Welche Veränderungen ergeben sich mit der EU NIS2 für Betreiber kritischer Infrastrukturen?
Die Network and Information Security (NIS) Direktive, welche den Rahmen der Cyber-Security in kritischen Infrastrukturen bildet, wird in der neuesten Fassung, der EU NIS2, an vielen Stellen erweitert. So gibt es u. a. neue Sektoren, einheitliche Schwellwerte, mehr Pflichten, eine stärke Überwachung auf internationaler als auch nationaler Ebene sowie schärfere Sanktionen, bei denen die Leitungsebene der Betreiber sogar persönlich haften soll.
Die seit 2016 gültige EU NIS Direktive (Network and Information Security Direktive), wird noch dieses Jahr von der überarbeiteten Fassung, der EU NIS2, abgelöst. In den seit Ende 2021 laufenden Verhandlungen zwischen dem Parlament und der Kommission wurde im Mai 2022 eine Einigung erzielt, wodurch die EU NIS2 nur noch verabschiedet und anschließend in nationales Recht überführt werden muss. Diese Überführung muss innerhalb von 18 Monaten nach Verabschiedung der Direktive stattfinden. Komplementär entsteht die EU RCE Directive on the resilience of critical entities. Während NIS2 die Cyber-Security reguliert, fordert die RCE eine Ausfallsicherheit der kritischen Dienstleistungen von Betreibern kritischer Infrastrukturen.
Erweiterungen der Sektoren
Sektoren
Insgesamt werden von der EU NIS2 16 Sektoren betroffen sein. Die Anzahl der kritischen Sektoren wird von sieben auf zehn und die wichtigen Sektoren von fünf auf sechs erhöht. Diese Sektoren entsprechen im Wesentlichen den deutschen KRITIS-Betreibern.
Schwellenwerte
Zusätzlich zur Anzahl der Sektoren werden auch die Schwellenwerte im Vergleich zur EU NIS angepasst, da es zukünftig in der EU keine unterschiedlichen Schwellenwerte mehr geben soll. Die Betroffenheit wird sich aus „uniformen Kriterien“ ableiten, in diesem Fall der Unternehmensgröße nach 2003/361/EC. Demnach werden die folgenden Unternehmensgrößen betroffen sein:
- Mittel: 50 – 250 Beschäftigte, 10 – 50 Mio. EUR Umsatz, weniger als 43 Mio. EUR Bilanz
- Groß: 250+ Beschäftigte, mehr als 50 Mio. EUR Umsatz, mehr als 43 Mio. EUR Bilanz
Ausgeschlossen sind die Unternehmensgrößen:
- Kleinst: weniger als 9 Beschäftigte, weniger als 2 Mio. Umsatz/Bilanz
- Klein: 10 – 49 Beschäftigte, weniger als 10 Mio. Umsatz/Bilanz
Digitale Infrastrukturen, die den kritischen Sektoren zugeordnet sind, werden unabhängig von ihrer Größe reguliert. Gleiches gilt für Spezialfälle (mit z. B. nationaler Monopolstellung, besonderer Wichtigkeit oder Cross-Boarder-Abhängigkeit), die den wichtigen und kritischen Sektoren zugeordnet sind.
Cyber-Security Maßnahmen
Für betroffene Betreiber werden neue Mindestanforderungen an die Cyber-Security festgelegt. Diese werden durch nationale Gesetzgebungen verpflichtend und deren Erfüllung von nationalen Behörden überwacht.
Cyber-Security
Zum Schutz der IT und Netzwerke der kritischen Dienstleistung müssen zwingend Maßnahmen zu den folgenden Themen umgesetzt werden: Richtlinien für Risiken und Informationssicherheit, Incident Management, BCM & Krisenmanagement, Sicherheit in der Lieferkette, Methoden zur Messung der Effektivität von Informationssicherheit sowie Kryptographie.
Standards
Gefördert werden sollen internationale und europäische Standards für Cyber-Security Maßnahmen, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Auch EU Cyber-Security Zertifizierungen können durch die Mitgliedsstaaten vorgeschrieben werden.
Meldewesen
Betreiber sind verpflichtet, signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unverzüglich an die jeweilige nationale Cyber-Security Behörde zu melden.
Registrierung
Eine Registrierung bei der ENISA ist für kritische Betreiber von digitalen Diensten und Infrastrukturen verpflichtend. Die ENISA ihrerseits informiert dann die nationalen Behörden.
Nationale Aufsicht
Neben Anforderungen an die betroffenen Betreiber legt die EU NIS2 zudem umfangreiche Mindestanforderungen für die nationalen Aufsichtsbehörden und deren Governance für Cyber- Security fest. Für kritische Betreiber sind dies bspw.:
- Behörden sollen von Betreibern Nachweise erhalten, diese einsehen und eigene Tests, Audits sowie Untersuchungen durchführen können.
- Im Falle von Non-Konformitäten sollen Behörden den Betreibern Anweisungen erteilen, öffentliche Warnungen aussprechend und einen Aufsichtsbeamten bestellen können.
- Sind Non-Konformitäten fortwährend, sollen die Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierung o. ä. entziehen können.
- Die Leitungseben von Betreibern soll für Verstöße persönlich haftbar gemacht werden.
Für wichtige Betreiber gelten ähnliche, aber abgeschwächte Aufsichtspflichten.
Bei Verstößen gegen Regularien und Data Breaches sollen Geldbußen, Sanktionen sowie nationale Strafen erlassen werden.
Zusammenarbeit in der EU
Durch Maßnahmen wie z. B. der Cooperation Group zur Steuerung der Zusammenarbeit, einem zweijährlichen Bericht zum Stand der Cyber-Security der ENISA oder den Austausch der nationalen CSIRTs in einem Netzwerk soll die Zusammenarbeit und der Austausch innerhalb der EU und zwischen den Mitgliedsstaaten vertieft werden.
Europäische Jurisdiktion
Für Anbieter digitaler Dienste wird die zuständige Jurisdiktion innerhalb der EU konkretisiert. Diese liegt bei Digitalen Infrastrukturen und Diensten wie DNS/TLD, Cloud, Rechenzentren, SDN, DSP beim Mitgliedsstaats des Hauptsitzes. Der Hauptsitz ist der Standort eines Anbieters, an dem die Cyber Risiko Maßnahmen getroffen werden. Liegt der Hauptsitz außerhalb der EU, zählt der Mitgliedsstaat, in dem der Anbieter die meisten Mitarbeiter hat. Werden digitale Dienste in der EU angeboten, ohne dass ein Sitz in der EU vorhanden ist, muss der Anbieter einen Vertreter innerhalb der EU bestimmen.
Ausblick und Einschätzung
Die seit 2016 gültige EU NIS Direktive wurde 2017 in Deutschland mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt. Das 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 nahm bereits einige Änderungen und Anforderungen der NIS2 (neue Sektoren, mehr Cyber-Security Anforderungen sowie die Sanktionen) vorweg. Andere Inhalte der NIS fehlen jedoch noch in der nationalen Gesetzgebung und müssen zukünftig verankert werden.
Gerade auf Grund der persönlichen Haftbarkeit und verschärfter Sanktionen müssen Betreiber kritischer Infrastrukturen in der Lage sein, einen umfassenden Überblick über ihre Cyber Risiken, die zur Abwehr erforderlichen Maßnahmen und deren Umsetzung zu haben. Ein derartiges „werthaltiges“ Risikomanagement zielt nicht mehr auf das Erreichen einer Zertifizierung / Prüfung ab, sondern hilft nachhaltig, die Widerstandsfähigkeit von Unternehmen gegen Cyber Risiken zu verbessern.
Nun stellt sich die Frage, wie solch ein Risikomanagement aussehen sollte und welche Maßnahmen Sie umsetzen müssen, um Ihr Unternehmen gegen die Risiken zu wappnen. Als Experten mit mehr als 20 Jahren Erfahrung und hunderten erfolgreich abgeschlossenen Projekten möchten wir unser gesammeltes Wissen weitergeben, indem wir Sie dabei unterstützen, Ihr ISMS effizient und unkompliziert aufzubauen und zu betreiben.
Quellen:
The NIS2 Directive (europa.eu) EU NIS2 Cyber-Security, abgerufen am 17.06.2022