Neuigkeiten & Fachwissen
01.09.2022 | DATENSCHUTZ & IT-SICHERHEIT

Nun ist es soweit: Der Nachfolger der NIS-Richtlinie tritt voraussichtlich noch dieses Jahr in Kraft. Mit NIS 2 kommt die Richtlinie zur Netz- und Informationssicherheit Teil 2. Problematisch war an der Vorgänger Richtlinie u.a., dass zwar eine allgemeine Meldepflicht bei Sicherheitsverletzungen vorgeschrieben wurde, eine unbürokratisch und schnelle Meldung aber nicht möglich war. Gezielt an dieser Stelle möchte die NIS-2-Richtlinie Abhilfe schaffen. Aber wie genau sieht das aus? Welche Bereiche gehören fortan zur kritischen Infrastruktur?

NIS Forum Verlag Herkert GmbH

© momius – stock.adobe.com

Inhaltsverzeichnis

  1. Vorgeschichte: Die Revolutionierung europaweiter Cybersicherheit – die NIS
  2. NIS 2 – eine Verbesserung oder einfach mehr des Gleichen?
  3. Was bedeutet NIS 2 für den Mittelstand?
  4. Wann tritt NIS 2 in Kraft?

Vorgeschichte: Die Revolutionierung europaweiter Cybersicherheit – die NIS

Ziel der NIS ist und bleibt ein hohes Maß an gemeinsamer Daten-, Netz- und Informationssicherheit im europäischen Raum zu schaffen. Damit begab sich das europäische Parlament auf ungewohntes Terrain. Eine ähnliche Richtlinie hatte es bislang nicht gegeben. Daher, so war der Eindruck des Expertenrats des EU-Parlaments, musste im Jahr 2017 zwangsläufige eine EU-weite Regelung stattfinden. Grund dafür war das exponentielle Wachstum der Digitalisierung und die damit sprunghaft ansteigende Welle an Cyberangriffen auf staatliche und private Unternehmen. Das dem Ganzen zugrundeliegende Credo war, dass man aufgrund der Globalisierung nicht mehr ausreichend digitalen Schutz des eigenen Landes auf nationaler Ebene gewährleisten, sondern nur durch die Zusammenarbeit vieler Staaten einen hohen Sicherheitsstandard einhalten kann. 

Das war bereits die Bestandaufnahme vor Einführung der ersten NIS-Richtlinie vor knapp 5 Jahren. In der Theorie noch relativ stark aufgestellt, zeigte sich aber in der Praxis, dass die Erstrichtlinie deutliche Schwächen in der Umsetzung aufwies: zu viele Anforderungen, zu wenige Unterstützung einzelner Länder durch die EU und vor allem eines: die behördliche Meldung war bislang mit einem großen bürokratischen Aufwand versehen, was viele Unternehmen im Schadensfall vor der Schadensmeldung zurückschrecken ließ.

Hinzukommt, dass Teilbereiche des Informations- aber auch (digitalen) Güteraustausches nicht in der NIS enthalten waren. Genau an diesen beiden Stellen versucht nun die NIS 2 Abhilfe zu schaffen.

NIS 2 – eine Verbesserung oder mehr des Gleichen? 

Besonders im Fokus der NIS-2-Richtlinien ist die Sicherheit von Lieferketten, Meldepflichten und -fristen, gleichmäßige Aufsicht und harmonisierte Sanktionen europaweit. Gleichzeitig sollen Bevölkerung, staatliche Institutionen und kritische Infrastruktur wie Stromerzeugung, Wasserwerke und Krankenhäuser mehr vor Cyberkriminalität geschützt werden.

Die Argumentation ist dabei sowohl wirtschaftlich wie sozialpolitisch. In ihrem Thesenpapier spricht der EPRS (European Parliamentary Resarch Service) die Bedrohung und vor allem die Kosten durch Cyberangriffe an. So sei es auf lange Sicht erheblich günstiger, den unionsweiten Schutz um ein Vielfaches zu erweitern als beispielsweise Lösegeld für „entführte Daten“ zu bezahlen. Bei letzterem handelt es sich nach wie vor um die lukrativste Art der digitalen Kriminalität. So sei die Monetarisierung dieser Art der Cyberkriminalität laut EU Agency for Network Information Security (ENISA) deutlich angestiegen. Das geht einher mit dem explosionsartigen Anstieg des Online-Handels und des kontaktlosen Zahlens innerhalb der letzten 2 Jahre.

Laut Cybersecurity Ventures hat sich die Schadenshöhe in Folge von Cyberkriminalität innerhalb der letzten Jahre mehr als verdreißigfacht. Die Mittel zum Zweck der Kriminellen waren dabei meist Hacking, Schadsoftware und größtenteils Phishing. Deshalb wurde bereits basierend auf der NIS in den meisten größeren Unternehmen die bekannte Cybersecurity Awareness eingeführt. Dabei liegt der Fokus auf der Sensibilisierung der eigenen Mitarbeiter gegenüber den erwähnten möglichen Angriffsmethoden.

Eine Antwort auf diese größer werdende Bedrohung war und bleibt die Etablierung und der Ausbau länderübergreifender Organisations- und Kontrollinstanzen. So wurde bereits 2018 die NIS-Cooperation Group und das Netzwerk der Computer Security Incident Response Teams (CSIRTs) geschaffen und soll durch NIS 2 noch weiter gefördert werden. NIS 2 soll nun vieles einfacher und unbürokratischer machen, indem über Meldeplattformen Angriffe einfach und unkomplizierter publik gemacht werden können.

Was bedeutet NIS 2 für den Mittelstand?

Ein Schlagwort der NIS 2-Richtlinie ist Resilienz nicht nur der kritischen Infrastruktur, sondern aller Unternehmen – gleich welcher Größe – gegenüber Cyberkriminalität. Doch was bedeutet dies für die einzelnen Unternehmen, insbesondere der Industrie?

Überall dort, wo Prozesse automatisiert stattfinden und ein hohes Maß an Vernetzung herrscht, besteht ein Risiko eines Cyberangriffs. Bislang wurden Cybersicherheitsmaßnahmen in der Industrie eher pro forma durchgeführt, wenig bis gar nicht aktualisiert und überprüft. Das soll nun durch die NIS 2 anders werden und Unternehmen größenunabhängig konstant auf ihre Sicherheit hin überprüft werden. Sollten bei einer derartigen Bestandaufnahme grundlegende Mängel des Cyberschutzes festgestellt werden, drohen mit Einführung der NIS 2 erhebliche Bußgelder.

Gleichzeitig soll Unternehmen die Umsetzung eines Mindestsicherheitsstandards durch die Vorlage eines Risikomanagementkonzepts erleichtert werden. Bei Unternehmen der kritischen Infrastruktur werden Unternehmen zusätzlich dazu verpflichtet, die Cybersicherheit von Lieferketten zu gewährleisten.

Anforderungen an den Einsatz von Home-Office, Social Media und Microsoft 365 umsetzen

Online-Seminar, Dauer 3,5 Stunden
5 Termine ab 25.09.2023
Online

Vor Angriffen schützen, Strategien vorbereiten und im Notfall richtig reagieren

Online-Seminar, Dauer 1 Tag
5 Termine ab 14.11.2023
Online

Wann tritt NIS 2 in Kraft?

Zwar sind die Verhandlungen auf europäischer Ebene über die NIS2-Richtlinie bereits abgeschlossen, es fehlt aber noch das Mehrheitsvotum des EU-Parlaments – laut Experten handelt es sich dabei aber um reine Formsache.

Im Anschluss an die Abstimmung und Ratifizierung haben die EU-Mitgliedsstaaten 21 Monate Zeit, um NIS 2 in nationales Recht umzusetzen.

Augsburg, 01.09.2022
Online-Redaktion AKADEMIE HERKERT

Quellen: www.europaparl.europa.eu, www.germany.representation.ec.europa.eu

Newsletter
aktuelle Neuigkeiten
wertvolles Fachwissen
verschiedene Themengebiete