NIS-2: Neue EU-Richtlinie für Cybersicherheit betrifft tausende Unternehmen
In genau einem Jahr ist es so weit, dann gilt in Österreich die neue Cybersicherheits-Richtlinie mit der Bezeichnung “NIS 2” . Um kritische Infrastruktur besser vor Cyberangriffen zu schützen, gibt es in der EU sei Jänner 2023 neue gesetzliche Vorgaben. Sie führen in 18 Sektoren weitergehende Pflichten für die Betreiber wesentlicher und wichtiger Einrichtungen ein. Betroffen sind bereits Unternehmen in diesen Sektoren ab 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Mio. Euro.
Blackout. Verkehrschaos. Versorgungsengpässe. All das kann passieren, wenn Cyberattacken Energienetze, Verkehrsinfrastrukturen und Krankenhäuser lahmlegen oder die Trinkwasserversorgung beeinträchtigen. Solche Szenarien sind längst nicht mehr nur der Stoff von dystopischer Science Fiction. Je stärker die Digitalisierung alle Bereiche durchdringt und je professioneller organisierte Banden und staatliche Cyber Warfare-Einheiten agieren, desto realer werden solche Gefahren.
Genau vor diesem Hintergrund ist die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (kurz: NIS-2-Richtlinie) zu sehen. Sie zielt darauf ab, solchen nationalen Notständen und Gefahren für die öffentliche Sicherheit vorzubeugen. Die Richtlinie ist Anfang 2023 in Kraft getreten und muss bis Oktober 2024 von den Mitgliedsstaaten in nationales Recht überführt werden.
Wie bei anderen EU-Richtlinien gilt: Jedes Land ist für die Umsetzung verantwortlich und erlässt ein entsprechendes Gesetz. In Deutschland ist zum Beispiel das NIS-2 Umsetzungsgesetz in Planung (NIS2UmsuCG). Du kannst dir die EU-Richtlinie wie eine Vorlage mit Mindestanforderungen vorstellen. Die einzelnen landesspezifischen Regelungen müssen diese Mindestvorgaben einhalten. Sie können aber auch darüber hinausgehen.
Erweiterung der Sektoren führt zu tausenden betroffenen Unternehmen
Erste EU-Vorschriften zur Cybersicherheit (NIS-1) wurden bereits 2016 eingeführt. Mit der jetzigen Modernisierung des Rechtsrahmens gehen aber völlig neue Anforderungen einher – sowohl für die Staaten der EU als auch für Unternehmen. Jeder Mitgliedsstaat muss u.a. eine nationale Cybersicherheitsstrategie verabschieden und eine Behörde für das Cyberkrisenmanagement einrichten.
Im Gegensatz zur alten Regelung sind jetzt viel mehr Unternehmen betroffen. In Österreich fielen unter NIS-1 zum Beispiel etwa 100 Betreiber kritischer Infrastrukturen. Mit NIS-2 erhöht sich die Zahl geschätzt auf bis zu 5.000 Unternehmen. In Deutschland müssen etwa 29.000 Unternehmen die neuen Vorgaben erfüllen. Viele von ihnen wissen noch nicht, was auf sie zukommt.
Der Grund dafür, dass jetzt deutlich mehr Unternehmen betroffen sind, liegt in der Ausweitung des Rechtsrahmens auf mehr Sektoren als zuvor. Die Richtlinie listet 11 wesentliche und 7 wichtige Einrichtungen (siehe Tabelle 1). Die wesentlichen Einrichtungen sind kritischer eingestuft als die wichtigen. Sie werden strikter kontrolliert und Verstöße härter sanktioniert.
Die Strafzahlungen bei Gesetzesverstößen liegen für wesentliche Einrichtungen bei maximal 10 Mio. Euro oder 2 % des weltweiten Umsatzes. Bei wichtigen Einrichtungen sind es maximal 7 Mio. Euro oder 1,4 % des Umsatzes.
| Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|
| Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) | Post- und Kurierdienste |
| Verkehr (Luft-, Schienen-, Straßenverkehr, Schifffahrt) | Abfallbewirtschaftung |
| Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Finanzmarktinfrastrukturen | Produktion, Verarbeitung und Betrieb von Lebensmitteln |
| Gesundheitswesen | Verarbeitendes Gewerbe / Herstellung von Waren (z.B. Medizinprodukte, elektrische Ausrüstung, Maschinenbau) |
| Trinkwasser | Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Plattformen sozialer Netzwerke) |
| Abwasser | Forschung |
| Digitale Infrastruktur | |
| Verwaltung von IKT-Diensten (Anbieter verwalteter Dienste / Sicherheitsdienste) | |
| Öffentliche Verwaltung | |
| Weltraum |
Tabelle 1: Übersicht der betroffenen Sektoren
Verpflichtende Meldungen und Cyber Security-Maßnahmen
Alle von NIS-2 betroffenen Unternehmen unterliegen gewissen Meldepflichten. Sie müssen ihre nationale Cybersicherheitsbehörde über Störungen, Vorfälle und Bedrohungen informieren. Darüber hinaus müssen sie eine Reihe von Cyber Security-Maßnahmen nach dem Stand der Technik umsetzen. Folgende zehn Maßnahmen sind in Art. 21, Abs. 2 der Richtlinie gelistet:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Diese Liste entspricht also den Minimalanforderungen, die in allen EU-Ländern gefordert sind. Betroffene Unternehmen sollten unbedingt die nationale Umsetzung von NIS-2 berücksichtigen, aus der sich ein konkreter Anforderungskatalog ergibt.
Auch für Unternehmen, die nicht direkt von NIS-2 betroffen sind, empfehlen wir, die nationale Umsetzung im Blick zu behalten. Die darin verankerten Maßnahmen für eine bessere Cybersicherheit sind eine gute Referenz, um die eigene Sicherheitsausstattung – und eventuelle Lücken – besser einzuschätzen.
Weiterführende Informationen:
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Jochen Jasch
Leitung Kundenbetreuung
oder ein Account Manager aus seinem Team meldet sich umgehend.