Neuigkeiten & Fachwissen
01.09.2022 | DATENSCHUTZ & IT-SICHERHEIT

Nun ist es soweit: Der Nachfolger der NIS-Richtlinie tritt voraussichtlich noch dieses Jahr in Kraft. Mit NIS2 kommt die Richtlinie zur Netz- und Informationssicherheit Teil 2. Problematisch war an der Vorgängerrichtlinie u. a., dass zwar eine allgemeine Meldepflicht bei Sicherheitsverletzungen vorgeschrieben wurde, eine unbürokratisch und schnelle Meldung aber nicht möglich war. Gezielt an dieser Stelle möchte die NIS2-Richtlinie Abhilfe schaffen. Aber wie genau sieht das aus? Welche Bereiche gehören fortan zur kritischen Infrastruktur?

NIS Forum Verlag Herkert GmbH

© momius – stock.adobe.com

Inhaltsverzeichnis

  1. Vorgeschichte: Die Revolutionierung europaweiter Cybersicherheit – die NIS
  2. NIS2 – eine Verbesserung oder einfach mehr des Gleichen?
  3. Was bedeutet NIS2 für den Mittelstand?
  4. Wann tritt NIS2 in Kraft?

Vorgeschichte: Die Revolutionierung europaweiter Cybersicherheit – die NIS

Ziel der NIS ist und bleibt ein hohes Maß an gemeinsamer Daten-, Netz- und Informationssicherheit im europäischen Raum zu schaffen. Damit begab sich das Europäische Parlament auf ungewohntes Terrain. Eine ähnliche Richtlinie hatte es bislang nicht gegeben. Daher, so war der Eindruck des Expertenrats des EU-Parlaments, musste im Jahr 2017 zwangsläufige eine EU-weite Regelung stattfinden. Grund dafür war das exponentielle Wachstum der Digitalisierung und die damit sprunghaft ansteigende Welle an Cyberangriffen auf staatliche und private Unternehmen. Das dem Ganzen zugrundeliegende Credo war, dass man aufgrund der Globalisierung nicht mehr ausreichend digitalen Schutz des eigenen Landes auf nationaler Ebene gewährleisten, sondern nur durch die Zusammenarbeit vieler Staaten einen hohen Sicherheitsstandard einhalten kann. 

Das war bereits die Bestandsaufnahme vor Einführung der ersten NIS-Richtlinie vor knapp 5 Jahren. In der Theorie noch relativ stark aufgestellt, zeigte sich aber in der Praxis, dass die Erstrichtlinie deutliche Schwächen in der Umsetzung aufwies: zu viele Anforderungen, zu wenige Unterstützung einzelner Länder durch die EU und vor allem eines: die behördliche Meldung war bislang mit einem großen bürokratischen Aufwand versehen, was viele Unternehmen im Schadensfall vor der Schadensmeldung zurückschrecken ließ.

Hinzukommt, dass Teilbereiche des Informations- aber auch (digitalen) Güteraustausches nicht in der NIS enthalten waren. Genau an diesen beiden Stellen versucht nun die NIS2 Abhilfe zu schaffen.

NIS2 – eine Verbesserung oder mehr des Gleichen? 

Besonders im Fokus der NIS2-Richtlinien ist die Sicherheit von Lieferketten, Meldepflichten und -fristen, gleichmäßige Aufsicht und harmonisierte Sanktionen europaweit. Gleichzeitig sollen Bevölkerung, staatliche Institutionen und kritische Infrastruktur wie Stromerzeugung, Wasserwerke und Krankenhäuser mehr vor Cyberkriminalität geschützt werden.

Die Argumentation ist dabei sowohl wirtschaftlich wie sozialpolitisch. In ihrem Thesenpapier spricht der EPRS (European Parliamentary Resarch Service) die Bedrohung und vor allem die Kosten durch Cyberangriffe an. So sei es auf lange Sicht erheblich günstiger, den unionsweiten Schutz um ein Vielfaches zu erweitern als beispielsweise Lösegeld für „entführte Daten“ zu bezahlen. Bei letzterem handelt es sich nach wie vor um die lukrativste Art der digitalen Kriminalität. So sei die Monetarisierung dieser Art der Cyberkriminalität laut EU Agency for Network Information Security (ENISA) deutlich angestiegen. Das geht einher mit dem explosionsartigen Anstieg des Online-Handels und des kontaktlosen Zahlens innerhalb der letzten 2 Jahre.

Laut Cybersecurity Ventures hat sich die Schadenshöhe in Folge von Cyberkriminalität innerhalb der letzten Jahre mehr als verdreißigfacht. Die Mittel zum Zweck der Kriminellen waren dabei meist Hacking, Schadsoftware und größtenteils Phishing. Deshalb wurde bereits basierend auf der NIS in den meisten größeren Unternehmen die bekannte Cybersecurity Awareness eingeführt. Dabei liegt der Fokus auf der Sensibilisierung der eigenen Mitarbeiter gegenüber den erwähnten möglichen Angriffsmethoden.

Eine Antwort auf diese größer werdende Bedrohung war und bleibt die Etablierung und der Ausbau länderübergreifender Organisations- und Kontrollinstanzen. So wurde bereits 2018 die NIS-Cooperation Group und das Netzwerk der Computer Security Incident Response Teams (CSIRTs) geschaffen und soll durch NIS2 noch weiter gefördert werden. NIS2 soll nun vieles einfacher und unbürokratischer machen, indem über Meldeplattformen Angriffe einfach und unkomplizierter publik gemacht werden können.

Was bedeutet NIS2 für den Mittelstand?

Ein Schlagwort der NIS2-Richtlinie ist Resilienz nicht nur der kritischen Infrastruktur, sondern aller Unternehmen – gleich welcher Größe – gegenüber Cyberkriminalität. Doch was bedeutet dies für die einzelnen Unternehmen, insbesondere der Industrie?

Überall dort, wo Prozesse automatisiert stattfinden und ein hohes Maß an Vernetzung herrscht, besteht ein Risiko eines Cyberangriffs. Bislang wurden Cybersicherheitsmaßnahmen in der Industrie eher pro forma durchgeführt, wenig bis gar nicht aktualisiert und überprüft. Das soll durch die NIS 2 anders werden und Unternehmen größenunabhängig konstant auf ihre Sicherheit hin überprüft werden. Sollten bei einer derartigen Bestandsaufnahme grundlegende Mängel des Cyberschutzes festgestellt werden, drohen mit Einführung der NIS2 erhebliche Bußgelder.

Gleichzeitig soll Unternehmen die Umsetzung eines Mindestsicherheitsstandards durch die Vorlage eines Risikomanagementkonzepts erleichtert werden. Bei Unternehmen der kritischen Infrastruktur werden Unternehmen zusätzlich dazu verpflichtet, die Cybersicherheit von Lieferketten zu gewährleisten.

Anforderungen an den Einsatz von Home-Office, Social Media und Microsoft 365 umsetzen

Online-Seminar, Dauer 3,5 Stunden
2 Termine ab 05.09.2024
Online

Vor Angriffen schützen, Strategien vorbereiten und im Notfall richtig reagieren

Online-Seminar, Dauer 1 Tag
4 Termine ab 14.05.2024
Online

 

Wann tritt NIS2 in Kraft?

Zwar sind die Verhandlungen auf europäischer Ebene über die NIS2-Richtlinie bereits abgeschlossen, es fehlt aber noch das Mehrheitsvotum des EU-Parlaments – laut Experten handelt es sich dabei aber um reine Formsache.

Im Anschluss an die Abstimmung und Ratifizierung haben die EU-Mitgliedsstaaten 21 Monate Zeit, um NIS2 in nationales Recht umzusetzen.

Augsburg, 01.09.2022
Online-Redaktion AKADEMIE HERKERT

Quellen: www.europaparl.europa.eu, www.germany.representation.ec.europa.eu

Newsletter
aktuelle Neuigkeiten
wertvolles Fachwissen
verschiedene Themengebiete