Cybersicherheit in der EU   Strengere Maßnahmen und Meldepflichten

Strengere Maßnahmen und Melde Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regelung, die am 16. Januar 2023 in Kraft gesetzt wurde und Mitgliedsstaaten dazu verpflichtet, diese bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Sie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf und zielt darauf ab, die Cybersicherheit in der EU zu stärken, indem kritische Infrastrukturen und Informationssysteme besser vor Cyberbedrohungen geschützt und ein einheitliches Sicherheitsniveau gewährleistet werden sollen.

Dabei ist die NIS-2-Richtlinie die Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 und adressiert die wachsenden Bedrohungen durch Cyberangriffe. Gegenüber der vorausgegangenen Richtlinie fordert NIS 2 strengere Sicherheitsmaßnahmen und Meldepflichten, die von Organisationen und Unternehmen umgesetzt werden müssen. Der Mittelstand ist zunehmend betroffen. 

Wer ist betroffen? 

NIS 2 definiert wichtige und besonders wichtige Einrichtungen für die unterschiedliche Größenminima gelten. Grundsätzlich fallen in die Kategorien Unternehmen mit hoher Bedeutung für die Gesellschaft (wie u. a. Energieversorger, Gesundheit und verarbeitendes Gewerbe aber auch Telekommunikationsdienste). KRITIS-Betreiber gelten automatisch als besonders wichtige Einrichtungen. 

• Besonders wichtige Einrichtungen: Unternehmen mit mehr als 250 Beschäftigten oder einem Jahresumsatz von über 50 Mio. Euro und einer Jahresbilanzsumme von über 43 Mio. Euro.
• Wichtige Einrichtungen: Mittelständische Unternehmen mit mindestens 50 Beschäftigten oder einem Umsatz von über 10 Mio. Euro aus strategischen Bereichen wie z. B. Abfallwirtschaft, Lebensmittelproduktion oder Forschung.

Welche Neuerungen gibt es?

Die Richtlinie führt mehrere Neuerungen und Anforderungen ein: Sie umfasst neben Betreibern kritischer Anlagen (KRITIS) nun auch weitere Unternehmen in Sektoren wie digitale Infrastruktur, Gesundheitswesen, Verkehr und Energie. Unternehmen müssen technische und organisatorische Maßnahmen zur Risikominimierung umsetzen und Systeme zur Angriffserkennung (z. B. SOC, SIEM, ISMS) etablieren. Dazu gehören des Weiteren regelmäßige Schwachstellenanalysen, Vorfallmanagementsysteme und Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und Zugriffskontrollen. Branchenspezifische Sicherheitsstandards bleiben weiterhin möglich und zulässig, sofern diese konform mit der Richtlinie ausfallen.

Sofern sich ein Sicherheitsvorfall ergibt, müssen diese in einem dreistufigen Verfahren gemeldet werden. Eine Erstmeldung an die zuständige Behörde innerhalb von 24 Stunden, eine Aktualisierung mit ergänzenden Informationen zur Vorfallsbewertung innerhalb von 72 Stunden, und eine Abschlussmeldung mit vollständigen Details nach spätestens einem Monat vor. 

Andernfalls drohen Sanktionen. Es drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für mittlere Unternehmen liegen die Strafen bei maximal 7 Mio. Euro oder 1,4 % des Umsatzes. Wichtig für die Unternehmensleitung: Diese sind für die Einhaltung der Vorschriften verantwortlich und müssen unter Umständen bei Nichteinhaltung persönlich d. h. mit dem eigenen Privatvermögen haften.

Vorteile und Herausforderungen:

Vorzüge der Richtlinie bestehen im Wesentlichen aus den folgenden Punkten:

• Höhere Sicherheit durch verpflichtende Einhaltung internationaler Standards (wie z. B. ISO 27001).
• Kosteneffizienz automatisierter Systeme und Risikominimierung von Störfällen und Datenlecks.
• Wettbewerbsvorteile durch erhöhte Vertraulichkeit und Sicherheit

Gleichzeitig bringt die NIS-2-Richtlinie jedoch auch folgende Herausforderungen mit sich:

• Gegebenenfalls hohe Investitionskosten zur Implementierung erforderlicher Systeme wie beispielsweise ein System zur Angriffserkennung
• Komplexe Umsetzung und Integration von Sicherheitsmaßnahmen, die eine detaillierte Planung und Expertise erfordern. 

Was müssen Unternehmen beachten? 

Unternehmen sollten folgende Schritte zur Vorbereitung ergreifen: 

• Risikomanagement einrichten: Identifikation von Schwachstellen und Implementierung präventiver Maßnahmen nach dem Prinzip der Verhältnismäßigkeit. Hierbei sind sowohl technische als auch organisatorische Aspekte zu berücksichtigen.
• Meldeprozesse etablieren: Einrichtung von Systemen zur frühzeitigen Angriffserkennung und Meldung von Vorfällen.
• Schulungen: Sensibilisierung und Schulung von Mitarbeitern zu Cybersicherheitsthemen, einschließlich Notfallmanagement und Krisenkommunikation.
• Zusammenarbeit mit Behörden: Insbesondere in Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) die zuständige Aufsichtsbehörde und wird Audits sowie Nachweispflichten kontrollieren. 

Fazit

Die Umsetzung der NIS-2-Richtlinie bringt mitunter gewisse Herausforderung mit sich, bietet Unternehmen jedoch die Möglichkeit, sich besser gegen Cyberrisiken abzusichern und langfristig ihre Widerstandsfähigkeit zu stärken. Frühzeitige Maßnahmen sind entscheidend, um den neuen Anforderungen gerecht zu werden und mögliche Sanktionen zu vermeiden. Die enge Zusammenarbeit mit Experten und externen Dienstleistern kann für Unternehmen hierbei äußerst vorteilhaft sein und den Prozess maßgeblich erleichtern.