NIS-2 – Jetzt bereits die Anforderungen kennenlernen
Oktober 2024 kommt schneller als man denkt
Einleitung
Spätestens seit der pandemiebedingten Kontaktreduktion hat die digitale Transformation auch in Deutschland alle gesellschaftlichen Bereiche durchzogen. Doch besonders im Bereich der kritischen Infrastruktur ist die Digitalisierung auch durchaus risikobehaftet: Unternehmen, Staatsbetriebe und Behörden sehen sich einer steigenden Bedrohung durch Cyberangriffe und -attacken ausgesetzt, denen sie mit geeigneten Maßnahmen begegnen müssen.
Wie real diese Bedrohung ist, zeigte in den letzten Jahren allein in Deutschland der lebensbedrohliche Hackerangriff auf das Uniklinikum Düsseldorf im Jahr 2020, die Cyberattacke auf den IT-Dienstleister der Landeshauptstadt Schwerin 2021, und jüngst mit dem wiederholten Angriff (sog. Brute-Force-Attacke) auf die Systeme der Stadt Potsdam im Dezember 2022, nachdem sie bereits 2020 Gegenstand einer Cyberattacke war.
Diese Entwicklung beobachtet auch die Europäische Union kritisch und hat daher bereits 2016 mit der Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen (NIS) die erste EU-weite Gesetzgebungsmaßnahme für Einrichtungen im Bereich der kritischen Infrastruktur getroffen, um auf ein einheitliches, sich gegenseitig unterstützendes Cybersicherheitsniveau in den EU-Mitgliedstaaten hinzuwirken. Die Umsetzung erfolgte in Deutschland vor allem über Anpassungen des IT-Sicherheitsgesetzes, welches aber auch zuvor schon viele Anforderungen erfüllte.
Nach der Überprüfung dieser Richtlinie und ihrer Wirkung hat die EU es jedoch für erforderlich gehalten, die bereits bestehende Richtlinie nachzuschärfen. So wurde vergangenen November vom Rat der Europäischen Union und dem Europäischen Parlament die überarbeitete sogenannte NIS-2-Richtlinie angenommen. Am 27.12.2022 ist sie dann veröffentlicht worden und am 16.01.2023 in Kraft getreten.
1. Erweiterung und Konkretisierung des Anwendungsbereichs
Welche Sektoren betrifft die Richtlinie?
In den Anhängen I und II sind insgesamt achtzehn Sektoren definiert, in der ersten NIS-Richtlinie waren es nur sieben Sektoren. Zudem wurden die Sektoren in „Sektoren mit hoher Kritikalität“ und „sonstige kritische Sektoren“ aufgegliedert.
Sektoren mit hoher Kritikalität (Anhang I) |
|
Sonstige kritische Sektoren (Anhang II) |
|
Für welche öffentliche und private Einrichtungen innerhalb der Sektoren gilt die Richtlinie?
Die Richtlinie regelt durch einheitliche Kriterien, welche öffentlichen und privaten Einrichtungen, die innerhalb der Sektoren tätig sind, verpflichtet werden (Art. 2):
- alle Unternehmen, ab einer Beschäftigtenanzahl von 50 Personen und einem Jahresumsatz bzw. einer Jahresbilanz von mindestens 10 Millionen Euro
- Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
- Vertrauensdiensteanbieter
- Namenregister der Domäne oberster Stufe (Registries) und DNS-Diensteanbieter
- Einrichtung, die im jeweiligen Mitgliedstaat einziger Anbieter eines Dienstes sind, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist
- Einrichtungen, die auf nationaler oder regionaler Ebene für den betreffenden Sektor, die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren im jeweiligen Mitgliedstaat eine besondere Bedeutung haben
- Einrichtungen, bei denen sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte
- Einrichtungen, bei denen eine Störung ihrer Dienste zu einem wesentlichen Systemrisiko führen könnte
- bestimmte kritische Einrichtungen der öffentlichen Verwaltung
- Ggf. Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen, sofern der jeweilige Mitgliedstaat dies bestimmt
- Einrichtungen, die Domänennamenregistrierungsdienste erbringen (Registrare)
- Einrichtungen, die von dem jeweiligen Mitgliedstaat nach Art. 6 der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden
2. Festlegung konkreter Pflichten für betroffene Einrichtungen:
- Pflicht zum Ergreifen von Risikomanagementmaßnahmen in einem durch die Richtlinie festgelegten Mindestumfang (vgl. Art. 21 Abs. 2)
- Berichtspflichten gegenüber bestimmten nationalen Stellen/Behörden (Art. 23)
- Ggf. Pflicht zur Verwendung spezieller IKT-Produkte, -Dienste und -Prozesse, die im Rahmen europäischer Schemata für die Cybersicherheitszertifizierung zertifiziert sind, sofern der jeweilige Mitgliedstaat dies bestimmt
- Für Registries und Registrare: Pflicht, zukünftig genaue und vollständige Domänennamen-Registrierungsdaten unter Beachtung der Datenschutzbestimmungen in einer eigenen Datenbank zu sammeln und zu pflegen, zu validieren und zu beauskunften (Art. 28).
Die Einhaltung dieser Pflichten soll durch nationale Aufsichtsbehörden kontrolliert und bei Nichteinhaltung mit Geldbußen sanktioniert werden. Die konkrete Ausgestaltung der Aufsichts- und Durchsetzungsmaßnahmen erfolgt durch die Mitgliedstaaten, wobei die Richtlinie auch in diesem Bereich Vorgaben macht.
3. Bestimmung des Verhältnisses zu sektorspezifischen Rechtsvorschriften
Gibt es für die erfassten Sektoren bereits spezielle, mindestens gleich wirksame EU-Vorschriften, wie beispielsweise in der Verordnung über die digitale operative Betriebsstabilität digitaler Systeme des Finanzsektors (DORA – Digital Operational Resilience Act) und aufgrund der Richtlinie über die Resilienz kritischer Einrichtungen (CER – Critical Entities Resilience Directive), sind diese vorrangig anzuwenden (Art. 5).
4. Ausweitung der Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten durch…
- das (bereits zuvor bestandene) Netzwerk der nationalen Computer-Notfallteams (CSIRTs)
- Einrichtung einer europäische Schwachstellendatenbank durch die Agentur der Europäischen Union für Cybersicherheit (ENISA) auf Basis von Mitteilungen mitgliedstaatliche CSIRT Koordinatoren
- Schaffung des Europäischen Netzwerkes der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe)
- Veranstaltung von themenbezogenen Peer Reviews durch Sachverständige für Cybersicherheit (Teilnahme freiwillig)
Umsetzung der Richtlinie
Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten durch eigene Gesetzgebung in nationales Recht umsetzen. Die Richtlinie legt nur Mindestanforderungen im Bereich der Cybersicherheit fest, sodass die Mitgliedsstaaten nach Belieben auch ein höheres Schutzniveau etablieren können.
Für Unternehmen empfiehlt es sich bereits jetzt zu kontrollieren, ob sie (neuerdings) von der Richtlinie betroffen sind und falls ja, die Planung der Neuerungen voranzutreiben. Die technische Umsetzung kann teilweise viel Zeit in Anspruch nehmen und die reale Gefahr von Cyberangriffen besteht unabhängig von der gesetzlichen Absicherung.
Falls Sie Fragen bezüglich der Richtlinie oder der dadurch erforderlich werdenden Anpassungen haben, beraten wir Sie gerne.