NIS 2: Neue Cybersicherheits-Richtlinie für kritische Infrastruktur

Die erste europäische NIS-Richtlinie regelt seit Mai 2018 die  Cybersicherheit von besonders kritischen Infrastrukturen mit wichtigen Versorgungsfunktionen. Dazu zählen zum Beispiel die Gesundheitsversorgung, Energie und Wasser, Transport und Finanzmärkte. Kritisiert wurden an der NIS-Richtlinie zu offene formulierte Vorgaben sowie eine fehlende Überwachung der praktischen Umsetzung.

Der Inhalt der zweiten aktualisierten Richtlinie für Netz- und Informationssicherheit (NIS 2) wurde von der Europäischen Kommission erstmals im Dezember 2020 vorgeschlagen. Im Mai 2022 wurde sie nun inhaltlich fertiggestellt. NIS 2 umfasst zusätzlich die Bereiche Krisen- und Vorfalls-Management sowie ein verbessertes Risikomanagement in Organisationen. Außerdem werden die Nutzung von Verschlüsselung, Sicherheitstests und -management sowie die Offenlegung von Schwachstellen geregelt.

Die Version 2 der NIS-Richtlinie ist ein neuer Versuch, eine einheitliche europäische Cyber-Security-Strategie durchzusetzen. Der Fokus liegt darauf, die Cybersicherheit kritischer Dienste in der EU zu modernisieren. NIS 2 wird mit dem demnächst kommenden Gesetz über die Widerstandsfähigkeit gegenüber Cyberangriffen verknüpft sein. [1] [2]

Wichtigste Änderung in NIS 2: Ausweitung auf mehr Unternehmen

Die Folgen von Cyberangriffen – sehr oft von Ransomware – haben inzwischen viele Unternehmen zu spüren bekommen. Die NIS 2 Richtlinie berücksichtigt dies mit einer Ausdehnung auf 16 weitere Branchen mit Versorgungsfunktionen. Zusätzlich sind alle größeren Industrieunternehmen eingeschlossen.

Bewährte Verfahren für die Verbesserung der Cybersicherheit sind nun verpflichtend. Bei Nichteinhaltung der Empfehlungen zum Risikomanagement können erhebliche Geldstrafen verhängt werden. Abgefedert wird diese Vorschrift über eine „size-cap“ Regel, um kleine Unternehmen nicht allzu zu sehr mit Bürokratie zu belasten. In einer deutschen Quelle scheinen als Grenze Unternehmen mit weniger als 50 Mitarbeiter*innen und 10 Millionen Euro Umsatz pro Jahr auf. Konkrete Umsetzungsvorhaben für Österreich wurden noch nicht identifiziert. [3]

Weitere Änderungen der aktualisierten NIS 2-Richtlinie

• Unternehmen und Organisationen benötigen aktiv einen verbesserten Risikomanagementansatz. Auch Lieferketten und Abhängigkeiten von Partnerunternehmen sollen betrachtet und inkludiert werden.
• Nationale Behörden haben eine dementsprechende Überwachungs- und Kontrollfunktion.
• Bei Nichterfüllung der Richtlinie sind Strafzahlungen vorgesehen. Davon ausgenommen sind öffentliche Stellen. Vorstände und Aufsichtsräte können für die Nichtumsetzung zur Verantwortung gezogen werden.
• Meldepflichten werden eingeführt: Organisationen müssen Cybersicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden.
• Verwaltung: NIS 2 wird auch für öffentliche Verwaltungseinrichtungen auf zentraler und regionaler Ebene gelten. Darüber hinaus können die Mitgliedstaaten die lokale Ebene einschließen.

Die wesentlichen Erweiterungen betreffen also das aktive Risikomanagement und die Ausweitung um weitere Industrieunternehmen, um die Cybersicherheit EU-weit zu verbessern.

Wann kommt die NIS 2 Richtlinie?

Der nun fertige Gesetzesentwurf zur NIS 2 Richtlinie muss noch vom EU-Parlament mit einem Mehrheitsvotum abgesegnet werden. Prognosen gehen davon aus, dass dies noch 2022 geschehen kann. Danach haben die Mitgliedstaaten der EU ab Inkrafttreten der Richtlinie 21 Monate Zeit, um die Bestimmungen in ihr nationales Recht zu übernehmen.

Lese-Empfehlungen:

Cybersicherheit für die öffentliche Verwaltung

Whitepaper-Download: Cybersicherheit für Energieversorger

Cybersicherheit für Automatisierung, Produktion und kritische Infrastruktur

Quellen:

[1] https://www.consilium.europa.eu/de/press/press-releases/2022/05/13/renforcer-la-cybersecurite-et-la-resilience-a-l-echelle-de-l-ue-accord-provisoire-du-conseil-et-du-parlement-europeen/

[2] https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333″>https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333

[3] https://www.openkritis.de/it-sicherheitsgesetz/eu-nis-2-direktive-kritis.html