2022 / ISMS / Strategie / Wirtschaft

NIS 2 – Die neue NIS-Direktive in der EU

Ende diesen Jahres wurde NIS 2, die Richtlinie zur Netz- und Informationssicherheit, im Rat der EU angenommen. Was ändert sich nun und wofür war die ursprüngliche Richtlinie NIS 1 gedacht? Die alte NIS-Richtlinie ist 2016 in der EU in Kraft getreten, das entsprechende Gesetz zur Umsetzung wurde in Deutschland 2017 verkündet.

Ziel dieser Richtlinie ist es, ein EU-weites Niveau der Netz- und Informationssicherheit zu schaffen. Inhalte sind u. a. Mindestsicherheitsanforderungen und Meldepflichten kritischer Infrastrukturen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden hier neue Aufgaben und Befugnisse zugewiesen, beispielsweise als Kontrollinstanz für die Einhaltung der an Online-Marktplätze oder Anbieter von Cloud-Computing Diensten gestellten Auflagen.

Was ändert sich mit NIS 2?

Mit der neuen Richtlinie wird eine neue Organisation eingeführt: Das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen kurz: EU-CyCLONe. Sie übernimmt die Koordination von massiven Cybersicherheitsvorfällen in der EU.

Die neue Richtlinie erweitert den Anwendungsbereich der ursprünglichen Richtlinie deutlich. Es wurden weitere Industriesektoren für größere Unternehmen hinzugefügt, die dieser Richtlinie unterliegen. Unternehmen mit

  • weniger als 50 Mitarbeitenden und
  • weniger als 10 Millionen EUR Umsatz

sind hier ausgenommen. In bestimmten Sektoren gilt die Richtlinie unabhängig der Unternehmensgröße. Unabhängig der Größe berücksichtigt werden z. B. die

  • öffentliche Verwaltung,
  • Anbieter elektronischer Kommunikation und
  • Domain Registrare.

Domain Registrare sind vor allem wichtig, um das Domain Name System aufrechtzuerhalten. Mit NIS 2 werden Mindestanforderungen an die Cybersecurity der betroffenen Unternehmen und Organisationen gestellt. Betroffene müssen u. a. Richtlinien zur Behandlung von Risiken und Informationssicherheit erlassen, ein Risikomanagement aufbauen und die eigene Informationssicherheit mit Test und Audits regelmäßig überprüfen. EU-Staaten werden berechtigt, Betroffenen die Nutzung von EU-Cyber-Sicherheitszertifizierungen vorzuschreiben.

Zusätzlich können Geschäftsführer bzw. Leitungsorgane von Betreibern persönlich haftbar gemacht werden, wenn Verstöße festgestellt werden. Dieser Zusatz stößt auf Kritik in der Industrie, da diese persönliche Haftung natürlich risikoreich in großen Unternehmen ist.

Nationale Sicherheitsstrategien

Zusätzlich legt NIS 2 Regularien für die einzelnen Mitgliedsstaaten fest. Sie müssen eine nationale Cyber-Sicherheitsstrategie erarbeiten, Behörden für Cybersicherheitsaufgaben gründen und Kompetenzen zuweisen. Es muss ein Incident Response Team für KRITIS auf nationaler Ebene eingerichtet werden und die Kooperationen zwischen den Mitgliedsstaaten verstärkt werden.

Deutschland hat hier mit dem BSI schon eine Behörde, die sich gut für diese Aufgaben eignet. Die Mitgliedsstaaten werden verpflichtet, eine nationale Aufsicht zu führen, was auch stichprobenartige Tests von Experten beinhaltet. Nachweise über die Umsetzung dürfen vom Staat von den Unternehmen gefordert und Sanktionen bei Nicht-Einhaltung ausgesprochen werden.

Härtere Sanktionen in NIS 2

NIS 2 gibt den Mitgliedsstaaten die Möglichkeit, bei Verstößen Strafen von bis zu 10 Millionen EUR oder 2 % des Gesamtjahresumsatzes bei wesentlichen Einrichtungen und 7 Millionen EUR oder 1,4 % des Gesamtjahresumsatzes bei wichtigen Einrichtungen zu vergeben. NIS 1 hatte hier einen Höchstbetrag von 150.000 EUR vorgesehen. Diese Erhöhung ist ein großer Sprung und zeigt, dass es immer unangenehmer für Unternehmen wird, sich nicht an EU-Vorgaben zu halten.

Durch die neue Richtlinie wird den Mitgliedsstaaten ein Anordnungsrecht gewährt. Nicht kooperierende Unternehmen müssen sich somit den Anordnungen des jeweiligen Staates beugen und können sonst mit den oben genannten Strafen belegt werden.

Die Umsetzung in deutsches Gesetz

Deutschland hat mit dem IT-Sicherheitsgesetz 2.0 bereits 2021 einige Punkte von NIS 2 übernommen. Da die neue Richtlinie noch nicht vollständig in nationale Gesetze überführt wurde, ist es wahrscheinlich, dass 2023 ein IT-Sicherheitsgesetz 3.0 diese Aufgabe übernimmt. Die Umsetzung in nationale Gesetze muss von den Mitgliedsstaaten bis August 2024 erfolgen.

Fazit

NIS 2 ist ein weiterer wichtiger Schritt in die Richtung international gültiger Sicherheitsstandards und Mindestanforderungen. Abzuwarten bleibt, inwiefern schnelle Meldewege und Lösungen durch bürokratischen Aufwand verlangsamt werden.

Gleichzeitig werden Behörden und Unternehmen mehr Aufgaben und Richtlinien zur Einhaltung vorgeschrieben, die bei fehlendem Fachpersonal immer schwieriger einzuhalten sind. Die Richtlinie soll von der EU-Kommission regelmäßig gereviewed werden, was bei der dynamischen IT-Landschaft angebracht ist. Durch die langen Zeiträume, bis eine Änderung auf nationaler Ebene angekommen ist, bleibt aber fraglich, wie schnell auf aktuelle Probleme reagiert werden kann.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.