Topics

Ein umfassender Leitfaden zur Einhaltung der NIS2-Richtlinie

Geschrieben von ForeNova | 14.11.2023 11:02:20

Die Europäische Union (EU) ist bekannt als eine Region, die Cybersicherheit und Datenschutz sehr ernst nimmt, dank der Allgemeinen Datenschutzverordnung (GDPR). Fünf Jahre nach Inkrafttreten der DSGVO ist die EU weiterhin Vorreiter in Sachen Cybersicherheitsvorschriften, diesmal mit der Richtlinie über Netz- und Informationssicherheit 2 (NIS2).

Die NIS war die erste EU-weite Gesetzgebung im Bereich der Cybersicherheit. Ihr Hauptziel war es, die EU-Mitgliedstaaten dabei zu unterstützen, fortschrittliche Standard-Cybersicherheitskapazitäten zu entwickeln, die es ihnen ermöglichen, Cyberbedrohungen zu widerstehen, Cyberangriffe zu vermeiden und ihre Informationssysteme zu schützen. 

Die NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS und verpflichtet mehr Einrichtungen und Sektoren in der EU, die geforderten Cybersicherheitsmaßnahmen umzusetzen. Sie befasst sich auch mit der Sicherheit von Lieferketten, enthält strengere Durchsetzungsvorschriften und strafft die Meldepflichten in der EU. Durch diese Aktualisierungen zielt die NIS2 darauf ab, die Cybersicherheit in der EU langfristig zu erhöhen.

Die Notwendigkeit von NIS2

 

In den letzten zehn Jahren waren zahlreiche europäische Länder, Unternehmen und kritische Sektoren von Cyberangriffen betroffen. Diese Probleme veranlassten die EU, ein EU-weites Cybersicherheitsökosystem zu entwickeln und umzusetzen. Die NIS-Gesetzgebung zur Cybersicherheit war einer der ersten Schritte zur Schaffung dieses Ökosystems. Die 2016 von den Mitgliedstaaten verabschiedeten NIS zielten darauf ab, ein hohes gemeinsames Niveau der Cybersicherheit in allen EU-Mitgliedstaaten zu gewährleisten. Sie enthielt zahlreiche rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheitslage der EU. 


Alles in allem waren die in der NIS vorgeschlagenen Ideen gut. Ihre Umsetzung erwies sich jedoch als sehr schwierig, vor allem weil die Mitgliedstaaten die Anforderungen unterschiedlich umsetzten. Diese Unterschiede erhöhten den Aufwand für Unternehmen, die in mehr als einem Mitgliedstaat tätig sind. Eine unzureichende Durchsetzung schränkte auch die von den Mitgliedstaaten erreichbare - und erreichte - Cyber-Resilienz ein. 


Die NIS hat es auch nicht geschafft, die EU auf die sich verändernde Bedrohungslandschaft vorzubereiten oder das Situationsbewusstsein auf blockweiter Ebene zu verbessern. Außerdem konnte sie den Mitgliedstaaten nicht dabei helfen, wirksame Maßnahmen zur Minimierung von Cyber-Bedrohungen zu ergreifen, sich auf künftige Cyber-Herausforderungen vorzubereiten oder ihre allgemeine Cyber-Resilienz zu verbessern. 


Diese Herausforderungen verdeutlichten die Notwendigkeit, den Anwendungsbereich der NIS zu erweitern, ihre Anwendbarkeit zu klären und die Regeln für das Cyber-Risikomanagement und die Meldung von Vorfällen zu vereinheitlichen. Diese Erfordernisse in Verbindung mit einer offenen öffentlichen Konsultation (OPC) der ursprünglichen NIS-Richtlinie führten zur Entwicklung der NIS2-Richtlinie.

Hauptziele von NIS2

 

Kurz gesagt ist das Hauptziel der NIS2-Richtlinie die Erhöhung der Cybersicherheit kritischer Infrastrukturen und digitaler Dienste in der EU und die Gewährleistung ihrer Widerstandsfähigkeit gegenüber bekannten und neu auftretenden Cyber-Bedrohungen.

Mit der NIS2 wurden die in der ursprünglichen NIS festgelegten Sicherheitsanforderungen verschärft. Außerdem wurden die Einschränkungen der NIS angegangen, die zu den im vorigen Abschnitt genannten Problemen geführt haben. Durch die Ausweitung des Anwendungsbereichs der NIS und die Festlegung der nachstehenden Ziele für die EU zielt die NIS2 darauf ab, die langfristigen Cybersicherheitsfähigkeiten der EU zu stärken:

  • Sicherstellen, dass alle öffentlichen und privaten Einrichtungen geeignete Cybersicherheitsmaßnahmen ergreifen, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu verbessern.
  • Diese Maßnahmen decken viele wichtige Bereiche der Cybersicherheit ab, darunter Risikomanagement, Unternehmensverantwortung, Reaktion auf Vorfälle, Berichterstattung und Geschäftskontinuität
  • Erhöhung der Cybersicherheit in der IKT-Lieferkette
  • Umsetzung einheitlicher Sicherheits- und Meldeanforderungen in allen Mitgliedstaaten
  • Durchsetzung einheitlicher Verwaltungssanktionen bei Verstößen gegen die Vorschriften für das Risikomanagement im Bereich der Cybersicherheit
  • Förderung des Informationsaustauschs zwischen den nationalen Behörden zur Verbesserung des gemeinsamen Situationsbewusstseins in der EU
  • Zuweisung klarer Zuständigkeiten, um die Art und Weise zu verbessern, wie die EU Vorfällen und Krisen im Bereich der Cybersicherheit vorbeugt, damit umgeht und auf sie reagiert

    Die Zusammenarbeit zwischen den Mitgliedstaaten ist ein besonders wichtiges Ziel der NIS2. Es wird erwartet, dass die Richtlinie durch eine solche Zusammenarbeit die Probleme im Zusammenhang mit einer uneinheitlichen Umsetzung, die die NIS plagten, beseitigen wird. Um die Zusammenarbeit zu gewährleisten, schlägt die NIS2 die Einrichtung des EU-CyCLONe (EU-Cyber Crises Liaison Organisation Network) vor, das ein koordiniertes Management von EU-weiten Cybersicherheitsvorfällen ermöglichen würde. Darüber hinaus wird die Richtlinie der NIS-Kooperationsgruppe mehr Entscheidungsbefugnisse einräumen und zu einem verstärkten Informationsaustausch zwischen den EU-Mitgliedstaaten beitragen.

NIS2-Anforderungen und -Verpflichtungen

 

Die NIS2-Richtlinie führt neue Anforderungen und Verpflichtungen für EU-Organisationen ein, um gemeinsam zum Schutz der kritischen Infrastrukturen in der EU beizutragen und ihre Cybersicherheit und Widerstandsfähigkeit zu stärken. Diese Anforderungen und Verpflichtungen sind klar formuliert, um unterschiedliche Auslegungen auszuschließen (was zu Umsetzungsproblemen und erhöhten Cybersicherheitsrisiken im Rahmen der NIS geführt hat). Sie fallen unter vier übergreifende Bereiche:

Risikomanagement

Die NIS2 verlangt von den EU-Einrichtungen, dass sie Maßnahmen zur Minimierung von Cyberrisiken und zum Schutz ihrer Vermögenswerte ergreifen, wie z. B. Vorfallsmanagementprozesse, stärkere Netzwerksicherheitskontrollen, robuste Zugangskontrollen und Datenverschlüsselung.

Unternehmerische Verantwortlichkeit

Im Rahmen der NIS2 beaufsichtigen und genehmigen Unternehmensleiter die Cybersicherheitsmaßnahmen des Unternehmens. Sie müssen auch darin geschult werden, wie sie diese Maßnahmen wirksam einsetzen, um die Cyberrisiken der Organisation zu minimieren. Kommt es trotz dieser Maßnahmen zu einem Sicherheitsverstoß, kann die Unternehmensleitung bestraft werden. Sie können für den Vorfall finanziell haftbar gemacht werden und vorübergehend von ihrer Funktion ausgeschlossen werden.

Berichterstattung

Die NIS2 harmonisiert die Regeln für die Meldung von Vorfällen im Bereich der Cybersicherheit. Sie zielt auch darauf ab, ein Gleichgewicht zwischen schneller Berichterstattung (um die Ausbreitung eines Vorfalls zu vermeiden) und eingehender Berichterstattung (um wertvolle Lehren aus dem Vorfall zu ziehen) herzustellen. 

Die Richtlinie sieht einen mehrstufigen Meldeansatz vor. So müssen Einrichtungen, die von einem Vorfall betroffen sind, innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls einen ersten "Frühwarnbericht" an eine zuständige nationale Behörde oder ein Computer Security Incident Response Team (CSIRT) übermitteln. Außerdem müssen sie innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls einen Vorfallsbericht und innerhalb eines Monats einen Abschlussbericht vorlegen.

Geschäftskontinuität und Krisenmanagement

Alle Organisationen müssen über einen Plan verfügen, der die Geschäftskontinuität im Falle eines Cybervorfalls oder einer Krise gewährleistet. Dieser Plan sollte klar darlegen, wie die Einrichtung die Krise bewältigen wird, insbesondere in Bezug auf die Wiederherstellung von Systemen und Informationen, den Systemzugang, die Datensicherung, Notfallverfahren, die Behandlung von Vorfällen und die Krisenreaktion. Er sollte auch aufzeigen, wie die Einrichtung ihren Betrieb während und nach dem Vorfall verwalten wird.

Andere Anforderungen der NIS2

Zusätzlich zu diesen vier übergreifenden Bereichen legt die NIS2-Richtlinie bestimmte grundlegende Sicherheitsmaßnahmen fest, die die wesentlichen Einrichtungen in der EU umsetzen müssen. Zu diesen Maßnahmen, die das Risiko verringern und die Möglichkeit von Cyberangriffen minimieren sollen, gehören:

  • Umsetzung von Sicherheitsrichtlinien für Informationssysteme
  • Implementierung von Kontrollen und Richtlinien zur Erhöhung der Sicherheit bei der Systembeschaffung
  • Umsetzung von Richtlinien und Verfahren zur Erkennung, Behandlung und Meldung von Schwachstellen
  • Umsetzung von Richtlinien und Verfahren für den Einsatz von Kryptographie und Verschlüsselung
  • Umsetzung von Zugriffsrichtlinien für sensible Daten
  • Erstellung eines Bestandsverzeichnisses und Gewährleistung, dass alle Vermögenswerte sicher gehandhabt und genutzt werden
  • Implementierung der Multi-Faktor-Authentifizierung (MFA), wann immer dies sinnvoll und möglich ist
  • Bereitstellung von Schulungsprogrammen für die Cybersicherheit, um das Bewusstsein und die
    Hygiene der Benutzer für die Cybersicherheit zu verbessern 
  • Verbesserung der Sicherheit in der Lieferkette und Verwaltung der sicherheitsrelevanten Beziehungen zwischen der Einrichtung und ihren Dritten (Lieferanten, Dienstleistern usw.)

Anwendbarkeit von NIS2

Im Allgemeinen fallen alle Unternehmen (mittlere und große), die in den von der NIS2-Richtlinie erfassten Sektoren tätig sind oder unter die Richtlinie fallende Dienstleistungen erbringen, in den Anwendungsbereich der Richtlinie und werden von ihren Vorschriften und Anforderungen betroffen sein. Die Richtlinie führt eine "Größenkappungsregel" ein, um zu bestimmen, welche Unternehmen von den Anforderungen der Richtlinie betroffen sein werden. Außerdem wird festgelegt, welche Einrichtungen als Betreiber von "wesentlichen" Diensten gelten und welche Einrichtungen als "wichtig" eingestuft werden.

Wesentliche Sektoren/Einrichtungen

Wichtige Sektoren/Einrichtungen

Energie

Post- und Kurierdienste

Transport

Abfallwirtschaft

Bankwesen

Chemikalien

Finanzdienstleistungen und -märkte

Lebensmittel

Gesundheitswesen

Hersteller medizinischer Geräte

Trinkwasser und Abwasser

Computer

Digitale Infrastruktur

Elektronik

Öffentliche Verwaltung

Maschinenpark

Weltraum

Fahrzeuge

Pharmazeutika (einschließlich Impfstoffe)

Digitale Anbieter 

 

Aus der Sicht der NIS2 fallen alle diese Einrichtungen in die Zuständigkeit des Mitgliedstaates, in dem sie niedergelassen sind, und nicht des Mitgliedstaates, in dem sie ihre Dienstleistungen erbringen. Erbringt eine wesentliche Einrichtung Dienstleistungen in mehr als einem Mitgliedstaat, fällt sie in die Zuständigkeit jedes dieser Mitgliedstaaten. 

Die NIS2-Richtlinie gilt auch für Einrichtungen der öffentlichen Verwaltung auf zentraler und regionaler Ebene. Darüber hinaus kann sie auch auf lokaler Ebene gelten, wenn die Mitgliedstaaten dies wünschen.

Bestimmte EU-Einrichtungen sind vom Anwendungsbereich der NIS2 ausgenommen. Diese sind:

  • Einrichtungen, die Tätigkeiten im Bereich der Verteidigung und der nationalen Sicherheit ausüben
  • Stellen, die für die öffentliche Sicherheit oder die Strafverfolgung zuständig sind
  • Nationale Gerichtshöfe
  • Parlamente
  • Zentralbanken

Zeitpläne für die NIS2-Einführung

Als politische Vereinbarung wurde die NIS2 im November 2022 vom Europäischen Rat und vom Europäischen Parlament angenommen. Beide Gesetzgeber unterzeichneten den Text im Dezember 2022, und er trat im Januar 2023 in Kraft. Die 27 EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. 

Alle EU-Einrichtungen, die zumindest teilweise digital arbeiten und einem gewissen Cybersicherheitsrisiko ausgesetzt sind, müssen sich dieser Frist bewusst sein und die NIS2-Richtlinien bis dahin umsetzen, insbesondere wenn sie gemäß der NIS2-Definition als wesentlich oder notwendig erachtet werden. Der Konformitätsprozess dauert etwa 12 Monate. Ab Mai 2023 haben EU-Einrichtungen, die in den Geltungsbereich der NIS2 fallen, 17 Monate Zeit, um den Prozess abzuschließen.

In diesem Prozess müssen sie mehrere Aktivitäten durchführen, die sich auf Folgendes beziehen:

  • Risikobewertungen zur Cybersicherheit
  • Rechnungsprüfung
  • Festlegung von Richtlinien für die Sicherheit von Informationssystemen
  • Festlegung von Verfahren für die Behandlung von Vorfällen
  • Geschäftskontinuität und Krisenmanagement
  • Sicherheit der Lieferkette
  • Bewertung, Behandlung und Offenlegung von Schwachstellen
  • Kryptographie
  • Datenverschlüsselung

NIS2 Sanktionen bei Nichteinhaltung

Die Anforderungen der NIS2 sind für die Einrichtungen, die in ihren Geltungsbereich fallen, rechtsverbindlich. Es liegt im Ermessen der Mitgliedstaaten, Unternehmen, die die Vorschriften nicht einhalten, mit abschreckenden Sanktionen und Geldbußen zu belegen. Im Allgemeinen können gegen wichtige Unternehmen, die die Richtlinien nicht einhalten, Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Gesamtumsatzes verhängt werden - je nachdem, welcher Betrag höher ist. Gegen wichtige Unternehmen, die die NIS2 nicht einhalten, können Geldbußen von bis zu 7 Mio. EUR oder 1,7 % des weltweiten Umsatzes verhängt werden. Darüber hinaus können Unternehmen, die die Vorschriften nicht einhalten, gezwungen werden, ihre Geschäftstätigkeit auszusetzen, bis sie die NIS2-Anforderungen erfüllen und eine 100%ige Konformität erreichen. 


Die Richtlinie überträgt den Leitungsorganen der Unternehmen eine zusätzliche Verantwortung für die Erfüllung der Anforderungen und die Einhaltung der Verpflichtungen und Bestimmungen der Richtlinie. Mit "Organen" sind hier Manager auf allen Ebenen gemeint, einschließlich der Führungsebene und der C-Suite. Manager, die die NIS2 nicht einhalten, können mit Geldstrafen und strafrechtlichen Sanktionen belegt werden. Wenn nach einem Cybervorfall grobe Fahrlässigkeit nachgewiesen wird, können sie persönlich haftbar gemacht werden. Bei wiederholten Verstößen in einer wichtigen Einrichtung kann deren Führungskräften vorübergehend die Ausübung von Führungspositionen untersagt werden. 


Neben Bußgeldern und nicht-monetären Abhilfemaßnahmen sieht die NIS2 auch strafrechtliche Sanktionen für Organisationen und deren Management vor, die die Vorschriften nicht einhalten. Darüber hinaus sind die nationalen Aufsichtsorgane befugt, einen Überwachungsbeauftragten zu benennen. Sie können auch anordnen, dass die Führungskräfte der Organisation Sicherheitsaudits durchführen, Bedrohungsmeldungen an die Kunden der Organisationen senden und Verstöße gegen die Vorschriften öffentlich machen (und dabei auch die für den Verstoß verantwortlichen juristischen Personen/Führungskräfte benennen). 


Mit all diesen strengen Maßnahmen wird ein doppeltes Ziel verfolgt: i) die Rechenschaftspflicht für die Umsetzung der in der Richtlinie geforderten Cybersicherheitsmaßnahmen auf organisatorischer Ebene zu erhöhen und ii) grobe Nachlässigkeit beim Cyber-Risikomanagement in Unternehmen zu verhindern.

 

Die einfachste Art, NIS2 zu implementieren

 

Die Umsetzung der verschiedenen Anforderungen der NIS2 und die Einhaltung der Richtlinie können zeitaufwändig und sogar überwältigend sein. Die Zusammenarbeit mit einem externen Cybersicherheitsteam, Compliance- und NIS2-Experten wie ForeNova kann dazu beitragen, die Überforderung zu verringern. 

Die NIS2-Spezialisten von ForeNova können Ihnen bei allen Aspekten der NIS2-Konformität behilflich sein, von der Feststellung, ob Sie in den Anwendungsbereich der Richtlinie fallen, über die Erstellung eines Konformitätsplans bis hin zur Bewertung Ihrer Sicherheitsmaßnahmen und der Änderung Ihrer Sicherheitsrichtlinien. Außerdem erstellen wir eine Bestandsaufnahme Ihrer Anlagen, bewerten Ihr Netzwerk und implementieren Kontrollen, um Ihre Angriffsfläche zu verringern und Datenverletzungen zu verhindern. Wenn Sie eine 24/7-Bedrohungserkennung und -Reaktion benötigen, können wir Ihnen das bieten. 

Wir können alle Vorschriften überprüfen und unsere Fähigkeiten und NIS2-Anforderungen mit Ihnen abgleichen. Mit unserer Erfahrung in der Unterstützung von Kunden wie Krankenhäusern bei der Erfüllung von NIS2 können wir einen transparenten Prozess und den effizientesten Weg zur NIS2-Konformität bieten.  

Kontaktieren Sie uns unter support@forenova.com, um mit der NIS2-Implementierung zu beginnen - bevor es zu spät ist.