Die NIS-2-Richtlinie, oder Network and Information Security 2, stellt eine wichtige Entwicklung zur Stärkung der Cybersicherheit in der gesamten Europäischen Union dar. Sie wurde verabschiedet, um der ständigen Zunahme von Cyberbedrohungen entgegenzuwirken, und muss ab dem 17. Oktober 2024 in jedem EU-Mitgliedsland umgesetzt werden. Sie zielt darauf ab, das Niveau der IT-Sicherheit und der Cyber-Resilienz für eine Vielzahl kritischer Infrastrukturen und grundlegender europäischer Dienstleistungen zu stärken. Doch wie schaffen es die europäischen Staaten, den Anforderungen der NIS2 gerecht zu werden? Welche Herausforderungen müssen sie meistern? Dieser Artikel bietet einen detaillierten Überblick über die aktuelle Umsetzung der NIS2 und ihre Auswirkungen auf Staaten und Unternehmen.
Hintergrund und Ziele der NIS2
Die NIS-2-Richtlinie ist eine verbesserte Version der ersten NIS-Richtlinie, die darauf abzielte, die Anforderungen an die Cybersicherheit in der EU zu vereinheitlichen. Mit der Entwicklung von Cyberangriffen, die von staatlichen und staatsnahen Akteuren ausgehen, wurde es notwendig, die Sicherheit von Netzwerken und Informationssystemen zu erhöhen. Zu den Zielen der NIS2 gehören die Erhöhung der Widerstandsfähigkeit kritischer Infrastrukturen, die Klärung der Verantwortung von Unternehmen für die Cybersicherheit und die Ausweitung des Anwendungsbereichs auf neue Wirtschaftssektoren.
Welche Unterschiede bestehen zwischen NIS1 und NIS2?
Die NIS2 unterscheidet sich in mehreren wichtigen Punkten von der NIS1. Zum einen erweitert sie ihren Anwendungsbereich von 10 auf 18 betroffene Sektoren und umfasst nun Bereiche wie Gesundheit, Energie, Finanzen und sogar Verkehr. Zum anderen ersetzt sie die Bezeichnung „Betreiber wesentlicher Dienste“ durch zwei Kategorien von Einrichtungen: wesentliche Einrichtungen und wichtige Einrichtungen. Darüber hinaus führt sie strengere Meldepflichten ein und sieht neue Strafen bei Nichteinhaltung vor.
Im Gegensatz zur NIS1 gibt die neue Richtlinie der Unternehmensleitung eine direkte Verantwortung. Sie müssen daher sicherstellen, dass ihre Organisation mit der NIS-2-Richtlinie konform ist. Das bedeutet, dass sie Cybersicherheitsstrategien persönlich überwachen und an Audits teilnehmen müssen. Außerdem müssen sie in der Lage sein, die durchgeführten Maßnahmen zur Verhinderung von Cyberangriffen zu rechtfertigen.
Anforderungen an die Cybersicherheit mit NIS2
Sicherheitspflichten für Unternehmen
Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen eine Reihe von Sicherheitsstrategien zum Schutz ihrer Informationssysteme einführen. Diese Maßnahmen dienen dazu, Risiken vorausschauend zu beherrschen, insbesondere indem Netzwerke und Systeme abgesichert werden sowie durch die Überwachung ihrer Lieferanten und Subunternehmer.
Schutz der Netzwerkarchitektur
Die NIS-2-Richtlinie verpflichtet Unternehmen, die Sicherheit ihrer Netzwerke und Systeme zu erhöhen, um das Risiko von Eindringlingen und Destabilisierung zu minimieren. Sie empfiehlt insbesondere die Abschottung von Netzwerken und Fernzugriffen. Es ist ebenfalls ratsam, Systeme zur Erkennung von Angriffen zu implementieren, Firewalls zu benutzen und regelmäßig Schwachstellentests durchzuführen. In Deutschland haben Unternehmen wie Siemens fortschrittliche Systeme zur Analyse und Erkennung von Bedrohungen eingeführt, um die Cybersicherheitsanforderungen von NIS2 zu erfüllen (Quelle: siemens.com).
Meldepflichten über Vorfälle
Eine der wichtigsten Anforderungen, die die neue Richtlinie mit sich bringt, ist die Pflicht zur unverzüglichen Meldung von Vorfällen. Einrichtungen, die der NIS-2-Richtlinie unterliegen, müssen den zuständigen Behörden jeden größeren Vorfall innerhalb von 24 Stunden melden. Damit soll eine schnelle und koordinierte Reaktion auf Cyberangriffe ermöglicht werden. In Belgien hat das Zentrum für Cybersicherheit „Centre pour la Cybersécurité Belgique“ (CCB) eine digitale Plattform eingerichtet. Sie erleichtert das Melden von Vorfällen und das Cyber Emergency Response Team (CERT) kann einfacher um Unterstützung gebeten werden (Quelle: cert.be).
Compliance und Audits unter der NIS2
Um die Einhaltung der NIS2 nachzuweisen, müssen sich Organisationen regelmäßigen Kontrollen unterziehen. Diese Audits dienen dazu zu überprüfen, ob die Cybersicherheitsmaßnahmen ordnungsgemäß umgesetzt sind und die in der Richtlinie festgelegten Standards erfüllen.
Es ist wichtig zu wissen, dass eine ISO 27001-Zertifizierung einer Organisation nicht automatisch bedeutet, dass die neue Richtlinie erfüllt ist. Wie Orange Cyber Defence auf seiner Webseite hervorhebt, ist „eine ISO 27001-Zertifizierung eine gute Grundlage für die Einhaltung der NIS2, da sie einen Rahmen für das Sicherheitsmanagement bietet, der einen Großteil der Anforderungen abdeckt“.
Die Umsetzung der NIS-2-Richtlinie innerhalb Europas
Wie kann man die Fortschritte der EU-Mitgliedstaaten messen?
Die Umsetzung der NIS-2-Richtlinie erfolgt nicht in allen Mitgliedstaaten einheitlich. Einige Länder haben sich bereits seit mehreren Monaten oder sogar Jahren auf ihre Einführung vorbereitet, während andere erst spät mit dem Vorgang begannen. Um die Fortschritte der Mitgliedsländer zu messen, müssen mehrere Aspekte berücksichtigt werden, darunter:
- Stand der Gesetzgebung (Veröffentlichung des Gesetzentwurfs, Verabschiedung usw.)
- Zeitplan für die Umsetzung
- Benennung der zuständigen Behörden (Überprüfung der Umsetzung, Begleitung usw.)
- Identifizierung wesentlicher und wichtiger Einheiten
- Schulung und Sensibilisierung
- Mechanismen zur Meldung von Vorfällen
Hier ein Überblick über die beobachteten Fortschritte:
Länderübergreifender Vergleich zur Umsetzung der NIS2
Belgien
In Belgien schreitet die Umsetzung der NIS2 schnell voran. Der Gesetzentwurf wurde im April 2024 verabschiedet und die praktischen Umsetzungsmodalitäten werden derzeit fertiggestellt. Das belgische Zentrum für Cybersicherheit (CCB) hat einen Referenzrahmen geschaffen, der insbesondere auf der Norm ISO 27001 basiert und die Konformität der betroffenen Unternehmen sicherstellen soll. Dieser Rahmen, genannt „CyberFundamentals“, bietet konkrete Maßnahmen zur Verringerung des Risikos von Cyberangriffen. Er ermöglicht es Organisationen, je nach Schwere ihrer Bedrohung auf verschiedene Sicherheitsstufen zuzugreifen, die von „Small“ bis „Essential“ reichen. Zusätzlich kann mit dem Self-Assessment-Tool CyFun überprüft werden, inwieweit die zuvor empfohlenen Maßnahmen zur Einhaltung der NIS2 umgesetzt wurden.
Seit dem Inkrafttreten der NIS-2-Richtlinie am 18. Oktober 2024 haben Unternehmen fünf Monate Zeit, sich bei SafeonWeb zu registrieren. Für Unternehmen aus bestimmten Sektoren der Informations- und Kommunikationstechnologie gilt eine verkürzte Frist von zwei Monaten. Sie müssen sich erstmals 18 Monate nach Inkrafttreten des Gesetzes einer Bewertung unterziehen. Die CyberFundamentals- oder ISO 27001-Zertifizierung ist innerhalb von 36 Monaten nach der nationalen Umsetzung der NIS2 für die betroffene Organisation erforderlich. (Quelle: CCB)
Deutschland
Deutschland hat bei der Umsetzung der Vorschriften einen progressiveren Ansatz gewählt. Das Land hat mehrere Versionen seines Gesetzentwurfs veröffentlicht, aber die vollständige Umsetzung ist für 2025 geplant. Der deutsche Rechtsrahmen stützt sich auf die KRITIS-Verordnung, die Maßnahmen für die Sicherheit und Resilienz kritischer Infrastrukturen erlässt, sowie auf das BSI-Gesetz, das dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aufsicht zuweist.
Frankreich
In Frankreich führt die „Agence nationale de la sécurité des systèmes d’information“, abgekürzt ANSSI (dt.: Nationale Agentur für die Sicherheit von Informationssystemen), die Umsetzung der NIS2 in einem partizipativen Verfahren mit allen betroffenen Akteuren durch.
Der Gesetzestext wurde jedoch immer noch nicht verabschiedet: Er wurde dem Parlament erst am 15. Oktober 2024 vorgelegt, also nur wenige Tage vor dem Stichtag für die nationale Umsetzung der Richtlinie. Bisher bestanden Unklarheiten darüber, wie die Kommunalverwaltungen in die Sicherheitsanforderungen einbezogen werden sollten. Im Mai 2024 organisierte die ANSSI Gespräche mit den von der Richtlinie betroffenen Berufsverbänden einerseits und den Verbänden der gewählten Vertreter von Gebietskörperschaften andererseits. Ziel dieser Gespräche war es, den Kreis der betroffenen Unternehmen genauer zu bestimmen und die angewandten Sicherheitsmaßnahmen zu klären. Eine Erhöhung des „CyberSecurity-Reifegrads territorialer Gebietskörperschaften“ und eine Harmonisierung der IT-Sicherheit auf regionaler Ebene wurden mit der NIS2 als wichtige Ziele definiert.
Um dies zu erreichen, muss öffentlichen und privaten Organisationen Zeit eingeräumt werden. Deshalb erklärte Vincent Strubel, Generaldirektor der ANSSI, bei den Hexatrust Sommeruniversitäten im September 2024, dass Unternehmen, die in den ersten drei Jahren nach Inkrafttreten der NIS2 nicht alle Anforderungen erfüllen, keine Sanktionen zu befürchten haben.
Die Plattform „Mon Espace NIS 2“ ermöglicht Organisationen:
- sich über die neue Richtlinie zu informieren,
- zu prüfen, ob sie von der NIS2 betroffen sind,
- sich demnächst bei der ANSSI zu registrieren.
Kroatien
Kroatien gehört zu den Ländern, die bei der Umsetzung der NIS2 am weitesten vorangeschritten sind. Dort wurde bereits ein Gesetzentwurf verabschiedet. Im Februar 2024 trat der Croatian Cyber Security Act (CSA) in Kraft, der die neue Richtlinie teilweise umsetzte. Bis Februar 2025 müssen die zuständigen Behörden die von diesem Gesetz betroffenen Organisationen benachrichtigen. Diese haben dann ein Jahr Zeit, um sich an die Maßnahmen des CSA anzupassen. (Quelle: Wavestone)
Ungarn
In Ungarn wurde die NIS-2-Richtlinie im Mai 2023 umgesetzt, nachdem das Gesetz 23 von 2023 über die Zertifizierung und Überwachung der Cybersicherheit verabschiedet worden war. Gemäß den ungarischen Rechtsvorschriften zur Umsetzung der NIS-2-Richtlinie hatten die betroffenen nationalen Organisationen bis zum 30. Juni 2024 Zeit, sich als wesentliche Einrichtung (EE) oder wichtige Einrichtung (EI) registrieren zu lassen (Quelle: DLA Piper). Unternehmen, die von der NIS2 betroffen sind, waren verpflichtet, vor dem 18. Oktober 2024 Sicherheitsmaßnahmen zu implementieren, die dem Risiko ihrer IT-Systeme entsprechen. Zudem mussten sie eine Überwachungsgebühr an die nationale Aufsichtsbehörde für Cybersicherheit „SZTFH“ (Szabályozott Tevékenységek Felügyeleti Hatósága) entrichten.
Rechtliche und administrative Herausforderungen bei der Umsetzung
Rechtliche Komplexität der NIS2
Die Mitgliedstaaten stehen vor einer komplexen rechtlichen Aufgabe bei der Umsetzung der NIS2, denn die Richtlinie erfordert eine gründliche Überarbeitung der nationalen Rechtsrahmen. Das kann sich als langwierig und politisch heikel erweisen. Die Unterschiede zwischen den Rechtssystemen der Länder machen es ebenfalls schwierig, einheitliche Anforderungen an die Cybersicherheit zu stellen. Laut einer von Mayer Brown durchgeführten Analyse stellt die Fragmentierung des Rechtsrahmens in der EU ein großes Hindernis für eine einheitliche Umsetzung der NIS2 dar (Quelle: Mayer Brown, Analyse 2024).
Verantwortlichkeit von Führungskräften
Durch die NIS2 wird die Unternehmensleitung persönlich haftbar und muss die Umsetzung von Cybersicherheitsmaßnahmen nachweisen. Diese Entwicklung soll sicherstellen, dass die Cybersicherheit auf der höchsten Managementebene eine Priorität darstellt, führt aber auch zu zusätzlichen Herausforderungen. Für kleine Unternehmen kann sie durchaus eine Belastung darstellen. Eine kürzlich von Ivanti durchgeführte Umfrage unter 3 000 Unternehmensleitern und IT- sowie Sicherheitsexperten weltweit zeigt: „Die Mehrheit (55 %) der IT- und Sicherheitsexperten ist der Meinung, dass ihre Führungskräfte (ohne IT-Hintergrund) die Bedeutung des Schwachstellenmanagements nicht ausreichend verstehen.“ Diese Einschätzung wird von 47 % der Führungskräfte, die nicht aus dem IT-Bereich kommen, bestätigt. Sie räumen ein, dass sie das Konzept nur unzureichend begreifen. Man hofft, dass die Umsetzung der NIS-2-Richtlinie den Weg für mehr Schulungen und Sensibilisierung von Führungskräften zu diesem Thema ebnen kann.
Fazit: Eine maßgebliche, aber mühsame Vereinheitlichung
Die Umsetzung der NIS-2-Richtlinie ist ein komplizierter Prozess, der von allen EU-Mitgliedstaaten gemeinsam angegangen werden muss. Die unterschiedlichen Gesetzgebungsverfahren, die Herausforderungen, die sich aus der größeren Verantwortung der Führungskräfte ergeben, und die Ausweitung der betroffenen Bereiche erschweren die Einführung. Trotzdem ist diese Richtlinie von entscheidender Bedeutung, um die Widerstandsfähigkeit der kritischen Infrastrukturen Europas gegenüber den zunehmenden Cyberbedrohungen zu stärken. Auch wenn nicht alle Länder gleich weit fortgeschritten sind und nicht alle gleichzeitig bereit sein werden, müssen sie bis April 2025 in der Lage sein, der Europäischen Kommission eine Liste ihrer wesentlichen und wichtigen Einrichtungen zu übermitteln. Es bleibt abzuwarten, ob diese kurzfristigen Bemühungen zu einer dauerhaften, einheitlichen und insgesamt höheren Cybersicherheit in ganz Europa führen.
Infografik herunterladen
FAQ
Die NIS-2-Richtlinie ist eine europäische Verordnung, die darauf abzielt, die Cybersicherheit in allen Mitgliedstaaten zu vereinheitlichen und zu stärken. Sie soll die Sicherheit von Netzwerken und Informationssystemen schützen und schafft einen neuen Rahmen für eine robustere Cybersicherheit. Diese europäische Richtlinie wurde im Oktober 2024 verabschiedet und soll den Schutz vor wachsenden Cyberbedrohungen erhöhen, indem sie die Zusammenarbeit zwischen den Mitgliedstaaten verbessert und höhere Sicherheitsanforderungen für kritische Infrastrukturen festlegt.
Die Auswirkungen der NIS-2-Richtlinie auf Unternehmen sind erheblich. Sie legt größere Verpflichtungen im Bereich Cybersicherheit fest, wie zum Beispiel verstärkte Sicherheitsmaßnahmen und ein strengeres Risikomanagement für die betroffenen Unternehmen. Der geforderte IT-Sicherheitsstandard ist hoch und beinhaltet Meldepflichten bei Sicherheitsvorfällen, regelmäßige Prüfungen und die Einhaltung internationaler Normen wie ISO 27001. Dadurch können Unternehmen sich besser auf die ständig wachsenden Cyberbedrohungen vorbereiten.
Um sich auf die Einhaltung der NIS2 vorzubereiten, ist es unerlässlich, einen Plan zu erstellen. Dieser Plan beinhaltet eine Risikobewertung, Schulungen für die Mitarbeiter und die Einführung von Verwaltungsmaßnahmen, die den neuen Verpflichtungen entsprechen. Wesentliche Einrichtungen müssen außerdem sicherstellen, dass sie eine nationale Strategie zur Stärkung ihrer Cybersicherheit verfolgen und die von der Richtlinie vorgeschriebenen Standards erfüllen. Auch Schulungen sind entscheidend, um sicherzustellen, dass alle Beteiligten ihre Verantwortlichkeiten und die zu ergreifenden Sicherheitsmaßnahmen verstehen.
Die NIS-2-Richtlinie betrifft eine Vielzahl von Einrichtungen in 18 Sektoren, darunter Betreiber wesentlicher Dienste, Unternehmen in kritischen Sektoren wie Energie, Gesundheit und Finanzen sowie bestimmte lokale und regionale Behörden. Darüber hinaus gilt sie auch für Unternehmen aus Drittländern, die in der Europäischen Union tätig sind. Jeder Mitgliedstaat ist über seine nationale Behörde dafür zuständig, die betroffenen Einrichtungen zu ermitteln.
Die NIS-2-Richtlinie führt ein strenges System von Sanktionen für Verstöße gegen die Einhaltung der Vorschriften ein. Unternehmen, die die Anforderungen an die Cybersicherheit nicht erfüllen, müssen mit hohen Bußgeldern rechnen. Auch die Geschäftsführung kann zur Verantwortung gezogen werden. Die Höhe der Sanktionen kann sich am Prozentsatz des Umsatzes orientieren, je nach dem nationalen Recht jedes Mitgliedstaats. Diese Strafen sollen sicherstellen, dass die Unternehmen die festgelegten Sicherheitsstandards einhalten.
Die NIS-2-Richtlinie ist offiziell seit Oktober 2024 in Kraft. Die Mitgliedstaaten hatten bis zu diesem Datum Zeit, die Richtlinie in nationales Recht umzusetzen. Jedoch gewähren einige Länder wie Frankreich eine längere Frist, ohne dass Sanktionen drohen. Jedes Land muss die entsprechenden Gesetze im Amtsblatt veröffentlichen und so sicherstellen, dass alle betroffenen Einrichtungen die neuen Cybersicherheitsanforderungen innerhalb der vorgegebenen Frist erfüllen.
Die NIS-2-Richtlinie erhöht die Cybersicherheit, indem sie für alle Mitgliedstaaten einheitliche Regeln schafft und so ein höheres Maß an Schutz anstrebt. Sie definiert konkrete Sicherheitsmaßnahmen für kritische Infrastrukturen, verbessert den Datenschutz und schützt die öffentliche Sicherheit. Die Richtlinie soll Cyberrisiken reduzieren, indem sie regelmäßige Prüfungen, eine bessere Zusammenarbeit zwischen den Mitgliedstaaten und klare Maßnahmen zur Abwehr von Cyberangriffen und zur Erhöhung der Widerstandsfähigkeit von Informationssystemen vorschreibt.