Viele Vorfälle, wie zuletzt beispielsweise die Sabotageversuche bei der Deutschen Bahn, zeigen auf, dass die Widerstandsfähigkeit der EU gegen Bedrohungen gestärkt werden muss - sowohl online als auch offline. Ausgerichtet auf dieses Ziel traten Mitte Januar zwei EU-Richtlinien in Kraft: Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) sowie die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie).
Die Vorschriften der CER-Richtlinie betreffen die Widerstandsfähigkeit kritischer Infrastrukturen (KRITIS) gegenüber Bedrohungen in Form von Naturkatastrophen, Terroranschlägen, Insider-Bedrohungen oder Sabotage. Die NIS-2-Richtlinie (NIS-2) wiederum löst die NIS-Richtlinie und somit bislang geltende Vorschriften zur Sicherheit von Netz- und Informationssystemen ab. Der nachfolgende Blogartikel wird sich auf die NIS-2-Richtlinie konzentrieren.
Eine solche EU-Richtlinie ist, im Gegensatz zu EU-Verordnungen, nicht unmittelbar für Unternehmen bindend, sondern muss von den Regierungen der Mitgliedsstaaten zunächst in nationales Recht überführt werden. In Deutschland werden sich die Vorschriften im IT-Sicherheitsgesetz wiederfinden.
NIS-2 vs. NIS
Mit NIS trat 2016 das erste EU-weite Cybersicherheitsgesetz mit dem Ziel eines gemeinsamen hohen Sicherheitsniveaus für Netz- und Informationssysteme in der gesamten EU in Kraft. Sie schaffte die Basis für einen innovativen Regulierungsansatz zur Cybersicherheit in den EU-Mitgliedsstaaten.
Die wachsenden Bedrohungen der letzten Jahre haben allerdings deutlich gemacht, dass es von entscheidender Bedeutung ist, die allgemeine Cybersicherheit in der EU zu verbessern, besonders aber auch die Sicherheit und Widerstandsfähigkeit kritischer Sektoren sicherzustellen. Überarbeitete Vorschriften für mehr Cybersicherheit wurden notwendig. Somit schlug die EU-Kommission Ende 2020 vor, die bestehende NIS-Richtlinie zu überarbeiten. Im September 2022 nahm die EU-Kommission den Vorschlag für einen Rechtsakt zur Cyber-Resilienz an, in dem Anforderungen für Cybersicherheit für Produkte mit einem digitalen Element festgelegt werden, die sowohl Hardware als auch Software umfassen.
Für wen gilt NIS-2?
Der Geltungsbereich der NIS-2 im Vergleich zu NIS wurde erweitert, um mehr Sektoren und Dienstleitungen als wesentliche oder wichtige Einheiten aufzunehmen:
Unter die NIS-Richtlinie fallen bereits eine Reihe von Sektoren, darunter Energie, Verkehr, Banken und Finanzen, Gesundheit, Trinkwasserversorgung und -verteilung sowie digitale Infrastruktur. In ihren Geltungsbereich fallen zudem die Anbieter digitaler Dienste, insbesondere die Anbieter von Cloud-Diensten, Online-Marktplätzen und Online-Suchmaschinen.
Nun geht die NIS-2-Richtlinie einen Schritt weiter: Sie deckt weitere Sektoren ab, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind. Dazu zählen Anbieter von öffentlichen elektronischen Kommunikationsnetzen und -diensten, Rechenzentrumsdienste, Abwasser- und Abfallwirtschaft, die Herstellung kritischer Produkte, Post- und Kurierdienste sowie Einrichtungen der öffentlichen Verwaltung. Die Vorschriften schließen auch u.a. die Forschung und Entwicklung von Arzneimitteln oder die Herstellung von pharmazeutischen Produkten ein. Darüber hinaus verfügen die Mitgliedstaaten über einen Entscheidungsrahmen in Bezug auf kleinere Einrichtungen mit einem hohen Sicherheitsprofil, die in den Anwendungsbereich der Richtlinie aufgenommen werden sollten.
Vorschriften der NIS-2
NIS-2 setzt auf die bestehenden Vorschriften von NIS auf, verschärft aber beispielsweise die Anforderungen an das Cybersicherheits-Risikomanagement und die Meldepflichten für Vorfälle.
Zu der Einhaltung eines Cybersicherheits-Risikomanagement sind die Unternehmen bereits seit NIS verpflichtet. Sie müssen geeignete und technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Cybersicherheitsrisiken zu kontrollieren und die Auswirkungen potenzieller Vorfälle zu verhindern und zu minimieren. Diese Anforderung wird durch eine Liste gezielter Maßnahmen in NIS-2 konkretisiert: Reaktion auf Vorfälle und das Krisenmanagement, Umgang mit Schwachstellen und deren Offenlegung, Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken sowie Cybersicherheitshygiene und -schulung.
In der überarbeiteten Richtlinie werden zudem die Meldepflichten für Vorfälle verschärft und präzisere Bestimmungen über die Meldung, den Inhalt und den Zeitrahmen festgelegt. Dies soll den Informationsaustausch und die Zusammenarbeit im Rahmen des Cyber-Krisen-Management sowohl auf nationaler als auch auf EU-Ebene verbessern.
Ergänzt werden die Vorschriften um strengere Überwachungsmaßnahmen für die nationalen Behörden sowie strengere Durchsetzungsanforderungen und eine Liste von Verwaltungssanktionen, einschließlich Geldstrafen für Verstöße gegen das Cybersicherheitsrisikomanagement und die Meldepflichten.
NIS-2 und das deutsche IT-Sicherheitsgesetz
EU-Kommission und -Rat geben den Mitgliedsstaaten 21 Monate Zeit, die NIS-2-Richtlinie in nationales Recht zu überführen. Dazu erlassen und veröffentlichen die Mitgliedstaaten erforderliche Maßnahmen, um dieser Richtlinie nachzukommen. Es ist also damit zu rechnen, dass Deutschland die Vorschriften der NIS-2 in ein IT-Sicherheitsgesetz 3.0 überführt und das bestehende Informationssicherheitsgesetz erweitert.
Mit diesem Update ist vermutlich erst 2024 zu rechnen. Doch mit dem aktuell geltenden IT-Sicherheitsgesetz 2.0 war Deutschland bereits ein Vorreiter unter den Mitgliedsstaaten, indem dort schon ein erweiterter Geltungsbereich (z.B. zusätzlich die Sektoren Abfallentsorgung und Pharmazeutische Produkte) sowie Ansätze der nun in der NIS-2 geforderten Vorschriften (z.B. die erweiterten Anforderungen zur Angriffserkennung mit Meldung) umgesetzt worden sind. Damit wird das zu erwartende Update zur Version 3.0 für kritische Infrastrukturen in Deutschland nach Einschätzung unserer KRITIS-Audit-Expert*innen nicht so groß ausfallen.
Dennoch empfehlen wir den betroffenen Unternehmen -besonders den Sektoren, die durch die NIS-2-Richtlinie erst neu in den Fokus rücken- bereits einen Blick in die Vorschriften der NIS-2 zu werfen.
Sind Sie Betreiber Kritischer Infrastrukturen und benötigen Unterstützung? Kontaktieren Sie uns, wir helfen Ihnen gern.
