NIS 2 entdecken: Änderungen, Anforderungen und Vorbereitung

NIS 2 ist die zweite Auflage der Richtlinie zur Netzwerk- und Informationssicherheit. Diese bahnbrechende Rechtsvorschrift zur Cybersicherheit zielt darauf ab, ein höheres Maß an Cyber-Resilienz in Organisationen in der gesamten Europäischen Union (EU) zu schaffen, insbesondere bei den Betreibern kritischer Infrastrukturen und wesentlicher Dienstleistugen.

„NIS 2“ ist die korrekte Bezeichnung der Rechtsvorschrift. In offiziellen Dokumenten kann jedoch von „NIS2-Compliance“ oder „NIS2-Richtlinie“ die Rede sein. Beides ist akzeptabel, aber die erste Option ist die, die im Amtsblatt der Europäischen Union veröffentlicht wurde.

Als EU-weite Verordnung muss jeder Mitgliedstaat die NIS-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Ab diesem Zeitpunkt sind alle betroffenen Einrichtungen gesetzlich verpflichtet, die Sicherheitsanforderungen zu erfüllen. Einfacher ausgedrückt bedeutet dies, dass alle EU-Länder die Verordnung in ihren eigenen Ländern rechtsverbindlich machen müssen, damit sie sie durchsetzen können.

Auf nationaler Ebene zielt die NIS 2 darauf ab, die allgemeine Cybersicherheit zu erhöhen durch:

1. Sie erfordert, dass jeder EU-Mitgliedstaat mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme auf eine mögliche Cyber-Bedrohung vorbereitet ist.
2. Die Zusammenarbeit zwischen den Mitgliedstaaten soll durch die Einrichtung einer Kooperationsgruppe zum Informationsaustausch verstärkt werden. 
3. In allen kritischen Infrastruktursektoren, die in hohem Maße auf Informations- und Kommunikationstechnologie (IKT) angewiesen sind, soll eine Kultur der Cybersicherheit gefördert werden.

Kurzum soll die NIS 2 sicherstellen, dass die betreffenden Stellen in der gesamten EU darauf vorbereitet sind, Bedrohungen mit geeigneten Sicherheitsmaßnahmen, Bedrohungsdaten und bewährten Praktiken abzuschwächen.

Warum ist die NIS 2 wichtig?

Die NIS 2 stellt eine deutliche Verbesserung gegenüber der ursprünglichen NIS-Richtlinie dar. Historisch gesehen war die NIS 1 die erste europäische Rechtsvorschrift zur Cybersicherheit und zielte auch darauf ab, die Cyber-Resilienz in der gesamten Region zu verbessern.

Obwohl sie erfolgreich ein Umdenken ausgelöst und den Datenschutz verbessert hat, stand sie dennoch vor Herausforderungen. Schon bald nach der Einführung wurden die Vorschriften in der Europäischen Union in unterschiedlichem Maße übernommen. Einige Unternehmen wurden in bestimmten Ländern als wesentlich angesehen, in anderen jedoch nicht. Diese Unstimmigkeiten führten zu einer verwirrenden und zersplitterten Compliance-Landschaft.

Zugleich hat sich das Risikoumfeld seit 2016 sprunghaft entwickelt. Weltweit wächst die Cyber-Kriminalität so schnell dass sie, wenn sie als Land gemessen würde, die drittgrößte Volkswirtschaft der Welt wäre. Neue und immer raffiniertere Angriffsvektoren fordern Organisationen auf bisher ungekannte Weise heraus – einschließlich der Nutzung von künstlicher Intelligenz (KI).

Bei KI-gestützten Phishing-Betrügereien beispielsweise lernt die KI, wie sie ahnungslose Nutzer täuschen und ihre Anmeldedaten mit Leichtigkeit stehlen kann. Und mit dem Aufkommen von Quantencomputern ist es nur eine Frage der Zeit, bis Hacker viele der heute verwendeten kryptografischen Algorithmen entschlüsseln können.

Natürlich trägt die Geopolitik nur noch zur Komplexität bei. Der Krieg Russlands in der Ukraine hat zu politisch motivierten und staatlich geförderten Cyberangriffen geführt. Nach Angaben der Agentur der Europäischen Union für Cybersicherheit (ENISA) richtete sich die überwiegende Mehrheit dieser Angriffe im Jahr 2022 gegen die öffentliche Verwaltung und Regierungen, Anbieter digitaler Dienste und kritische Infrastrukturen.

Angesichts dieser Probleme beschloss die Europäische Kommission eine Überarbeitung der NIS-Richtlinie. Die zweite Version befasst sich nicht nur mit der einheitlichen Umsetzung, sondern legt auch die Messlatte für die Cyber-Resilienz im Gleichschritt mit der sich verändernden Cyber-Bedrohungslandschaft höher.

Die aktualisierte NIS-Richtlinie behebt die Unzulänglichkeiten der Vorgängerversion und vergrößert ihren Geltungsbereich erheblich. Im Vergleich zur NIS 1 triff Folgendes auf die NIS 2 zu:

• Ausweitung des Geltungsbereichs auf weitere Sektoren
• Verhängung härterer Sanktionen bei Non-Compliance
• Forderung strengerer Anforderungen an die Cybersicherheit

Schauen wir uns die wichtigsten Unterschiede zwischen der ersten und der zweiten NIS-Richtlinie genauer an.

Erweiterter Geltungsbereich

Die ursprüngliche NIS-Richtlinie galt für „Betreiber wesentlicher Dienste“ (OES) und „Anbieter digitaler Dienste“ (DSP). Diese Unterscheidung gibt es jetzt nicht mehr. 

Stattdessen werden die relevanten Einrichtungen nach Größe und Art klassifiziert. Generell betrifft die NIS 2 alle Organisationen, die „wesentliche oder wichtige Dienstleistungen“ für die Europäische Union erbringen. Damit erhöht sich die Zahl der betroffenen Sektoren von sieben auf 15, wodurch mehr wichtige Aspekte der EU-Gesellschaft geschützt werden.

Als wesentliche Einrichtung wird ein großes Unternehmen eingestuft, das in einem kritischen Sektor tätig ist, wie z. B. die unten aufgeführten Unternehmen. In diesem Fall ist ein großes Unternehmen definiert als ein Unternehmen mit mindestens 250 Beschäftigten, einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Jahresbilanz von mindestens 43 Millionen Euro. Gemäß NIS 2 gehören zu den wesentlichen Dienstleistungen:

• Energie
• Transport
• Finanzen
• Öffentliche Verwaltung
• Gesundheit
• Raumfahrt
• Wasserversorgung (Trink- und Abwasser)
• Digitale Infrastruktur

Im Gegensatz dazu ist eine wichtige Einrichtung ein mittelgroßes Unternehmen, das in Sektoren mit hoher Kritikalität tätig ist, die nicht unter die Kategorie der wesentlichen Dienstleistungen fallen. Diese Organisationen haben in der Regel mindestens 50 Mitarbeiter, einen Jahresumsatz von mindestens 10 Millionen Euro oder eine Bilanzsumme von 10 Millionen Euro. Zu den wichtigen Einrichtungen zählen gemäß NIS 2:

• Postdienste
• Abfallwirtschaft
• Chemikalien
• Forschung
• Lebensmittel
• Produktion
• Digitale Anbieter

Einige der oben genannten Sektoren können sich überschneiden, z. B. digitale Infrastruktur und digitale Anbieter. Die digitale Infrastruktur bezieht sich auf Cloud-Dienste, Telekommunikationsbetreiber, Rechenzentren, Vertrauensdienste usw. Kurz gesagt umfasst sie jede Einrichtung, die einen für das Rückgrat der Gesellschaft wichtigen digitalen Dienst anbietet.

Zu den digitalen Anbietern gehören spezifischere Dienste wie Suchmaschinen, Online-Marktplätze und soziale Netzwerke. Sie sind ein wesentlicher Bestandteil der Kommunikation und Transaktionen zwischen Personen, haben aber möglicherweise keine drastischen Auswirkungen, wenn sie durch einen Cybervorfall nicht mehr funktionsfähig sind.

Aber was ist mit Betreibern, die außerhalb der EU ansässig sind? Gemäß Artikel 26 der NIS 2 gelten wesentliche und wichtige Einrichtungen als der Gerichtsbarkeit des EU-Mitgliedstaates unterliegend, in dem sie ihre Dienstleistungen erbringen. Erbringt das die Einrichtung Dienstleistungen in mehr als einem Mitgliedstaat, sollte es der Rechtsprechung jedes einzelnen Mitgliedstaats unterliegen.

Härtere Strafen für Non-Compliance

Die NIS 2 sieht wesentlich härtere Strafen für Non-Compliance vor, darunter:

1. Nichtmonetäre Strafen

Die NIS 2 gibt den nationalen Aufsichtsbehörden die Befugnis zur Erhebung von Bußgeldern:

• Compliance-Anordnungen
• Verbindliche Anweisungen
• Sicherheitsaudits
• Anordnungen zur Meldung von Bedrohungen

2. Verwaltungsrechtliche Geldbußen

Die genauen Bußgelder können je nach Mitgliedstaat variieren, aber die NIS-Richtlinie enthält einen Mindestkatalog von Sanktionen. 

• Für wesentliche Einrichtungen muss der Mitgliedstaat eine Höchststrafe von mindestens 10.000.000 € oder 2 % des weltweiten Jahresumsatzes vorsehen, je nachdem, welcher Betrag höher ist.
• Verstößt eine wichtige Einrichtung gegen die Richtlinie, muss der Mitgliedstaat eine Geldstrafe von mindestens 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist.

3. Strafrechtliche Sanktionen gegen Leitungsorgane

Anstatt den gesamten Druck der Compliance mit der NIS 2 auf die IT-Abteilungen zu legen, sieht die Richtlinie neue Sanktionen vor, um die obersten Leitungsorgane im Falle eines Cybersicherheitsvorfalls persönlich für grobe Fahrlässigkeit haftbar zu machen. So kann eine zuständige Behörde beispielsweise Führungskräften vorübergehend verbieten, Führungspositionen zu bekleiden. Sie kann Organisationen auch anweisen, Compliance-Verstöße offenzulegen und eine öffentliche Erklärung abzugeben, in der die für den Vorfall verantwortliche(n) Person(en) genannt werden.

Strengere Anforderungen

Abschließend werden in der NIS 2 die Anforderungen an die Cybersicherheit für die betroffenen Einrichtungen drastisch erhöht. Im Großen und Ganzen schreibt sie die frühzeitige Meldung von Vorfällen, ein erweitertes Risikomanagement und eine Reihe von Mindestsicherheitsmaßnahmen vor.

Was bedeutet das alles? Schauen wir uns die genauen Anforderungen der NIS 2 genauer an.

Die neue Richtlinie stärkt die Cyber-Resilienz durch die Einführung von Verpflichtungen in vier Bereichen:

Risikomanagement

Unternehmen müssen Maßnahmen zum Management von Cybersicherheitsrisiken ergreifen, um die Wahrscheinlichkeit und die Auswirkungen verschiedener Cyber-Bedrohungsvektoren zu minimieren. Genauer gesagt müssen sie technische, betriebliche und organisatorische Vorkehrungen treffen, um die Risiken für ihr Netzwerk und ihre Informationssysteme zu mindern und so den Datenschutz zu verbessern. Dazu können Verfahren für das Management von Vorfällen, eine stärkere Sicherheit der Lieferkette, Zugangskontrollsysteme und Verschlüsselung gehören.

Unternehmensführung

Die Leitungsorgane sind für die Überwachung und Genehmigung der Protokolle für das Cybersicherheit-Risikomanagement ihrer jeweiligen Organisation verantwortlich und müssen sicherstellen, dass diese wirksam umgesetzt werden.

Artikel 20 besagt: „Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilzunehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten“. Ziel ist es, alle Mitarbeiter einer Organisation in die Lage zu versetzen, Risiken zu erkennen und die Risikoexposition so gut wie möglich zu minimieren.

Melden von Vorfällen

Kritische Einrichtungen müssen Verfahren zur unverzüglichen Meldung von Sicherheitsvorfällen einrichten, die sich erheblich auf die Erbringung ihrer Dienstleistungen und/oder auf ihre Nutzer auswirken. Die NIS 2 stuft einen „bedeutenden“ Sicherheitsvorfall folgendermaßen ein:

• Hat eine schwerwiegende Betriebsstörung in einem kritischen Sektor verursacht oder kann dazu führen
• Hat andere natürliche oder juristische Personen durch die Verursachung eines erheblichen Schadens beeinträchtigt oder kann diese beeinträchtigen

Die Einrichtungen müssen die zuständige Behörde ihres Mitgliedstaats (einschließlich des CSIRT) spätestens 24 Stunden nach Bekanntwerden des Cybervorfalls mit einer Frühwarnung informieren. Außerdem müssen sie spätestens 72 Stunden danach einen vollständigen Bericht und einen Monat nach Einreichung des ersten Dokuments einen Abschlussbericht erstellen.

Business Continuity

Die überarbeitete NIS 2 zielt darauf ab, die Geschäftskontinuität nach einem Angriff zu gewährleisten. Die Einrichtungen sind verpflichtet, eine glaubwürdige Strategie zu entwickeln, die ihre Reaktion auf solche Vorfälle und die Wiederherstellung nach einem solchen Vorfall detailliert beschreibt und darauf abzielt, die Störungen schnell zu minimieren. Daher wird in der NIS 2 der Einsatz von Cloud-Backup-Lösungen betont.

10 grundlegende Maßnahmen zur Cybersicherheit

In Artikel 21 werden 10 grundlegende Sicherheitsmaßnahmen genannt, die Organisationen zur Unterstützung der vier übergreifenden Bereiche umsetzen sollten. Sie beruhen auf einem „All-Hazards-Ansatz“, der darauf abzielt, die wahrscheinlichsten Bedrohungsvektoren zu entschärfen. Zu den Maßnahmen gehören:

1. Richtlinien für die Risikoanalyse und die Sicherheit von Informationssystemen
2. Pläne für die Reakion auf Vorfälle für den Umgang mit aktiven Bedrohungen
3. Pläne für die Geschäftskontinuität, z. B. Datensicherung, Notfallwiederherstellung und Krisenmanagementverfahren
4. Sicherheit der Lieferkette, einschließlich Maßnahmen, die die Beziehungen zwischen Unternehmen und ihren direkten Lieferanten oder Dienstleistern betreffen
5. Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen
6. Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
7. Schulungen zur Sensibilisierung für Cybersicherheit, Hygiene und bewährte Verfahren
8. Richtlinien für die Verwendung von Kryptographie und Verschlüsselung
9. Zugangskontrollverfahren, insbesondere für Mitarbeiter mit Zugang zu sensiblen Daten
10. Multi-Faktor-Authentifizierung, kontinuierliche Überwachung und sichere Kommunikationssysteme

Neben der NIS 2 werden sich die Betreiber in der EU mit zahlreichen weiteren Vorschriften auseinandersetzen müssen, darunter:

• Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA)
• Richtlinie über die Resilienz kritischer Einrichtungen (CER)
• Gesetz über Cyber-Resilienz (CRA)

Wie überschneiden sich diese Rechtsvorschriften? Schauen wir uns die Details an:

Richtlinie NIS 2 im Vergleich zur DORA-Verordnung

Sowohl die NIS 2 als auch die DORA-Verordnung sind Verordnungen zur Cybersicherheit, aber sie verfolgen leicht unterschiedliche Ziele. Die DORA-Verordnung ist speziell auf den Finanzsektor ausgerichtet, während die NIS 2 ein breiteres Spektrum von Organisationen abdeckt.

Gemäß Artikel 4 Absätze 1 und 2 der NIS-Richtlinie gelten die DORA-Bestimmungen in Bezug auf IKT-Risikomanagement und -Reporting, Tests der digitalen operationellen Resilienz, Informationsaustausch und Risiken Dritter anstelle der Bestimmungen der NIS 2. Finanzinstitute sollten sich also in diesen Bereichen auf die DORA-Verordnung beziehen und für alle anderen Anforderungen auf die NIS 2.

Die Quintessenz: Die DORA-Verordnung ersetzt die NIS 2 für Finanzinstitute, wenn es um die oben genannten Sicherheitsmaßnahmen geht.

NIS 2 im Vergleich zur CER-Richtlinie

Die CER-Richtlinie gilt für kritische Einrichtungen wie Energie- und Transportunternehmen, die ihre Abwehr gegen nicht cyberbezogene Risiken steuern. Obwohl der Schwerpunkt der NIS 2 auf der Cybersicherheit liegt, kann es zu Überschneidungen bei den betreffenden Einrichtungen kommen. In solchen Fällen müssen die Unternehmen die Einhaltung beider Richtlinien sicherstellen und sowohl die Cyber- als auch die physische Resilienz berücksichtigen.

Kritische Einrichtungen sollten die NIS 2 in Bezug auf die Cybersicherheit und die CER-Richtlinie für Nicht-Cybervorfälle einhalten.

NIS 2 im Vergleich zu CRA

Das Gesetz über Cyber-Resilienz ist ein Gesetzesvorschlag, der sich auf die Cybersicherheit von Hardware- und Softwareprodukten mit digitalen Elementen, wie IoT-Geräte (Internet-of-Things), konzentriert. Während sich die NIS 2 auf die Verbesserung der Sicherheitslage der Unternehmen selbst konzentriert, verlangt das CRA von den Unternehmen, dass sie die Sicherheit der von ihnen hergestellten oder verkauften Produkte in den Vordergrund stellen. 

Im Allgemeinen ergänzt das CRA die NIS 2, überschneidet sich aber nicht unbedingt mit ihr und ersetzt sie auch nicht. Daher können Unternehmen unter beide Verordnungen fallen.

Sorgen Sie sich um die Compliance mit der NIS 2? Das muss nicht sein – wir sind hier, um Ihnen zu helfen.

Wir von Entrust machen Cybersicherheit und Datenschutz zum Kinderspiel. Unser Portfolio umfasst alle Compliance-Lösungen, die Sie benötigen, darunter:

• Hardware-Sicherheitsmodule (HSMs): Die Entrust nShield-HSMs bieten eine sichere Umgebung für die Generierung, Verwaltung und den Schutz von kryptographischen Schlüsseln, die für die Sicherung von sensiblen Daten und die Gewährleistung der Integrität von digitalen Transaktionen unerlässlich sind. 
• Verwaltung der Cloud-Sicherheitslage: Unsere umfassenden Sicherheitstools unterstützen Organisationen bei der Verwaltung ihrer Sicherheitslage in Cloud-Umgebungen durch u. a. kontinuierliche Überwachung und automatische Erkennung von Bedrohungen.
• Identitäts- und Zugriffsverwaltung (IAM): Wir bieten Lösungen für die Identitäts- und Zugriffsverwaltung an, mit denen Organisationen sicherstellen können, dass nur autorisierte Nutzer auf sensible Informationen zugreifen können. Somit sorgen wir für eine solide Grundlage für Zero Trust-Sicherheit.
• Public Key Infrastructure (PKI): Die PKI-Lösungen von Entrust bieten einen Rahmen für die Sicherung von Kommunikation und Transaktionen, die Verwaltung von digitalen Zertifikaten und die Sicherstellung der Authentizität von digitalen Identitäten. Dies alles ist wichtig für die Compliance mit der NIS 2 sind.

Insgesamt bieten die Angebote von Entrust eine umfassende Palette von Tools, die Organisationen dabei helfen, ihre Cybersicherheitslage zu verbessern, sich gegen Bedrohungen zu schützen und die Anforderungen der Richtlinie NIS 2 zu erfüllen.