Die NIS2 Richtlinie: Cyber-Resilienz gegenüber Datenangriffen und -Lecks

Mit Wirkung zum 16. Januar 2023 will die neue EU-NIS2-Richtlinie ein einheitliches und langfristiges Niveau der Cybersicherheit für Netzwerke und Informationssysteme in der gesamten EU gewährleisten und so für eine allgemeine Modernisierung und Anpassung sorgen. Während der 21-monatigen Umsetzungsfrist, die am 17. Oktober 2024 endet, soll die europäische Richtlinie für fast alle in der EU tätigen Unternehmen verbindlich werden. Die neue Richtlinie baut auf dem bekannten Erfolgen der NIS-Richtlinie aus 2016 auf, beseitigt bekannte Nachteile hinsichtlich komplexer Implementierungen und formuliert konkrete Anforderungen und Maßnahmen. 

Was ist der Anwendungsbereich der EU NIS2 Richtlinie? 

Eine der wohl bedeutendsten Änderungen ist der erweiterte Anwendungsbereich, der mehr Unternehmen dazu zwingt, Cybersicherheits- und Sicherheitsmaßnahmen aktiv einzuhalten und diese in einer konkret vorgeschriebenen Weise umzusetzen. 

Um den Unterschieden innerhalb der Mitgliedsstaaten vorzubeugen, wird nun anhand des Grads der Kritikalität des Sektors zwischen sog. „wesentlichen“ und „wichtigen“ Einrichtungen innerhalb der Richtlinie unterschieden.  

Dabei umfassen wesentliche Anlagen folgenden Bereiche:  

• Abwasser 
• öffentliche Verwaltung  
• Raumfahrt  
• Energie 
• Verkehr  
• Gesundheitswesen 
• Wasserversorgung  

Zu den Sektoren mit wichtigen Einrichtungen gehören:  

• Post- und Kurierdienste 
• bestimmte Anbieter digitaler Dienste 

Konkretere Auflistungen sind jeweils in Anhang 1 und 2 der Richtlinie zu finden. 

Kleinstunternehmen und kleine Unternehmen, also Unternehmen mit weniger als 50 Personen und einem Jahresumsatz unter 10 Mio. Euro sind zwar grundsätzlich vom Anwendungsbereich ausgenommen. In Art. 2 Abs. 2 NIS-2 findet sich aber für bestimmte Fälle eine Rückausnahme. 

Welche konkreten Neuerungen birgt die Richtlinie? 

Die Richtlinie enthält nunmehr einen Maßnahmenkatalog, in dem u.a. Risikoanalyse- und Sicherheitskonzepte, Prävention von Sicherheitsvorfällen und Krisenmanagement aufgezählt werden, der von den Unternehmen mindestens umgesetzt werden muss. Auch die Melde und Berichtspflichten der Unternehmen werden klarer formuliert; der Entwurf enthält zudem genaue Vorgaben über Ablauf, Inhalt und Zeitrahmen der Meldung eines Sicherheitsvorfalls. Neu ist auch eine EU-weit koordinierte Risikobewertung von Lieferketten, welche mittels Aufsicht und Durchsetzungsmechanismen abgesichert werden sollen, um dafür zu sorgen, dass innerhalb der gesamten Lieferkette auch Zulieferer ausreichend vor Cyberbedrohungen geschützt sind. 

Nicht zu vernachlässigen sind zudem auch konkrete technische und organisatorische Maßnahmen wie beispielsweise Zugriffskontrollen oder der Einführung und oder Verschlüsslung von digitalen Überwachungssystemen soll für eine wachsende Cybersicherheit sorgen. Dabei findet eine Orientierung nach dem All Gefahren Ansatz statt, welcher die Anforderungen bezüglich aller Netzwerke, Informationssysteme sowie auch der physischen Umgebung der Systeme stellt. 

Welche Sanktionen drohen bei Verstoß?  

Zudem werden auch die angedrohten Strafen deutlich erhöht und verschärft. Demnach sind bis zu 10 Mio. Euro bzw. 2 % des weltweiten Vorjahresumsatzes zahlbar. In besonders schwerwiegenden Fällen können Bußgelder auch bis zu 20 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes verhängt werden. Darüber hinaus sind zusätzlich nationale Behörden berechtigt weitere Sanktionen und Bußgelder zu verhängen, um Unternehmen zu verpflichten, festgestellte Verstöße zu unterlassen. 

Fazit: 

Der kürzlich vorgestellte Entwurf der NIS-2-Richtlinie enthält eine Reihe äußerst nützlicher Instrumente, die sowohl für die euch EU als auch für Unternehmen eine wichtige Grundlage bilden, zukünftige Herausforderungen in Sachen Cybersicherheit, deren Relevanz im Hinblick auf die fortschreitende Digitalisierung noch bedeutsamer wird, zu meistern und so auch zur Konkretisierung der neuen EU-Cybersicherheitsstrategie beizutragen. 

Unser ISMS light entspricht den Anforderungen der NIS2-Richtlinie. Wenden Sie sich gerne an uns, um die nächsten Schritte zu besprechen.