Production Perig - stock.adobe.c

NIS2-Richtlinie: Zeit für Cyberhausaufgaben in der Security

Die Security-Vorschriften der NIS2-Richtlinie gibt vielen Unternehmen allen Grund die eigene Cybersicherheit auf den Prüfstand zu stellen und auf ein höheres Niveau zu heben.

Die Europäische Union (EU) hat eine Reihe von Rechtsvorschriften auf den Weg gebracht, die die Cyberresilienz von Organisationen stärken sollen, die im Binnenmarkt tätig sind oder ihren Sitz dort haben. Insbesondere fallen zwei Regelwerke ins Gewicht: Die EU-Richtlinie 2022/2555, besser bekannt als Netzwerk- und Informationssicherheitsverordnung („NIS2“). Sie wird im Oktober 2024 in nationales Recht umgesetzt, hierfür existiert das wie dem NIS2 Umsetzungsgesetz (NIS2UmsuCG). Und die EU-Verordnung 2022/2554 über die digitale Betriebsstabilität für den Finanzsektor, bekannt als „DORA“ (Digital Operational Resilience Act). Diese wird ab Januar 2025 gelten.

Organisationen sollten sich bereits jetzt so gut wie möglich darauf vorbereiten. Dazu müssen sie verstehen, was die neuen Regeln für die Mechanismen zur Erkennung, Reaktion, Meldung und Wiederherstellung von Cybervorfällen bedeuten. Hier gilt es insbesondere die folgenden Punkte zu beachten:

  • Die neuen Verpflichtungen, die Unternehmen und EU-Mitgliedstaaten auferlegt werden, wie zum Beispiel Meldung von Vorfällen, Schulung von Mitarbeitern und Risikomanagement von Drittanbietern.
  • Die Gültigkeit der Richtlinien und Verordnungen für eine größere Gruppe von Organisationen.
  • Die Umsetzung in nationales Recht und die Folgen der Nichteinhaltung.
  • Die Anwendung der DORA-Verordnung auf den Finanzsektor sowie auf ITK-Dienstleister.

Welche Unternehmen betrifft die NIS2-Richtlinie?

Die NIS2-Richtlinie konzentriert sich hauptsächlich auf die Verantwortlichkeiten, die die Mitgliedstaaten in ihren nationalen Strategien und Prozessen umsetzen müssen. Darüber hinaus fördert sie eine kollaborative Incident-Response-Gruppe in der gesamten Europäischen Union.

Die NIS2-Richtlinie erweitert den Anwendungsbereich der früheren NIS-Richtlinie von 2016 (EU-Richtlinie 2016/1148) und gilt nun für elf „Sektoren von hoher Kritikalität“. Diese elf Sektoren sind Energie, Transport, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT Service Management im B2B-Bereich, öffentliche Verwaltung und Raumfahrt. Neben diesen „essentiellen“ Bereichen führt NIS2 sieben weitere Sektoren als „wichtig“ auf: Post- und Kurierdienste, Abfall, Chemikalien, Lebensmittel, produzierendes Gewerbe, digitale Dienste und Forschung.

Die Änderungen beim Risikomanagement

Artikel 21 der NIS2-Richtlinie listet zehn Bereiche auf, die Unternehmen in ihre Maßnahmen zum Management von Cyberrisiken einbeziehen müssen. Dazu gehören Richtlinien zur Risikoanalyse, zum Umgang mit Vorfällen, zum Krisenmanagement, zur Sicherheit der Lieferkette, zur Cybersicherheitsschulung und zur Verwendung der Multifaktor-Authentifizierung (MFA).

NIS2-Meldepflichten

Die NIS2-Richtlinie schreibt vor, dass (1) erhebliche Vorfälle innerhalb von 24 Stunden in Form einer „Frühwarnung“ an das zuständige Computer Security Incident Response Team (CSIRT) oder die zuständige Behörde gemeldet werden müssen, (2) innerhalb von 72 Stunden eine Bewertung einschließlich Schweregrad und Auswirkungen vorgelegt werden soll und (3) ein detaillierterer Bericht einschließlich einer Ursachenanalyse spätestens einen Monat nach der Bewertung vorgelegt werden soll.

Strafen und Bußgelder

Die NIS-2-Richtlinie sieht vor, dass die Mitgliedstaaten Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Gesamtjahresumsatzes für „essentielle“ Unternehmen beziehungsweise sieben Millionen Euro oder 1,4 Prozent des weltweiten Gesamtjahresumsatzes für „wichtige“ Unternehmen verhängen können, je nachdem, welcher Betrag höher ist.

Verantwortlichkeiten laut NIS2-Richtlinie

Artikel 32 der NIS2-Richtlinie beschreibt, warum eine Einrichtung die Verantwortung für ihre Entscheidungen und ihr Verhalten zur Reduzierung von Cyberrisiken übernehmen muss. Der Artikel sieht vor, dass die zuständigen Behörden der Mitgliedstaaten die Befugnis haben, die Zertifizierung einer Einrichtung vorübergehend auszusetzen, die es ihr sonst erlauben würde, eine bestimmte Dienstleistung anzubieten oder Tätigkeit auszuüben. Darüber hinaus können die zuständigen Behörden einer Person, wie zum Beispiel einem CEO oder einem gesetzlichen Vertreter, die Ausübung ihrer Führungsaufgaben untersagen. In der Richtlinie ist die Anforderung verankert, dass Unternehmen Vor-Ort-Inspektionen und regelmäßige Sicherheitsüberprüfungen akzeptieren und auf Anfrage Nachweise für die Umsetzung der Cybersicherheitsrichtlinien erbringen müssen. Eine weitere Möglichkeit für die Behörden besteht darin, eine betroffene Organisation anzuweisen, Verstöße gegen die Richtlinie öffentlich bekannt zu machen.

Risiken durch Dritte

Viele Unternehmen sind sich inzwischen der Risiken bewusst, die sich aus Beziehungen innerhalb ihrer Lieferketten ergeben. Die NIS2-Richtlinie widmet sich der Sicherheit der Lieferkette und legt nahe, dass Risikobewertungen der Lieferketten von ITK-Produkten durchgeführt werden können und die Beziehung zwischen einem Unternehmen und seinen Lieferanten oder Dienstleistern einer genauen Prüfung unterzogen werden sollte. Die Richtlinie bietet auch eine Möglichkeit zum Informationsaustausch zwischen Gemeinschaften von Unternehmen und ihren Lieferanten und Dienstleistern, unterstützt durch ENISA. Dieser Informationsaustausch kann Bedrohungsinformationen, IOCs (Indicators of Compromise), Taktiken von Bedrohungsakteuren und Empfehlungen zur Konfiguration von Tools umfassen und so die Widerstandsfähigkeit von Unternehmen über ihre gesamte Lieferkette und internationalen Tätigkeitsfeldern hinweg erhöhen.

NIS2 – Wechselwirkungen mit DSGVO und DORA

Artikel 35 der NIS2-Richtlinie bestimmt, dass die Aufsichtsbehörden gemäß der DSGVO informiert werden müssen, wenn der Verstoß eine Verletzung personenbezogener Daten beinhaltet. Die NIS2-Richtlinie steht also in Wechselwirkung mit der DSGVO. Die meisten Unternehmen haben ihre Prozesse bereits angepasst, um DSGVO-konform zu sein. NIS2 sollte ein Anlass sein, die Datenschutzmaßnahmen neu zu überdenken und, wenn möglich, auf ein höheres Niveau zu heben.

Carl Leonard, Proofpoint

„Die meisten Unternehmen haben ihre Prozesse bereits angepasst, um DSGVO-konform zu sein. NIS2 sollte ein Anlass sein, die Datenschutzmaßnahmen neu zu überdenken und, wenn möglich, auf ein höheres Niveau zu heben.“

Carl Leonard, Proofpoint

NIS2 geht auch auf sektorspezifische Vorschriften der EU ein. Speziell nennt NIS2 die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act: DORA), die für Finanzunternehmen und die ITK-Dienstleister dieser Unternehmen gilt. Maßgeblich sind für diese Unternehmen die DORA-Bestimmungen zum Risikomanagement, Vorfallmanagement, der Meldung von Vorfällen, Tests der Resilienz, Informationsaustausch und Risiken durch Dritte, anstelle der entsprechenden NIS2-Vorgaben.

Die NIS2-Richtlinie wurde im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht. Die Mitgliedstaaten sind verpflichtet, die zur Einhaltung der NIS-2-Richtlinie erforderlichen Maßnahmen bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen und diese Maßnahmen ab dem 18. Oktober 2024 anzuwenden. DORA wurde ebenfalls im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und wird ab dem 17. Januar 2025 gelten.

Was ist zu tun?

Es kann schwierig sein zu beurteilen, ob eine Organisation genug getan hat, um die erwarteten Maßnahmen zu erfüllen. Doch der Geist und die Betonung der Richtlinie sind klar, und Unternehmensleitung und IT-Leitung müssen jetzt alles daran setzen, ihre derzeitigen Fähigkeiten und Lücken zu verstehen und zu untersuchen, was sie tun können, um ihre Cyberresilienz und Sicherheitslage zu verbessern.

Über den Autor:
Carl Leonard ist Cybersecurity Strategist EMEA bei Proofpoint.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management