Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtige Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an [email protected] Weitere Informationen finden Sie in unserer Datenschutzerklärung unter akademie-herkert.de/datenschutz
Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt. Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link. Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.
Hier ist leider etwas schiefgelaufen. Bitte versuchen Sie es nochmals nachdem Sie die Seite neu geladen haben. Sollte der Fehler weiterhin bestehen, kontaktieren Sie bitte unseren Kundenservice per E-Mail an [email protected] oder unter 08233 381-123 (Mo - Do 8.00 - 17.00 Uhr, Fr 8.00 - 15.00 Uhr).
Nun ist es soweit: Der Nachfolger der NIS-Richtlinie tritt voraussichtlich noch dieses Jahr in Kraft. Mit NIS 2 kommt die Richtlinie zur Netz- und Informationssicherheit Teil 2. Problematisch war an der Vorgänger Richtlinie u.a., dass zwar eine allgemeine Meldepflicht bei Sicherheitsverletzungen vorgeschrieben wurde, eine unbürokratisch und schnelle Meldung aber nicht möglich war. Gezielt an dieser Stelle möchte die NIS-2-Richtlinie Abhilfe schaffen. Aber wie genau sieht das aus? Welche Bereiche gehören fortan zur kritischen Infrastruktur?
© momius – stock.adobe.com
Inhaltsverzeichnis
Ziel der NIS ist und bleibt ein hohes Maß an gemeinsamer Daten-, Netz- und Informationssicherheit im europäischen Raum zu schaffen. Damit begab sich das europäische Parlament auf ungewohntes Terrain. Eine ähnliche Richtlinie hatte es bislang nicht gegeben. Daher, so war der Eindruck des Expertenrats des EU-Parlaments, musste im Jahr 2017 zwangsläufige eine EU-weite Regelung stattfinden. Grund dafür war das exponentielle Wachstum der Digitalisierung und die damit sprunghaft ansteigende Welle an Cyberangriffen auf staatliche und private Unternehmen. Das dem Ganzen zugrundeliegende Credo war, dass man aufgrund der Globalisierung nicht mehr ausreichend digitalen Schutz des eigenen Landes auf nationaler Ebene gewährleisten, sondern nur durch die Zusammenarbeit vieler Staaten einen hohen Sicherheitsstandard einhalten kann.
Das war bereits die Bestandaufnahme vor Einführung der ersten NIS-Richtlinie vor knapp 5 Jahren. In der Theorie noch relativ stark aufgestellt, zeigte sich aber in der Praxis, dass die Erstrichtlinie deutliche Schwächen in der Umsetzung aufwies: zu viele Anforderungen, zu wenige Unterstützung einzelner Länder durch die EU und vor allem eines: die behördliche Meldung war bislang mit einem großen bürokratischen Aufwand versehen, was viele Unternehmen im Schadensfall vor der Schadensmeldung zurückschrecken ließ.
Hinzukommt, dass Teilbereiche des Informations- aber auch (digitalen) Güteraustausches nicht in der NIS enthalten waren. Genau an diesen beiden Stellen versucht nun die NIS 2 Abhilfe zu schaffen.
Besonders im Fokus der NIS-2-Richtlinien ist die Sicherheit von Lieferketten, Meldepflichten und -fristen, gleichmäßige Aufsicht und harmonisierte Sanktionen europaweit. Gleichzeitig sollen Bevölkerung, staatliche Institutionen und kritische Infrastruktur wie Stromerzeugung, Wasserwerke und Krankenhäuser mehr vor Cyberkriminalität geschützt werden.
Die Argumentation ist dabei sowohl wirtschaftlich wie sozialpolitisch. In ihrem Thesenpapier spricht der EPRS (European Parliamentary Resarch Service) die Bedrohung und vor allem die Kosten durch Cyberangriffe an. So sei es auf lange Sicht erheblich günstiger, den unionsweiten Schutz um ein Vielfaches zu erweitern als beispielsweise Lösegeld für „entführte Daten“ zu bezahlen. Bei letzterem handelt es sich nach wie vor um die lukrativste Art der digitalen Kriminalität. So sei die Monetarisierung dieser Art der Cyberkriminalität laut EU Agency for Network Information Security (ENISA) deutlich angestiegen. Das geht einher mit dem explosionsartigen Anstieg des Online-Handels und des kontaktlosen Zahlens innerhalb der letzten 2 Jahre.
Laut Cybersecurity Ventures hat sich die Schadenshöhe in Folge von Cyberkriminalität innerhalb der letzten Jahre mehr als verdreißigfacht. Die Mittel zum Zweck der Kriminellen waren dabei meist Hacking, Schadsoftware und größtenteils Phishing. Deshalb wurde bereits basierend auf der NIS in den meisten größeren Unternehmen die bekannte Cybersecurity Awareness eingeführt. Dabei liegt der Fokus auf der Sensibilisierung der eigenen Mitarbeiter gegenüber den erwähnten möglichen Angriffsmethoden.
Eine Antwort auf diese größer werdende Bedrohung war und bleibt die Etablierung und der Ausbau länderübergreifender Organisations- und Kontrollinstanzen. So wurde bereits 2018 die NIS-Cooperation Group und das Netzwerk der Computer Security Incident Response Teams (CSIRTs) geschaffen und soll durch NIS 2 noch weiter gefördert werden. NIS 2 soll nun vieles einfacher und unbürokratischer machen, indem über Meldeplattformen Angriffe einfach und unkomplizierter publik gemacht werden können.
Ein Schlagwort der NIS 2-Richtlinie ist Resilienz nicht nur der kritischen Infrastruktur, sondern aller Unternehmen – gleich welcher Größe – gegenüber Cyberkriminalität. Doch was bedeutet dies für die einzelnen Unternehmen, insbesondere der Industrie?
Überall dort, wo Prozesse automatisiert stattfinden und ein hohes Maß an Vernetzung herrscht, besteht ein Risiko eines Cyberangriffs. Bislang wurden Cybersicherheitsmaßnahmen in der Industrie eher pro forma durchgeführt, wenig bis gar nicht aktualisiert und überprüft. Das soll nun durch die NIS 2 anders werden und Unternehmen größenunabhängig konstant auf ihre Sicherheit hin überprüft werden. Sollten bei einer derartigen Bestandaufnahme grundlegende Mängel des Cyberschutzes festgestellt werden, drohen mit Einführung der NIS 2 erhebliche Bußgelder.
Gleichzeitig soll Unternehmen die Umsetzung eines Mindestsicherheitsstandards durch die Vorlage eines Risikomanagementkonzepts erleichtert werden. Bei Unternehmen der kritischen Infrastruktur werden Unternehmen zusätzlich dazu verpflichtet, die Cybersicherheit von Lieferketten zu gewährleisten.
Anforderungen an den Einsatz von Home-Office, Social Media und Microsoft 365 umsetzen
Vor Angriffen schützen, Strategien vorbereiten und im Notfall richtig reagieren
Zwar sind die Verhandlungen auf europäischer Ebene über die NIS2-Richtlinie bereits abgeschlossen, es fehlt aber noch das Mehrheitsvotum des EU-Parlaments – laut Experten handelt es sich dabei aber um reine Formsache.
Im Anschluss an die Abstimmung und Ratifizierung haben die EU-Mitgliedsstaaten 21 Monate Zeit, um NIS 2 in nationales Recht umzusetzen.
Augsburg, 01.09.2022Online-Redaktion AKADEMIE HERKERT
Quellen: www.europaparl.europa.eu, www.germany.representation.ec.europa.eu
