Am 10. November 2022 hat das EU-Parlament der NIS2 (Network and Information Security 2) zugestimmt. Sie löst damit die 2016 ins Leben gerufene Verordnung über Netz- und Informationssysteme (NIS) ab. Eine Überführung in jeweiliges nationales Recht wird in diesem Jahr erwartet. Die NIS wurde erlassen, um ein bestimmtes Sicherheitsniveau für Netze und Informationssysteme zu gewährleisten, die zu kritischen und sensiblen Infrastrukturen in den EU-Mitgliedstaaten gehören.
Mit der NIS-Richtlinie wollte die EU ihre Mitglieder anweisen, nationale und grenzüberschreitende Cyber-Sicherheitsnormen und -vorschriften zu entwickeln. Es handelte sich dabei zwar um einen guten Plan, doch die Umsetzung gestalte sich schwierig.
Die Richtlinie verließ sich stark auf den Ermessensspielraum der einzelnen Mitgliedsstaaten und ließ die erforderliche Rechenschaftspflicht vermissen. Infolgedessen wurde die Sicherheit im öffentlichen und privaten Sektor fragmentiert.
Druck durch Bedrohungsakteure steigt
Die EU handelt aufgrund der sich zuspitzenden Bedrohungslandschaft, welche Unternehmen und ihre Cyber-Abwehr zunehmend unter Druck setzt. So verzeichnete der Thales Data Threat Report 2022 zwar einen weltweiten Anstieg des Umfangs und der Schwere von Angriffen auf kritische Infrastrukturen um 44 Prozent, doch Deloitte weist für die EU-Mitgliedstaaten zwischen 2020 und 2021 sogar einen Anstieg um 220 Prozent nach.
Darüber hinaus hat der Übergang zur Telearbeit neue Schwachstellen mit sich gebracht: 79 Prozent der Unternehmen, die kritische Infrastrukturen betreiben, melden Sicherheitsbedenken. Malware und Ransomware haben sich zu den Hauptursachen für die Zunahme von Sicherheitsangriffen entwickelt, da Bedrohungsakteure mit relativ geringem Kostenaufwand große Summen erpressen können. Das derzeitige geopolitische Klima hat das Risiko von Cyber-Angriffen erhöht, insbesondere für Betreiber von KRITIS, die Ziele einer hybriden Kriegsführung werden.
Im Jahr 2020 überarbeitete die Europäische Kommission die Richtlinie, um die allgemeine Cyber-Sicherheit in der Union weiter zu stärken und neu auftretenden Cyberbedrohungen zu begegnen. Die Aufhebung der NIS-Richtlinie wird bis 2024 in Kraft treten und voraussichtlich strengere Anforderungen an einen breiteren Kreis von Akteuren stellen.
Die NIS2 verfolgt drei allgemeine Ziele:
- Erhöhung der Cyber-Resilienz eines breiten Spektrums von in der EU ansässigen Unternehmen, die in allen relevanten Branchen tätig sind und wesentliche Tätigkeiten ausüben.
- Verringerung der Unstimmigkeiten bei der Widerstandsfähigkeit des Binnenmarktes in den derzeit von der Richtlinie erfassten Branchen durch Vereinheitlichung der Cyber-Sicherheitskapazitäten.
- Verbesserung des gemeinsamen Situationsbewusstseins und der kollektiven Planungs- und Reaktionsfähigkeit durch Förderung des Informationsaustauschs und Festlegung von Normen und Verfahren für den Fall eines groß angelegten Vorfalls oder einer Krise.
Die NIS2 umfasst drei Änderungen im Vergleich zur NIS:
Ausgedehnter Anwendungsbereich
Nach der aktuellen Richtlinie sind Betreiber wesentlicher Dienste (wie Banken, Gesundheitsdienstleister, Trinkwasser- und Energieversorger) und Anbieter digitaler Dienste (einschließlich Cloud-Service-Anbieter und Online-Marktplätze) bereits verpflichtet, ihre digitale Sicherheit zu verbessern und Cyber-Vorfälle zu melden.
Die NIS2 erweitert den Anwendungsbereich der NIS um neue Branchen wie Telekommunikation, Postdienste, Social-Media-Plattformen und die öffentliche Verwaltung, zu der auch staatliche und provinziale Regierungsbehörden gehören. Einrichtungen, die in den Geltungsbereich von NIS2 fallen, werden in zwei Kategorien eingeteilt: wesentliche Einrichtungen und wichtige Einrichtungen, wobei die Unterscheidung auf der Bedeutung der angeschlossenen Sektoren beruht. Wichtige Einrichtungen sind in erster Linie mittelgroße bis große Einrichtungen, für die eine hypothetische Unterbrechung der Dienste keine schwerwiegenden gesellschaftlichen oder wirtschaftlichen Auswirkungen haben würde.
Die NIS2 wird auch für Subunternehmer und Dienstleister mit Zugang zu lebenswichtigen Infrastrukturen gelten, die in der ursprünglichen Fassung der Verordnung nicht berücksichtigt waren, da Schwachstellen in der Infrastruktur eines Dienstleisters die Sicherheit der kritischen Organisation, für die er tätig ist, gefährden könnten. Im Energiesektor beispielsweise werden die Sicherheitsvorkehrungen nicht mehr auf Stromerzeuger, -transporteure und -verteiler beschränkt sein. Alle Unterauftragnehmer für wichtige Infrastrukturen sind davon betroffen.
Verschärfte Sicherheitsanforderungen
Die NIS2 enthält eine Liste von sieben Elementen, die alle Unternehmen im Rahmen ihrer Sicherheitsmaßnahmen berücksichtigen oder umsetzen müssen:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme,
- Behandlung von Zwischenfällen (Vorbeugung, Erkennung und Reaktion auf Zwischenfälle),
- Geschäftskontinuität und Krisenmanagement,
- Sicherheit der Lieferkette,
- Sicherheit in Netzwerken und Informationssystemen,
- Richtlinien und Verfahren für Maßnahmen zum Risikomanagement im Bereich der Cyber-Sicherheit sowie
- Einsatz von Kryptographie und Verschlüsselung.
Der Vorschlag sieht ein zweistufiges Verfahren für die Meldung von Vorfällen vor. Betroffene Unternehmen müssen innerhalb von 24 Stunden nach Entdeckung eines Vorfalls einen ersten Bericht einreichen, gefolgt von einem Abschlussbericht innerhalb eines Monats.
Bei der Überwachung und Umsetzung dieser Maßnahmen werden die Verwaltungsorgane eine wichtige und aktive Rolle spielen. Was die Durchsetzung betrifft, so enthält die NIS2 eine Mindestliste von Verwaltungssanktionen, die gegen Unternehmen verhängt werden können, die gegen die Vorschriften für das Management von Cyber-Sicherheitsrisiken oder ihre Meldepflichten gemäß der Richtlinie verstoßen.
Diese Sanktionen umfassen:
- Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes,
Haftung der Geschäftsführung, - Vorübergehendes Berufsverbot von Führungskräften sowie
- Ernennung eines Kontrollbeauftragten.
Verbesserte Zusammenarbeit
Die NIS2 enthält Bestimmungen für Maßnahmen zur Stärkung des Vertrauens zwischen den zuständigen Behörden, den Informationsaustausch zwischen den zuständigen Behörden und Krisenreaktionsprotokolle.
Darüber hinaus wurde das EU Cyber Crisis Liaison Organisation Network (EU-CyCLONe) entwickelt, um die koordinierte Bewältigung von Cyber-Krisen in der gesamten EU zu erleichtern. Darüber hinaus würde die geänderte Richtlinie einen EU-Rahmen für das Krisenmanagement schaffen und die Mitgliedstaaten verpflichten, einen Plan zu erstellen und nationale zuständige Stellen zu benennen, die für die Reaktion auf Cyber-Ereignisse und -Krisen auf EU-Ebene verantwortlich sind.
Technische und organisatorische Maßnahmen laut NIS2
Der NIS2-Vorschlag enthält eine Liste von Schlüsselelementen, die alle Unternehmen im Rahmen der von ihnen getroffenen Maßnahmen berücksichtigen oder umsetzen müssen.
Insbesondere Artikel 18 – Maßnahmen für das Cyber-Security-Risikomanagement – verlangt, dass die Einrichtungen geeignete und verhältnismäßige technische und organisatorische Maßnahmen treffen und fügt hinzu, dass dabei mindestens eine der folgenden Maßnahmen getroffen werden muss:
- Maßnahmen zur Sicherheit der Lieferkette, einschließlich der Anbieter von Datenspeicherungs- und -verarbeitungsdiensten oder verwalteten Sicherheitsdiensten.
- Der Einsatz von Kryptographie und Verschlüsselung.
Was bedeutet das?
Die NIS2 nimmt Organisationen direkt in die Verantwortung. Wenn sie ihre Aktivitäten im Bereich der Informations- und Kommunikationstechnologie (IKT) auslagern, um beispielsweise Daten in der Cloud zu verarbeiten und zu speichern, müssen Organisationen zusätzliche „technische und organisatorische Maßnahmen“ ergreifen, um ihren Teil der Verantwortung zu übernehmen und so den Kontrollverlust (Auslagerung) zu kompensieren.
Die Einführung von Kryptografie und Verschlüsselung ist eine Möglichkeit für Organisationen, technische und organisatorische Maßnahmen durchzusetzen: Auf verschlüsselte Daten kann ohne zusätzliche Informationen (einen kryptografischen Schlüssel) nicht mehr zugegriffen werden, wodurch Organisationen die Kontrolle über ihre Cloud-basierten Ressourcen erhalten.
Verschlüsselung und Schlüsselverwaltungssysteme (KMS) sind „technische Maßnahmen“ und werden von Organisationen und nicht vom Cloud-Anbieter verwaltet, weshalb sie als „organisatorische Maßnahmen“ definiert werden.
Anbieter wie Thales verfügen über jahrzehntelange Erfahrung in der Unterstützung von Unternehmen und öffentlichen Einrichtungen bei der Einhaltung von Compliance-Vorschriften und bieten ein breites Portfolio an Produkten und Dienstleistungen an, mit denen Unternehmen ihre Cyber-Sicherheitskapazitäten stärken, die Sicherheit von Lieferketten gewährleisten, Berichtspflichten straffen und strengere Aufsichtsmaßnahmen sowie strengere Durchsetzungsanforderungen für NIS2 und andere Vorschriften wie GDPR und die Schrems II-Verordnung erfüllen können.
Armin Simon ist Regional Sales Director Deutschland bei Thales.