NIS-2: Die Richtlinie zur Netzwerk- und Informationssicherheit

Cyberkriminalität bereitet Unternehmen und Regierungen gleichermaßen Kopfzerbrechen. Es vergeht kaum ein Tag, an dem nicht von einem weiteren großen Cyberangriff berichtet wird: Hacker, die Kundendaten stehlen, oder Unternehmen, die wegen schwerwiegender Risiken wichtige Services abschalten. 

Wir brauchen also ganz klar ein System für den Schutz sensibler Daten. Aus diesem Grund hat die Europäische Union (EU) die Richtlinie zur Netz- und Informationssicherheit 2.0 (NIS-2) eingeführt. Die ursprüngliche Richtlinie NIS-1 trat 2016 in Kraft. Im Jahr 2023 wurde dann die NIS-2-Richtlinie mit Erweiterungen und Verbesserungen in Kraft gesetzt.

Mit dieser Richtlinie soll in erster Linie erreicht werden, dass Unternehmen, die als kritisch für die EU-Wirtschaft angesehen werden, zur Umsetzung angemessener Cybersicherheitsmaßnahmen verpflichtet sind.

In diesem Artikel sehen wir uns genauer an, was diese NIS-2-Regelungen beinhalten und was sie für Einrichtungen bedeuten.

Definieren der NIS-2-Richtlinie

Die NIS-2-Richtlinie trug zuvor die Bezeichnung EU-Direktive 2022/2555. Die EU führte die Richtlinie ein, um die Cybersicherheit in ihren Mitgliedstaaten zu verbessern. Sie wurde am 14. Dezember 2022 offiziell veröffentlicht, um die Lücken in der Vorgängerversion (NIS-1) zu schließen und die veränderten Herausforderungen im Bereich der Cybersicherheit Rechnung abzubilden.

Die EU-Mitgliedsstaaten müssen NIS-2 bis zum 17. Oktober 2024 umsetzen. Bei Nichterfüllung der festgelegten Standards drohen empfindliche Strafen.

Stellt euch bitte folgende Fragen, bevor ihr weiterlest:

• Ist euer Unternehmen zwar außerhalb der EU ansässig, bietet aber Dienstleistungen in der EU an?
• Ist euer Unternehmen in einem Sektor tätig, für den die NIS-2-Richtlinie gilt?

Falls ja, muss euer Unternehmen die NIS-2-Richtlinie umsetzen.

Hinweis: Wenn euer Unternehmen KI für Cybersicherheitsmaßnahmen einsetzt, sollte es sich an den AI Act, ein für Unternehmen bei der Implementierung NIS-2 verbindliches Gesetz für den Einsatz von künstlicher Intelligenz halten. 

Geltungsbereiche der NIS-2-Richtlinie

Die NIS-2-Richtlinie gilt für öffentliche und private Organisationen im sozialen und wirtschaftlichen Bereich, die mindestens 50 Arbeitnehmer und einen Jahresumsatz von mindestens 10 Millionen Euro haben. Auch für kleinere Unternehmen kann die Richtlinie gelten, wenn sie:

• als Hochrisikounternehmen angesehen werden
• die einzigen Anbieter wesentlicher Dienstleistungen sind

Die folgende Tabelle enthält einige für die Gesellschaft und Wirtschaft wesentliche Sektoren, einschließlich kritischer Infrastruktur, die im Rahmen der NIS-2-Richtlinien vor Cyberbedrohungen geschützt werden sollen. 

Mindestanforderungen hinsichtlich Sicherheit

Unternehmen, die unter die NIS-2 fallen, müssen die folgenden Sicherheitsverfahren einsetzen:

• Richtlinien für die Risikoanalyse und Informationssicherheit
• Incident Response und Melden von Vorfällen
• Zugriffssteuerung und Authentifizierung
• Datenschutz und -verschlüsselung
• Schwachstellenmanagement
• Backup und Business Continuity
• Lieferkettensicherheit
• Sicherheits-Monitoring und -Logging
• Bewusstsein für Cybersicherheit und Schulungen
• Governance und Rechenschaftspflicht

Hauptziele der NIS-2-Vorschriften

Da der Hauptzweck der NIS-2-Richtlinie darin besteht, ein hohes Maß an Cybersicherheit in der gesamten EU sicherzustellen, wurden die Anforderungen für wichtige Einrichtungen verschärft. 

Die Direktive deckt jetzt fünfzehn Sektoren statt der sieben ursprünglich in der NIS 1-Richtlinie enthaltenen Bereiche ab. Diese Sektoren werden als wesentlich oder wichtig eingestuft, und Einrichtungen müssen die festgelegten Sicherheitsmaßnahmen zum Schutz ihrer Systeme und Daten einhalten.

Sehen wir uns einige der wichtigsten Ziele der NIS-2-Richtlinie an:

Risikomanagement

Zur Eindämmung der Risiken hilft NIS-2 Unternehmen, präventive Maßnahmen zur Vermeidung von Cybersicherheitsproblemen zu ergreifen. Zudem ist laut dem AI Act, der Regeln für den Einsatz von künstlicher Intelligenz festlegt, ein angemessenes Risikomanagement seitens der Unternehmen erforderlich. Das bedeutet, sie müssen KI-Systeme sicher gestalten, sie testen, Aufzeichnungen zu ihrer Nutzung erstellen und potenzielle Probleme beheben. 

(Weitere Informationen zu diesem Thema: Risikomanagement-Frameworks.)

Melden von Vorfällen und Reaktion darauf

Im Rahmen von NIS-2 müssen Unternehmen schwerwiegende Cybersicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen nationalen Behörden oder dazu berufene Cybersicherheitsagenturen melden. Zudem legt die Richtlinie spezifische Regelungen für die Verfolgung und Meldung von Problemen im Zusammenhang mit KI-Systemen fest.

Governance und Rechenschaftspflicht

Gemäß NIS-2 ist die oberste Führungsebene für die Einhaltung von Cybersicherheitsvorschriften und die Meldung von Vorfällen verantwortlich. Gleichzeitig unterstreicht der AI Act die Notwendigkeit für solide Managementpraktiken, um die Einhaltung der Vorschriften für KI-Systeme sicherzustellen.

Zusammengenommen machen diese Regelungen deutlich, dass das richtige Management von Cybersicherheits- und KI-Risiken für die Führungsriegen von Unternehmen enorm ist.

Datenschutz und -sicherheit

Unternehmen sollten über sichere Netzwerke und Informationssysteme verfügen, um Datenverlust, Datenmanipulation oder unberechtigten Datenzugriff zu verhindern. 

(Hier erfahrt ihr, wie euch Splunk helfen kann, die NIS-2 zu erfüllen.)

Zeitplan und Fristen für die Umsetzung von NIS-2

Ist euer Unternehmen in der EU tätig, ist es wichtig, dass ihr die NIS-2-Vorschriften innerhalb des Zeitplans umsetzt, da Sektoren, die dies nicht tun, strenge Maßnahmen drohen. Hier sind einige wichtige, von der EU vorgegebene Termine:  

• Bis 17. Juli 2024 musste das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) dem Europäischen Parlament und dem Rat einen Bericht vorlegen, der seine Arbeit während des gesamten Zeitraums aufzeigt. Dieser Bericht muss im Weiteren alle 18 Monate vorgelegt werden.
• Bis zum 17. Oktober 2024 sollten die EU-Länder ihre Strategien zur Erreichung der Ziele der NIS-2-Richtlinie veröffentlichen. Die alte NIS-1-Richtlinie von 2016 wurde ab dem darauffolgenden Tag, dem 18. Oktober 2024, als ungültig erklärt.
• Bis zum 17. April 2025 muss jeder Mitgliedsstaat eine Liste der wesentlichen Einrichtungen in verschiedenen Sektoren erstellen. Diese Liste sollte mindestens alle zwei Jahre geprüft und an die Kommission und die Kooperationsgruppe übermittelt werden. Die Liste muss alle zwei Jahre aktualisiert werden.
• Bis zum 17. Oktober 2027 wird die Kommission die Wirkung der NIS-2-Richtlinie überprüfen und dem Europäischen Parlament und dem Rat einen klaren Bericht darüber vorlegen. Sie wird diese Überprüfung alle drei Jahre durchführen, um sicherzustellen, dass die Richtlinie wirksam und aktuell ist.

Strafen bei Verstößen

Die NIS-2-Richtlinie sieht strenge Strafen für Unternehmen vor, die gegen die Auflagen verstoßen. Sie erlaubt es den Behörden, nicht-monetäre Strafen zu verhängen, wie z. B. Compliance-Anordnungen, Sicherheitsprüfungen und Kundenbenachrichtigungen über potenzielle Bedrohungen.

Neben diesen Maßnahmen wurden auch hohe Geldstrafen für die Nichteinhaltung festgelegt. Nach Angaben der Europäischen Kommission sind folgende Strafen möglich:

Wesentliche Einrichtungen können mit Geldbußen von bis zu 10 Mio. EUR oder 2 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen können die Geldbußen bis zu 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist.

Unternehmen und Organisationen sollten sich diese Risiken unbedingt klar machen und Maßnahmen ergreifen, um die Vorschriften der Richtlinie einzuhalten. Sie müssen über strenge Sicherheitsmaßnahmen und Verfahren zur Erkennung und Meldung von Cyber-Incidents verfügen, um Strafen zu vermeiden und ihren Ruf zu schützen.

Verbesserungen von NIS-2 gegenüber NIS-1

NIS-2 enthält gegenüber NIS-1 folgende Verbesserungen: 

Erweiterter Anwendungsbereich: NIS-2 deckt mehr Sektoren als die ursprüngliche NIS-1-Richtlinie ab, wie etwa Energie, Transport, Gesundheit und digitale Dienste. 

Verstärkte Sicherheitsmaßnahmen: Im Vergleich zu NIS-1 sieht die neue Richtlinie striktere Cybersicherheitsverfahren vor. Unternehmen müssen jetzt erweiterte Sicherheitsrichtlinien befolgen, um über effektive Risikomanagementprozesse zu verfügen. 

Klare Strafen bei Nichteinhaltung: NIS-2 definiert klare Strafen für die Nichteinhaltung der Vorschriften. Unternehmen können jetzt mit Geldbußen von bis zu10 Mio. EUR oder 2 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.

Harmonisierung auf europäischer Ebene: Das Hauptziel der Richtlinie ist die Harmonisierung der Umsetzung von Cybersicherheitsvorschriften innerhalb der EU. Deshalb schaffen die überarbeiteten NIS-2-Vorschriften einen einheitlicheren Ansatz für alle Mitgliedstaaten, indem sie klarere Definitionen und Standards festlegen.

Bessere Zusammenarbeit zwischen den Ländern: Im Rahmen der NIS-2 muss eine Kooperationsgruppe gebildet und Computer Security Incident Response Teams (CSIRTs) in den einzelnen Mitgliedsländern eingerichtet werden, um den Informationsaustausch zu verbessern und den Ländern eine gemeinsame Reaktion auf Cyberbedrohungen zu erleichtern.

Es ist Zeit, sich um NIS2-Compliance zu kümmern

Angesichts der sich ständig weiterentwickelnden Cyberbedrohungen ist die Umsetzung der NIS-2-Vorschriften ein wichtiger Schritt zur Schaffung sichererer Online-Systeme innerhalb der EU. Lasst euch von der NIS-2-Richtlinie nicht abschrecken: Sie ist eine Investition in die Zukunft eures Unternehmens und schützt euer Vermögen und euren Ruf.