Co-Author: Pier Jaroschek
Die NIS2-Richtlinie ist eine grundlegende Richtlinie der Europäischen Union, die darauf abzielt, die Cybersicherheit in allen Mitgliedstaaten auf ein neues, höheres Niveau zu heben. Als Nachfolger der ersten Richtlinie zur Netz- und Informationssicherheit (NIS) erweitert NIS2 den Rahmen der Sicherheitsanforderungen und deckt ein breiteres Spektrum von Sektoren ab. Ihre Bedeutung ergibt sich aus der zunehmend vernetzten Welt, in der Cyber-Bedrohungen eine reale Gefahr für die Wirtschaft, die öffentlichen Dienste und die Gesellschaft als Ganzes darstellen. NIS2 ist daher für alle relevant, da sie die Widerstandsfähigkeit und Zuverlässigkeit der kritischen Infrastrukturen, auf die wir uns täglich verlassen, stärken soll. Um die Umsetzung der Richtlinie zu gewährleisten, hat die EU klare Vorgaben und eine Frist für die Umsetzung gesetzt: Bis zum 17. Oktober 2024 müssen die Mitgliedstaaten die entsprechenden nationalen Gesetze und Verordnungen angepasst haben. Speziell in Deutschland wird dies durch das NIS2 Umsetzungs- und Cyber- Grundschutz- Gesetz (NISUmsCG) umgesetzt.
Um die Ernsthaftigkeit der Anforderungen zu untermauern, sieht NIS2 empfindliche Strafen bei Nichteinhaltung vor. Dabei werden nicht nur Unternehmen auf Unternehmensebene zur Verantwortung gezogen – Strafen können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen -, sondern auch die persönliche Haftung von Führungskräften ist vorgesehen. Damit wird sichergestellt, dass die Anforderungen der Richtlinie auf allen Ebenen des Unternehmens ernst genommen und proaktiv umgesetzt werden. NIS2 betrifft eine Reihe von Sektoren, die als wesentlich für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Aktivitäten angesehen werden. Dazu gehören neben den bereits in der ersten NIS-Richtlinie angesprochenen Sektoren wie Energie, Verkehr und Gesundheit nun auch neue Sektoren wie digitale Infrastrukturen und öffentliche Dienstleister. Darüber hinaus werden Anforderungen an das Risikomanagement und die Meldung von Sicherheitsvorfällen gestellt. Diese sind nicht nur für Unternehmen relevant, die in kritischen Infrastrukturen tätig sind, sondern auch für Unternehmen, die Dienstleistungen erbringen, die für die öffentliche Versorgung und Sicherheit von Bedeutung sind.
Es ist davon auszugehen, dass die öffentliche Verwaltung voraussichtlich nur auf Bundesebene von dem neuen Umsetzungsgesetz betroffen sein wird. Ungeachtet möglicher Ausnahmeregelungen für einzelne Sektoren bietet die NIS2-Richtlinie eine hervorragende Orientierungshilfe für einen ambitionierten Cyber-Sicherheitsschutz, der angesichts der dynamischen Bedrohungslage von größter Bedeutung ist. Unternehmen, die bereits in ein umfassendes Security Operations Center (SOC) investiert haben – sei es ein eigenes oder ein extern betriebenes Managed SOC – haben damit einen wichtigen Schritt zur Erfüllung der NIS-2-Anforderungen getan. Ein gut aufgestelltes SOC kann im täglichen Betrieb bereits einige bis viele der geforderten Sicherheitsmassnahmen erfüllen und somit als solide Basis für weitere Anpassungen dienen. Eine Gap-Analyse bzw. Überprüfung der Erfüllung der NIS2-Anforderungen ist in jedem Fall unumgänglich. Gemäß der Richtlinie hat jeder EU-Mitgliedstaat Aufsichtsbehörden zu benennen oder einzurichten, die für die Überwachung und Durchsetzung der NIS-2-Anforderungen zuständig sind. Diese Behörden haben das Recht, Audits durchzuführen, Nachweise zu verlangen und die Einhaltung der Richtlinie zu kontrollieren. In Deutschland ist als Aufsichtsbehörde das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgesehen.
Zusammenfassend lässt sich sagen, dass die NIS2 ein entscheidender Schritt hin zu einer umfassenderen und wirksameren Cyber-Sicherheitsarchitektur ist, die den Schutz von Netz- und Informationssystemen in Europa verbessern soll. Mit strengen Durchsetzungsmechanismen und hohen Sanktionen zeigt die EU, dass die Umsetzung dieser Richtlinie eine Priorität darstellt, um die Sicherheit aller Bürger und Unternehmen in einem zunehmend digitalisierten Zeitalter zu gewährleisten. Die Verantwortung für die Einhaltung der Richtlinie geht über die Grenzen einzelner Unternehmen hinaus und beinhaltet die Verpflichtung zu proaktivem Handeln und zur kontinuierlichen Verbesserung der Sicherheitsstandards. Indem die NIS2 alle Akteure in die Pflicht nimmt, leistet sie einen wichtigen Beitrag zur Schaffung eines kohärenten und robusten Abwehrsystems gegen Cyber-Bedrohungen in der Europäischen Union.
Der vorliegende Referentenentwurf zum NIS2 Umsetzungs- und Cyberschutz-Gesetz vom 7. Mai beschreibt einen voraussichtlichen jährlichen Erfüllungsaufwand von rund 2,3 Milliarden Euro für die Wirtschaft und mindestens 355 Millionen Euro für die Verwaltung [Quelle: Referentenentwurf 7.5.24; “E. Erfüllungsaufwand”, S. 3 ff.] Auch wenn das Budget noch nicht feststeht, kann festgehalten werden, dass Investitionen in Cybersicherheit und -resilienz vor erheblichen finanziellen (und Reputations-)Schäden schützen und den Erfüllungsaufwand langfristig kompensieren. Im Vergleich zum Erfüllungsaufwand schätzt Bitkom e.V. das Gesamtschadensvolumen durch Cyberangriffe auf Unternehmen in Deutschland in den letzten Jahren (2021-23) auf jeweils über 200 Mrd. Euro [Quelle: Referentenentwurf 7.5.24; “B. Lösung, Nutzen”, S. 3]. Offen ist nach derzeitigem Stand, wann die Umsetzung in Deutschland tatsächlich erfolgen wird. Es ist davon auszugehen, dass die NIS 2 nicht zum 17. Oktober 2024, sondern erst später in Kraft treten wird.
Wie Cisco helfen kann:
Mit einem ganzheitlichen Security- Portfolio und der kürzlichen Integration von Splunk (Cisco powered by Splunk) sind wir in der Lage ein vertrauensvoller Partner in der Unterstützung, Prüfung und Umsetzung von Maßnahmen für NIS-2 mit Hilfe von Software, Hardware und Dienstleistung zu sein. Es ist wichtig zu beachten, dass die Anforderungen der NIS-2- Richtlinie umfassend sind und über technische Lösungen hinausgehen. Eine erfolgreiche Einhaltung erfordert eine Kombination aus richtigen Technologien, Prozessen und geschultem Personal. Wir – Cisco – sehen uns als Ihr Partner in einer umfassenden Cyber- Sicherheitsstrategie einen erheblichen Beitrag zur Erfüllung der NIS-2- Anforderungen leisten.
Hier erfahren Sie mehr von Cisco über NIS2:
- NIS2 Compliance for Industries White Paper
- NIS2: Transforming Challenges into Opportunities
- Cisco Blog: NIS2 Compliance for industrial networks: Are you ready?
Nehmen Sie gerne Kontakt mit uns auf und lassen Sie sich von unseren Experten beraten.
Quellen
Die Webseite OpenKRITIS bietet eine umfassende Übersicht zum Themenkomplex und dient als wertvolle Ressource für alle, die sich über die aktuellen Entwicklungen und die zu erwartenden Anforderungen informieren möchten.
- Diskussionspapier BMI , Stand: 27. Sep 2023
- EU-Direktive, 14. Dez 20
- Open Kritis – NIS2 Überblick, Herbst 2023
- Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG