Diese europaweite Regelung zur Verbesserung der Cybersicherheit verfolgt einen völlig neuen Ansatz. Sie umfasst zahlreiche Anforderungen zur Steigerung des Gesamtniveaus der Cybersicherheit in den europäischen Organisationen. Die Unternehmen werden sich daran halten müssen, und zwar schnell.
Nachfolgend die wichtigsten Entwicklungen der neuen NIS2-Richtlinie:
NIS2: Erweiterung des Aktionsbereichs von NIS1
2016 wurde die Richtlinie „Network and Information Security“ (NIS) vom Europäischen Parlament und vom Rat der Europäischen Union verabschiedet. Ihr Hauptziel war es, die Cybersicherheit wesentlicher Dienste in zehn kritischen Sektoren zu erhöhen. In Frankreich waren das etwa hundert Akteure.
Angesichts zunehmender Cyberbedrohungen in einem angespannten geopolitischen Kontext sind immer mehr Unternehmen und Institutionen von der Gefahr von IT-Sicherheitsvorfällen betroffen.
Aus diesem Grund hat Europa bereits Ende 2022 eine Erweiterung dieser NIS1-Richtlinie mit NIS2 veröffentlicht. Ziel ist es, die Anwendung der Richtlinie auf weitere Sektoren auszuweiten und die Anforderungen an die Cybersicherheit zu verschärfen.
Daher verfolgt diese neue Richtlinie einen ganzheitlichen, gefahrenübergreifenden Ansatz. Mit anderen Worten: Sie schreibt einem breiten Spektrum von Organisationen vor, ihre Netzwerke und Informationssysteme durch die Kombination verschiedener Cyberstrategien besser zu schützen. Dies beinhaltet:
- Risikoanalyse,
- Vorfallsmanagement,
- Fortführung der Geschäftstätigkeit,
- Sicherheit der Lieferkette
- sowie die Verwendung sicherer Kommunikationssysteme für den Notfall innerhalb der Organisation.
Alle (oder nahezu alle) Sektoren sind betroffen
Künftig werden Tausende von Unternehmen in mehr als 18 Sektoren unter die NIS2-Richtlinie fallen. Betroffen sind alle privatwirtschaftlichen oder öffentlichen Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro. Dazu gehören Unternehmen der Digitalwirtschaft oder bestimmte Behörden oder Körperschaften, die in den vergangenen Monaten verstärkt Ziele von Cyberangriffen wurden. Diese Sektoren werden in zwei Kategorien eingestuft: hoch kritische Sektoren und kritische Sektoren.
Zu den als hoch kritisch eingestuften Sektoren zählen:
- Energie
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit
- Trinkwasser
- Abwässer
- Digitale Infrastruktur
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltungen
- Weltraum
Kritische Sektoren sind:
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Herstellung
- Digitale Anbieter
- Forschung
Zwei neue Kategorien von Unternehmen
Eine weitere Neuerung von NIS2 ist die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen. Diese Einstufung erfolgt entsprechend der Kritikalität, der Anzahl der Mitarbeiter und dem weltweiten Umsatz der betroffenen Unternehmen. Große Unternehmen haben mindestens 250 Mitarbeiter und/oder einen Jahresumsatz von mindestens 50 Millionen Euro. Mittlere Unternehmen haben mindestens 50 Mitarbeiter und/oder einen Jahresumsatz von mehr als 10 Millionen Euro.
Wesentliche Einrichtungen wären somit hauptsächlich große Unternehmen, die in den als hoch kritisch eingestuften Sektoren tätig sind. Wichtige Einrichtungen wären hauptsächlich große und mittlere Organisationen in den als kritisch eingestuften Sektoren und mittlere Organisationen in den als hoch kritisch eingestuften Sektoren.
Mithilfe dieser Unterscheidung können die Anforderungen, aber auch die Sanktionen gegenüber Organisationen proportional zu ihren Mitteln und den datenschutzrechtlichen Belangen angepasst werden.
Es sei darauf hingewiesen, dass in einigen Sektoren die hohe Kritikalität – auch unabhängig von der Größe der Organisation – eine Einstufung als wesentliche Einrichtung rechtfertigen kann. Dies gilt insbesondere für Unternehmen, die auf nationaler Ebene durch die CER-Richtlinie als kritisch eingestuft wurden.
Härtere Strafen
Mit der NIS2-Richtlinie werden auch die Sanktionen verschärft. Eine Organisation, die keine angemessenen Maßnahmen für das Risikomanagement ergreift oder einen Sicherheitsvorfall nicht schnell genug meldet, riskiert ein Bußgeld, das im Verhältnis zu ihrem Umsatz und ihrer Kritikalität steht. Unternehmen drohen somit Bußgelder zwischen 1,4 % und 2 % ihres Umsatzes, die bis zu 10 Millionen Euro erreichen können.
Darüber hinaus können die EU-Mitgliedstaaten die Durchführung von Audits oder Inspektionen bei den Unternehmen verlangen. Bei Bedarf können sie Warnungen aussprechen und Anweisungen erteilen.
Fokus auf zwei neue Verpflichtungen für Organisationen
Meldung von Sicherheitsvorfällen
Mit NIS2 hätten die Organisationen bei Auftreten eines Cybersicherheitsvorfalls 24 Stunden Zeit, um diesen an die ANSSI zu melden. Diese Frist ist noch nicht endgültig und kann vor der Umsetzung der Richtlinie in innerstaatliches Recht geändert werden. Allerdings müssen sich die von NIS2 betroffenen Unternehmen organisieren, um schnell reagieren zu können. Diese Erstmeldung gleicht einem vorläufigen Bericht, der durch einen abschließenden Bericht ergänzt werden muss. Ziel ist es, die Reaktionsfähigkeit der Behörden auf einen Vorfall zu verbessern und Cyberangriffe genauer zu verfolgen.
Cybersecurity-Schulung von Führungskräften, Managern und Mitarbeitern
Die interne Schulung ist ein Schlüsselelement dieser neuen Richtlinie und fördert eine massive Sensibilisierung für das Thema Cybersicherheit.
In der Tat zielt NIS2 hauptsächlich auf die verpflichtende Einrichtung technischer, aber vor allem auch operativer und organisatorischer Maßnahmen ab. Die gesamte Organisation muss für ihre Cybersicherheit mobilisiert werden. Diese Aufgabe darf sich nicht mehr nur auf die IT-Abteilung beschränken.
Aus diesem Grund sieht die Richtlinie eine Verpflichtung zur Cybersecurity-Schulung von Führungskräften vor, die systematisch alle Sicherheitsmaßnahmen genehmigen müssen. Dies umso mehr, als die Führungskräfte, die die Organisation vertreten, bei Zuwiderhandlung gegen die Pflichten dieser Richtlinie haftbar gemacht werden können.
Unter dem Gesichtspunkt der Ausweitung der Cybersecurity auf alle Funktionen, könnte die NIS2-Richtlinie die Tätigkeit des DPO (Datenschutzbeauftragter) neu definieren und ihm Aufgaben in Bezug auf die Anwendung dieser Richtlinie übertragen. Neue Aufgaben, die im Einklang mit denen der Datenschutz-Compliance nach DSGVO (Datenschutz-Grundverordnung) stehen. Eine Möglichkeit, die Cybersicherheit als rechtliches Risiko zu betrachten, für das nicht nur die Verantwortlichen für die Sicherheit der Informationssysteme (CISO) zuständig sind.
https://www.tixeo.com/de/wie-koennen-mitarbeiter-fuer-cybersicherheit-sensibilisiert-werden/
Ab wann müssen die Organisationen die Richtlinie einhalten?
Zunächst wird die Richtlinie ab dem 17. September 2023 in 27 Ländern in innerstaatliches Recht umgesetzt. Danach gilt sie ab Oktober 2024 verbindlich für alle betroffenen Unternehmen und Behörden. Allerdings müssen sich die Organisationen bereits jetzt auf die neuen Cybersicherheitsstandards vorbereiten und ihr Sicherheitsniveau erhöhen. Auf diese Weise können sie den stetig steigenden Cyberbedrohungen entgegenwirken.
Wie können sich die Unternehmen vorbereiten?
Ab sofort können sich die von der NIS2-Richtlinie betroffenen Organisationen von Experten beraten lassen, um das Sicherheitsniveau ihres Informationssystems zu bewerten und Empfehlungen zu erhalten.
Als von der ANSSI zertifizierter und qualifizierter Vertrauensdienstleister unterstützt Tixeo die Betreiber wesentlicher Dienste (OSE) und die Betreiber vitaler Bedeutung (OIV) bei der Erfüllung der NIS2-Konformität. Zu den Empfehlungen, um die Fortführung der Geschäftstätigkeit im Krisenfall zu gewährleisten, gehört die Verwendung sicherer Kommunikationssysteme. Der Schutz der Online-Kommunikation garantiert somit die Cyber-Resilienz der Unternehmen.