Die Wichtigkeit der Cybersecurity nimmt mit zunehmender globaler Vernetzung immer mehr an Bedeutung zu und stellt eine Herausforderung für Unternehmen, Regierungen und auch Bürger dar. Statistiken zeigen, dass rund 46 % der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden sind.
Die am 16. Januar 2023 in Kraft getretene NIS2 EU-Richtlinie – eine Modifizierung der in 2016 eingeführten EU-Vorschriften zur Cybersicherheit – erweitert den bestehenden Rechtsrahmen, um zum einen mehr Sektoren abzudecken und zum anderen den Schutz der kritischen Infrastruktur aufrechtzuerhalten. Mit diesem breitgefächerten Geltungsbereich soll nun das Cybersicherheitsniveau in Europa langfristig erhöht werden.
Wer ist betroffen?
Betroffen sind Unternehmen und Organisationen, die als Operatoren von Kritischen Infrastrukturen (KRITIS) eingestuft werden. In der Richtlinie werden zwei Kategorien genannt – und zwar die Betreiber wesentlicher Dienste (Operators of Essential Services OES) und die Anbieter digitaler Dienste (Digital Service Providers DSP).
Die Betreiber wesentlicher Dienste umfassen Unternehmen, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden, wie Unternehmen der Energieversorgung, Gesundheitswesen, Trinkwasser- und Abwasserversorgung. Die Größe des Unternehmens ist in diesem Fall unbeachtlich.
Die Anbieter digitaler Dienste sind Unternehmen, die Online-Dienste anbieten, z.B. Cloud Computing-Anbieter und Suchmaschinen. Hierbei allerdings haben die Unternehmen die Vorgaben der Richtlinie nur dann zu erfüllen, wenn sie eine bestimmte Größe überschreiten. Während mittlere Unternehmen mit mehr als 50 MitarbeiterInnen und einem Jahresumsatz von mindestens 10 Mio. EUR den Vorgaben gerecht werden müssen, sind große Unternehmen mit mehr als 250 MitarbeiterInnen und einem Jahresumsatz von mindestens 50 Mio. EUR davon betroffen.
Was ist zu tun?
Zunächst müssen die betroffenen Unternehmen prüfen, ob sie als Netz- und Informationssystemdienst eingestuft werden und dann ihre Security-Maßnahmen überprüfen, ggf. anpassen. Ein großer Fokus liegt nun bei einer Risikobewertung zur Ermittlung und Bewertung von potenziellen Angriffen und möglichen IT-Sicherheitsrisiken. Außerdem bedarf es der Implementierung eines Sicherheitsmanagementsystems, um die Sicherheitsmaßnahmen effektiv und regelmäßig zu überprüfen. Für eine adäquate Umsetzung der Sicherheitsmaßnahmen, müssen die Unternehmen ihr Personal über die Richtlinie informieren. Des Weiteren müssen Sicherheitsvorfälle bei der zuständigen Behörde gemeldet werden. Ein weiterer Fokus ist auf die Sicherheit von Lieferketten (Supply Chain Security) gerichtet – die Unternehmen sollen ihre Lieferketten prüfen und dafür sorgen, dass sich auch ihre Zulieferer ausreichend vor Cyberbedrohungen schützen.
Wie hilft nun die NIS2 EU-Richtlinie die Risiken vor Cyberangriffen zu minimieren?
Die Umsetzung der Richtlinie trägt dazu bei, dass das Risiko vor Cyberangriffen und Datenlecks enorm verringert wird. Somit werden zum einen durch die Vorfälle verursachten Kosten minimiert und zum anderen mögliche Bußgelder vermieden.
Einen weiteren Vorteil bringt die Richtlinie im Rahmen der Aufrechterhaltung des Betriebs – die Unternehmen sind nun verpflichtet, ihre Backup- und Wiederherstellungspläne zu überprüfen und diese auf einem aktuellen Stand zu halten. Das heißt auch, dass die angemessenen technischen und organisatorischen Maßnahmen zu treffen sind, um die Risiken eines Netzwerks- und Informationssystems zu bewältigen.
Die NIS2 EU-Richtlinie ist ein wichtiger Schritt für die Cybersicherheit in Europa. Indem sie klare Verpflichtungen und Mindestsicherheitsanforderungen vorschreibt, trägt sie dazu bei, die Widerstandsfähigkeit der digitalen Infrastruktur zu stärken und die Auswirkungen von Cyberangriffen zu minimieren. Zur Umsetzung wurde eine Frist von 21 Monaten vorgesehen – bis Oktober 2024 müssen die EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen.