NIS2: Die Zeit drängt!
Was die EU-Richtlinie für deutsche Unternehmen bedeutet
28.07.2023 | Kaum ein Tag vergeht, an dem nicht über Datenlecks, Hackerangriffe und Sicherheitsvorfälle berichtet wird. Cybercrime hat sich in den vergangenen Jahren zu einem überaus lukrativen Wirtschaftszweig entwickelt, der erschreckend gut organisiert ist und Privatpersonen, Unternehmen und Behörden gleichermaßen bedroht.
KI-Technologien könnten Sicherheitsforschern zufolge die Lage zukünftig noch weiter verschärfen.
Der finanzielle Schaden, den die deutsche Wirtschaft durch Cyberkriminalität erleidet, beläuft sich
laut Bitkom jedes Jahr auf mehr als 200 Milliarden Euro.
Zeit, zu handeln!
Angesichts der zunehmenden Bedrohungen durch Cyberangriffe ist die Notwendigkeit von Sicherheitsmaßnahmen in der digitalen Welt dringender denn je.
Mehr Cybersecurity per Gesetz
Mit der
Network Information Security Directive (NIS2) reagiert die EU auf die akute Bedrohungslage im digitalen Raum und verschärft die Anforderungen an Cybersicherheit auf EU-Ebene. Ziel ist es, die
IT-Security-Standards Kritischer Infrastrukturen (KRITIS) im europäischen Raum zu vereinheitlichen und zu verbessern, indem deutlich mehr Sektoren und Organisationen eingeschlossen werden als bei NIS1.
Denn immer häufiger rücken systemrelevante Bereiche des öffentlichen Lebens ins Visier der Kriminellen: Wie die
Security-Forscher von Check Point Research ermittelten, erfolgten 2022 die meisten Angriffe auf Bildungs-, Forschung- und Regierungseinrichtungen sowie auf das Gesundheitswesen.
Erst Anfang des Jahres sahen sich zahlreiche Einrichtungen der kritischen Infrastruktur in Deutschland durch vermehrte Cyberangriffe bedroht – neben den Websites mehrerer Flughäfen waren unter anderem auch die Landespolizei Baden-Württemberg oder die Internetpräsenz des Deutschen Bundestages betroffen.
Bereits mit der Einführung der NIS-1-Richtlinie 2016 reagierte die Europäische Kommission auf die zunehmende Bedrohung durch Cyberkriminalität und verpflichtete KRITIS-Betreiber innerhalb der EU zur Implementierung angemessener Sicherheitsmaßnahmen. Doch wie sich gezeigt hat, waren die Vorgaben dieser Richtlinie nicht ausreichend. Weder sah NIS1 eine einheitliche Definition von KRITIS-Einrichtungen in den Mitgliedsstaaten vor, noch wurden die Auflagen überall gleichermaßen umgesetzt.
Die neue,
erweiterte EU-Richtlinie NIS2 (EU 2022/2555) ist nun seit dem Frühjahr 2023 in Kraft und muss bis Oktober 2024 von den einzelnen Ländern in nationales Recht überführt werden.
In Deutschland liegt das Gesetz zur Umsetzung von NIS2 – das NIS2UmsuCG – als zweiter Referentenentwurf vor.
Die darin enthaltenen Änderungen hinsichtlich der Anforderungen an die Cybersecurity betreffen deutschlandweit etwa 30.000 Unternehmen.
Das ändert sich mit NIS2
Die neue EU-Richtlinie Netzwerk- und Informationssysteme 2 (NIS2) schließt deutlich mehr Unternehmen und Einrichtungen ein als noch ihr Vorgänger NIS1. Sie ergänzt die bisherigen "Sektoren mit hoher Kritikalität", wie etwa Gesundheitseinrichtungen, Energieversorger, Banken oder Cloud-Anbieter durch "Sonstige kritische Sektoren". Letztere umfassen zum Beispiel Post- und Kurierdienste, die Abfallwirtschaft, Lebensmittelproduzenten oder Forschungseinrichtungen. Für sie gelten zwar weniger strenge Vorschriften als für diejenigen mit hoher Kritikalität, doch müssen auch sie zukünftig die Einhaltung von NIS2 gewährleisten.
Zudem wird der Geltungsbereich der Richtlinie auf als "wichtig" eingestufte Unternehmen erweitert, die mindestens 50 Mitarbeitende beschäftigen und einen Jahresumsatz von mehr als 10 Millionen Euro erwirtschaften. Somit betrifft NIS2 auch kleine und mittelständische Unternehmen.
Ebenfalls neu ist die Regelung, dass zukünftig Zulieferer der von NIS2 betroffenen Einrichtungen die darin enthaltenen Anforderungen erfüllen müssen. Da die meisten Unternehmen in irgendeiner Form Teil einer Lieferkette sind, wird erwartet, dass kaum eines nicht von NIS2 betroffen sein wird.
Neben der Erweiterung des Adressatenkreis werden mit NIS2 außerdem die Anforderungen an die Sicherheit der betroffenen Unternehmen konkretisiert. Ziel ist es, die Resilienz kritischer Infrastrukturen und Dienste zu verbessern, indem strengere Vorgaben hinsichtlich Risikomanagement, Meldepflichten und Schulungsmaßnahmen durchgesetzt werden.