Neue Europäische NIS2-Richtlinie

Die Europäische Union hat die NIS2-Richtlinie eingeführt, um die Cybersicherheit innerhalb ihrer Mitgliedstaaten zu stärken und die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberangriffen zu erhöhen. Diese aktualisierte Richtlinie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie (NIS1) erheblich und bringt neue Verpflichtungen und Anforderungen für eine breitere Palette von Unternehmen mit sich.

Während die NIS1-Richtlinie sich hauptsächlich auf kritische Infrastrukturen und digitale Dienste konzentrierte, erweitert die NIS2-Richtlinie den Kreis der regulierten Sektoren und Unternehmen deutlich. Sie führt strengere Sicherheits- und Meldevorschriften ein und stärkt die Befugnisse der nationalen Aufsichtsbehörden, um die Einhaltung zu überwachen und durchzusetzen.

Die NIS2-Richtlinie betrifft eine Vielzahl von Sektoren und Unternehmen, darunter:

• Energie (Strom, Gas, und Öl)
• Verkehr (Luft, Wasser, und Schiene)
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasserversorgung und Abwasserentsorgung
• Digitale Infrastrukturen
• Öffentliche Verwaltung
• Raumfahrt
• Post- und Kurierdienste
• Abfallwirtschaft
• Hersteller kritischer Produkte

Wichtige und besonders wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme zu vermeiden und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Diese Maßnahmen sollen den Stand der Technik einhalten, einschlägige europäische und internationale Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen. Dabei sind das Risiko, die Größe der Einrichtung, die Kosten der Maßnahmen sowie die Wahrscheinlichkeit und Schwere von Sicherheitsvorfällen und deren gesellschaftliche und wirtschaftliche Auswirkungen zu berücksichtigen. Diese Maßnahmen müssen dokumentiert werden. Dabei müssen die Maßnahmen zumindest Folgendes umfassen:

• Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik, 
• Konzepte zur Bewältigung von Sicherheitsvorfällen
• Konzepte zur Auftrechterhaltung des Betriebs (z.B. Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement)
• Konzepte zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
• Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
• Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Die Einhaltung der NIS2-Richtlinie wird von nationalen Aufsichtsbehörden in den Mitgliedstaaten der Europäischen Union überprüft. Jeder Mitgliedstaat ist verpflichtet, eine oder mehrere nationale Behörden zu benennen, die für die Überwachung der Umsetzung der Richtlinie und die Überprüfung der Einhaltung der Sicherheitsvorschriften und Meldepflichten verantwortlich sind.

Diese Behörden haben eine Reihe von Befugnissen, einschließlich:

• Die Durchführung von Sicherheitsaudits bei Unternehmen, um die Einhaltung der Richtlinie zu überprüfen.
• Die Untersuchung von gemeldeten Sicherheitsvorfällen und die Bewertung der Reaktion der betroffenen Unternehmen.
• Die Anordnung notwendiger Maßnahmen zur Behebung festgestellter Mängel.
• Die Verhängung von Sanktionen oder Bußgeldern bei Nichteinhaltung der Vorschriften.

Die genaue Struktur und die Bezeichnung der zuständigen Behörden können von Land zu Land variieren, da die Mitgliedstaaten über einen gewissen Spielraum bei der Umsetzung der Richtlinie in nationales Recht verfügen. Häufig sind jedoch Regulierungsbehörden, die bereits in den Bereichen Cybersicherheit, kritische Infrastrukturen oder spezifische Branchen tätig sind, für die Überwachung der NIS2-Richtlinie verantwortlich.

Die NIS2-Richtlinie sieht vor, dass Mitgliedstaaten der Europäischen Union wirksame, verhältnismäßige und abschreckende Sanktionen für Unternehmen festlegen, die die Vorschriften der Richtlinie nicht einhalten. Während die genauen Details und Höhen der Sanktionen von den einzelnen EU-Mitgliedstaaten bestimmt und in nationales Recht umgesetzt werden, gibt die Richtlinie einen Rahmen vor, der sicherstellt, dass die Strafen bedeutend genug sind, um die Einhaltung zu fördern.

Die Sanktionen können je nach Schweregrad des Verstoßes und dessen Auswirkungen variieren. Sie umfassen in der Regel:

• Finanzielle Bußgelder: Diese können besonders spürbar sein und sind so konzipiert, dass sie einen abschreckenden Effekt haben. Gemäß der NIS2-Richtlinie können die Bußgelder bis zu 10 Millionen Euro oder bis zu 2% des weltweiten Jahresumsatzes des Unternehmens betragen, je nachdem, welcher Betrag höher ist. Diese Obergrenzen können je nach Schwere und Dauer des Verstoßes, der Anzahl der betroffenen Personen und der Art der verletzten Daten angepasst werden.
• Zwangsgelder: In einigen Fällen können Aufsichtsbehörden Zwangsgelder verhängen, um Unternehmen zur Durchführung spezifischer Maßnahmen zu zwingen, die zur Behebung der Nichteinhaltung notwendig sind.
• Betriebsbeschränkungen: In schwerwiegenden Fällen könnten Behörden bestimmte Geschäftspraktiken einschränken oder die Nutzung bestimmter Systeme oder Prozesse untersagen, bis die Compliance wiederhergestellt ist.

Die NIS2-Richtlinie wurde im Jahr 2022 verabschiedet. Mitgliedstaaten haben bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Unternehmen sollten sich jedoch bereits jetzt auf die Änderungen vorbereiten.

Die Überarbeitung und Verschärfung der Richtlinie spiegelt die wachsende Bedeutung der Cybersicherheit angesichts zunehmender digitaler Bedrohungen und die Notwendigkeit wider, die Widerstandsfähigkeit kritischer Infrastrukturen und Dienste in der EU zu stärken. Die Umsetzung der NIS-2-Richtlinie soll dazu beitragen, ein kohärenteres und wirksameres Cybersicherheitsregime in der gesamten Europäischen Union zu schaffen.

Mit der richtigen Vorbereitung und einem proaktiven Ansatz können Unternehmen sicherstellen, dass sie nicht nur den Anforderungen der NIS2-Richtlinie gerecht werden, sondern auch ihre Systeme und Daten effektiv vor Cyberbedrohungen schützen.