zu verbessern. Die Richtlinie erweitert den Anwendungsbereich und die Anforderungen an Organisationen in Bezug auf Cybersicherheitsmaßnahmen.
Eine der zentralen Änderungen betrifft die Einbeziehung kleinerer Unternehmen in die Umsetzung von zusätzlichen Informationssicherheitsmaßnahmen. Die Richtlinie gilt sowohl für private als auch für öffentliche Organisationen, wobei bestimmte Ausnahmen für öffentliche Einrichtungen gelten. Es gibt eine Unterscheidung zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.
Die Richtlinie legt Schwellenwerte für betroffene Unternehmen fest, basierend auf Beschäftigtenzahl, Jahresumsatz und Jahresbilanz. Zusätzlich können Unternehmen unabhängig von ihrer Größe betroffen sein, wenn bestimmte qualifizierende Faktoren erfüllt sind, wie kritische Tätigkeiten, Auswirkungen auf die öffentliche Ordnung oder grenzüberschreitende Auswirkungen.
Die Richtlinie führt auch eine neue Kategorisierung von Unternehmen in „wesentliche“ und „wichtige“ Einrichtungen ein. Die Mitgliedstaaten müssen eine Liste der betroffenen Einrichtungen erstellen.
Sowohl Mitgliedstaaten als auch Organisationen haben bestimmte Pflichten im Rahmen der Richtlinie. Mitgliedstaaten müssen unter anderem nationale Cybersicherheitsstrategien entwickeln, Lieferkettenschutzmaßnahmen umsetzen und koordinierte Offenlegungen von Schwachstellen fördern. Organisationen müssen Maßnahmen für die Cybersicherheit umsetzen und überwachen, angemessene technische und organisatorische Maßnahmen treffen und Sicherheitsvorfälle melden.
Bei Verstößen gegen die Richtlinie können hohe Geldbußen verhängt werden.
Insgesamt wird erwartet, dass NIS-2 ähnlich wie die Datenschutz-Grundverordnung (DSGVO) einen erheblichen Einfluss auf Unternehmen haben wird. Es wird empfohlen, sich frühzeitig mit den Anforderungen der Richtlinie auseinanderzusetzen, um eine reibungslose Umsetzung zu gewährleisten.
23. Mai 2023 @ 20:46
Ein interessanter Punkt ist die Prognose von Prof. Dr. Kipker, dass NIS-2 ähnlich große Auswirkungen auf Unternehmen haben wird wie die Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018. Diese Vorhersage legt nahe, dass Unternehmen sich frühzeitig mit NIS-2 befassen sollten, um eine reibungslose Umsetzung zu gewährleisten.
23. Mai 2023 @ 20:44
Ich schätze Ihre Arbeit sehr, vielen Dank.
14. Mai 2023 @ 10:02
Danke für die gute Info
13. Mai 2023 @ 21:40
Sehr nützlich und informativ.
13. Mai 2023 @ 20:42
Das heißt:Insgesamt ist die NIS-2-Richtlinie ein weiterer Schritt in Richtung eines ganzheitlichen und verbesserten Ansatzes für die Cybersicherheit in Europa. Die Bedrohungen im digitalen Raum entwickeln sich ständig weiter, und es ist entscheidend, dass Regierungen, Unternehmen und Organisationen gemeinsam daran arbeiten, die Unternehmen..
Denke sehr Herr Coban
13. Mai 2023 @ 20:40
Das heißt:Insgesamt ist die NIS-2-Richtlinie ein weiterer Schritt in Richtung eines ganzheitlichen und verbesserten Ansatzes für die Cybersicherheit in Europa. Die Bedrohungen im digitalen Raum entwickeln sich ständig weiter, und es ist entscheidend, dass Regierungen, Unternehmen und Organisationen gemeinsam daran arbeiten, die Unternehmen..
Denke sehr Herr Coban
12. Mai 2023 @ 22:00
Danke für diese wertvolle Informationen und die Zusammunfassung .
12. Mai 2023 @ 21:55
Wundabar
12. Mai 2023 @ 17:25
Das heißt:Insgesamt ist die NIS-2-Richtlinie ein wichtiger Schritt zur Verbesserung der Cybersicherheit in Europa. Sie trägt dazu bei, die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und das Vertrauen in digitale Systeme und Dienstleistungen zu erhöhen. Durch die Zusammenarbeit von Regierungen, Organisationen und Unternehmen.
12. Mai 2023 @ 15:41
Die Medien-Branche ist da garnicht dabei. Im Krisenfall ist man dann auf Informationen aus Twitter und Facebook angewiesen, die unter die IKT-Dienste fallen? Das ist merkwürdig.
12. Mai 2023 @ 13:04
Sehr informativ