Summary: Neuerungen durch NIS2 – der EU-Richtlinie für mehr Cybersicherheit
In einer zunehmend vernetzten Welt sind der Schutz vor Cyberkriminalität und -kompromittierung und die Abwehr von Gefahren für unsere digitalen Infrastrukturen von entscheidender Bedeutung. Die NIS2-Richtlinie, die jüngste Weiterentwicklung der sog. Network and Information Systems Directive (NIS), hat das Ziel, die Sicherheit der digitalen Landschaft in der Europäischen Union zu stärken. Nur den wenigsten Handelnden ist NIS2 bekannt. Was genau verbirgt sich hinter dieser Richtlinie und was sind die Auswirkungen auf Unternehmen, Anstalten und Körperschaften des Öffentlichen Rechts sowie sonstige Organisationen?
Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016 mit deutlich mehr Betroffenheit, Pflichten und Aufsicht in der EU:
- NIS-2 hingegen gilt demnach grundsätzlich für alle Unternehmen
- mit mehr als 50 Beschäftigten und
- größer zehn Millionen Euro Jahresumsatz,
- die in einem von 18 einschlägigen Sektoren tätig sind.
- Sonderfall: Anstalten und Körperschaften des öffentlichen Rechts
- Sektoren: Die kritischen Essential Entities erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren — macht insgesamt achtzehn NIS2 Sektoren.
- Hohe Kritikalität: Besonders strenge Vorgaben gelten für „Sektoren mit hoher Kritikalität“, wie es in der Richtlinie heißt. Dazu zählen
- Energieversorger,
- Verkehrsunternehmen wie Fluggesellschaften und Bahnbetreiber, Internet- und Cloud-Anbieter,
- Banken,
- Gesundheitsdienstleister sowie
- Organisationen aus dem Bereich Weltraum,
- Außerdem wird die öffentliche Verwaltung (wobei gerade darüber gestritten wird, Kommunen aus der Verantwortung zu nehmen).
- Cloud Provider: Deutlich erweitert wird darüber hinaus der kritische Sektor “Digitale Infrastruktur”, der zukünftig insbesondere auch Cloud-Provider, Rechenzentren sowie Content-Delivery-Netzwerke erfassen soll.
- Betreiber: Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Schwellwerte für Anlagen o.e.ä. Methodik, einige Betreiber sollen unabhängig von der Größe reguliert werden – Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.
- Cyber Security: Die Anforderungen an Betreiber und Mitgliedstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
- Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
- Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximal-Bußgelder von mind. 7 oder 10 Mio. EUR, je nach Sektor.
Ab allerspätestens Oktober 2024 müssen viele Unternehmen verschärfte Pflichten zur Cybersicherheit einhalten. Mit der NIS-2-Richtlinie will die EU die Regulierung in den Mitgliedstaaten zudem weiter vereinheitlichen. In Deutschland werden dabei Besonderheiten in der Kategorisierung von betroffenen Unternehmen wegfallen – andere sollen erhalten bleiben.
Referentenentwurf als Diskussionsgrundlage für Gesetzgebung
Das Bundesinnenministerium (BMI) hat wiederholt einen Referentenentwurf zur nationalen Umsetzung der europäischen NIS-2-Richtlinie ins Spiel gebracht. Die letzte Auflage ist prägend für das gerade in Gang befindliche Gesetzgebungsverfahren.
Hier sollen nun die Unterschiede zwischen NIS2 und der Vorversion NIS sowie zu ISO 27001 aufgezeigt werden.
NIS2 wie auch NIS bereits zielen darauf ab, Cybersicherheit zu stärken und digitale Infrastrukturen sowie kritische Dienstleistungen vor Cyberbedrohungen zu schützen.
Bereits am 16. Januar 2023 ist NIS2 als EU-Richtlinie in Kraft getreten. Die Mitgliedstaaten der EU haben nun bis zum 17. Oktober 2024 Zeit, diese Richtlinie in nationales Recht zu übertragen.
NIS2-Richtlinie betrifft mehr Entitäten als zuvor und fordert strengere Sicherheitsmaßnahmen. Unternehmen, die die Anforderungen von NIS2 nicht erfüllen, riskieren empfindliche Geldbußen. Auch diese sind deutlich höher im Vergleich zum
Die vollständige Bezeichnung der NIS-Richtlinie ist “Network and Information Systems Directive“ also eine Richtlinie über Netz- und Informationssicherheit mit Wirkung innerhalb der Europäischen Union. NIS22 baut auf seiner Vorgängerin von 2016 auf. NIS wurde allerdings zu NIS2 weiterentwickelt, um die Cybersicherheit Union weit zu stärken und auf aktuelle Entwicklungen in Zeiten verstärkter Digitalisierung zu reagieren.
Die NIS-Richtlinie gilt für Betreiber sog. Kritischer Infrastrukturen (KRITIS), d. h. für
- Unternehmen,
- Organisationen,
- Körperschaften und Anstalten Öffentlichen Rechts,
deren Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von wesentlicher Bedeutung sind. Dazu gehören unter anderem Unternehmen aus den Bereichen Energie, Wasser, Transport, Finanzen, Gesundheitswesen und Telekommunikation.
Gründe für die Weiterentwicklung von NIS zu NIS2 sind
- einerseits der starke Anstieg von Cyberangriffen in den letzten Jahren,
- gerne auch im Umfeld verschärfter politischer Auseinandersetzung,
- die zunehmende Digitalisierung allgemein
- als auch der Einsatz von künstlicher Intelligenz zur Kompromittierung von Systemen, ferner
- eine stärkere einheitliche Regelung unter allen EU-Mitgliedstaaten.
Welche Sektoren sind konkret betroffen?
Sektoren: Die kritischen wesentlichen Sektoren wurden auf elf Sektoren erweitert, die wichtigen Sektoren auf sieben. Somit fallen unter die neue NIS2-Richtlinie achtzehn Sektoren. Dies bedeutet, dass eine größere Bandbreite von Entitäten ihre Sicherheitsstandards anpassen müssen.
Die NIS2-Richtlinie gilt hierbei für Unternehmen ab 50 Mitarbeitern und Mitarbeiterinnen und 10 Mio. Euro Umsatz in ebendiesen Sektoren.
Einige Betreiber sollen jedoch unabhängig von ihrer Größe reguliert werden – dies betrifft Teile der digitalen Infrastruktur und der öffentlichen Verwaltung. Konkret reguliert NIS2 bestimmte Betreiber (sogenannte Entities), die in 18 Sektoren aufgeteilt sind. NIS2 teilt Entitäten in zwei Gruppen. Zu den „Essential Entities“ gehören Betreiber aus elf Sektoren und Sonderfälle, zu den „Important Entities“ gehören sieben Sektoren und mittlere Betreiber aller Sektoren.
Die Unterscheidung zwischen „Essential Entities“ und „Important Entities“ bestimmt auch den Umfang der staatlichen Aufsicht und die Sanktionierungsmöglichkeiten bei Missachtung und Zuwiderhandlung.
- Sektoren: Die kritischen Essential Entities erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren — macht insgesamt achtzehn NIS2 Sektoren.
- Hohe Kritikalität: Besonders strenge Vorgaben gelten für „Sektoren mit hoher Kritikalität“, wie es in der Richtlinie heißt. Dazu zählen
- Energieversorger,
- Verkehrsunternehmen wie Fluggesellschaften und Bahnbetreiber, Internet- und Cloud-Anbieter,
- Banken,
- Gesundheitsdienstleister sowie
- Organisationen aus dem Bereich Weltraum,
- Außerdem wird die öffentliche Verwaltung (wobei gerade darüber gestritten wird, Kommunen aus der Verantwortung zu nehmen).
Quelle: NIS-2-Richtlinie
Wichtige Einrichtungen
Wichtige Einrichtungen sind nach NIS-2 also mittlere Betreiber in einem der Anhang-I-Sektoren sowie mittlere und große Betreiber in den sieben „Sonstigen Kritischen Sektoren“ des Anhangs II:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion
- Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste sowie Forschung
Für IT-Dienstleister heißt das, folgende Betriebskategorien sind betroffen:
- Digitale Infrastruktur Internet-Knoten (IXP)
- DNS (ohne Root)
- TLD Registries
- Cloud Provider
- Rechenzentren
- CDNs
- Vertrauensdienste (TSP)
- Elektronische Kommunikation
Exkurs: Welche Auswirkungen gibt es für Cloud Provider?
- Cloud Provider: Deutlich erweitert wird darüber hinaus der kritische Sektor “Digitale Infrastruktur”, der zukünftig insbesondere auch Cloud-Provider, Rechenzentren sowie Content-Delivery-Netzwerke erfassen soll.
Welche Art Unternehmen und sonstige Entitäten sind von der Größe her betroffen?
- Betreiber: Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Schwellwerte für Anlagen o.e.ä. Methodik, einige Betreiber sollen unabhängig von der Größe reguliert werden – Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.
- Bisher sind nach BMI-Angaben 4.500 Kritis-Betreiber und Unternehmen im besonderen Interesse verpflichtet.
- Mit der Neuregulierung geht das Ministerium von rund 29.000 Betroffenen aus.
- Für kommunale Verwaltungen wird gerade bestritten, ob sie unter NIS2 fallen sollen.
Besonderheiten:
- Cyber Security: Die Anforderungen an Betreiber und Mitgliedstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
- Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
- Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximal-Bußgelder von mind. 7 oder 10 Mio. EUR, je nach Sektor. Über Geldbußen hinaus ist auch eine strafrechtliche Sanktionierung nicht ausgeschlossen.
- Zertifizierung von Produkten und Diensten: Cybersicherheitszertifizierungen sollen Verbraucher und Geschäftskunden auf einen Blick sicherere Lösungen signalisieren.
Die wichtigsten Anforderungen der NIS2-Richtlinie im Überblick
Von NIS2 betroffene Entitäten müssen ein sog. Informationssicherheits-Management-System (ISMS) einführen und betreiben. Das ISMS ist ein ganzheitlicher Ansatz zur Sicherstellung der Informationssicherheit; ein ISMS umfasst Planung, Umsetzung, Überwachung, Bewertung und Verbesserung der Informationssicherheitsmaßnahmen.
Verhältnis von NIS2 zu ISO 27001
ISMS werden regelmäßig auf Basis von ISO 27001 etabliert. ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme. Sie bietet einen qualifizierten,global gültigen und lange bewährten Rahmen für die Einrichtung, Umsetzung, Überwachung und Verbesserung des Managements von Informationssicherheit.
Mit der Implementierung eines ISMS nach ISO 27001 können Entitäten eine langfristig solide Grundlage schaffen, um auch die erweiterten Anforderungen von NIS2 erfüllen.
Größenunabhängig betroffene Sonderfälle
- Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
- Vertrauensdiensteanbieter
- TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
- Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind
- Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
- Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
- Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
- Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
- Kritische Infrastrukturen gemäß Richtlinie (EU) 2022/2557
- Einrichtungen, die Domänennamen-Registrierungsdienste erbringen (IONOS!)
- Wesentliche und wichtige Organisationen
Unterscheidung zwischen wesentlichen und wichtigen kritischen Organisationen
NIS2 unterscheidet zwischen wesentlichen und wichtigen Organisationen. Zu betrachten ist hier die Kritikalität ihrer Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen.
“Wesentliche Einrichtungen sind für die Aufrechterhaltung dieser Funktionen von wesentlicher Bedeutung, während wichtige Einrichtungen zwar nicht für die Aufrechterhaltung dieser Funktionen von wesentlicher Bedeutung sind, aber deren Störung dennoch erhebliche Auswirkungen haben könnte.“
Auswirkungen im Vergleich zu bisherigen Regeln
Unter der NIS-Richtlinie von 2016 oblag es den EU-Mitgliedstaaten, die Betreiber wichtiger Dienste in den einschlägigen Sektoren zu identifizieren. Das wurde unterschiedlich gehandhabt, mit dem Ergebnis, dass in einigen EU-Ländern sehr viele und in anderen sehr wenige Unternehmen betroffen waren.
Die einzelnen EU-Mitgliedsstaaten haben künftig keine eigene Entscheidungsfreiheit darüber, welche Organisationen letztlich adressiert werden. Demnach ist die schiere Größe von Organisationen nicht mehr entscheidend.
Nationale Bestimmungen wie BSI-KritisV und der Katalog der erfassten Einrichtungen des IT-Sicherheitsgesetzes 2.0 werden durch NIS2 ersetzt.
Die Mitgliedstaaten sind für die Umsetzung der Richtlinie in nationales Recht und die Überwachung der Einhaltung der Anforderungen durch die betroffenen Organisationen verantwortlich.
NIS-2-Richtlinie: Ein neues Kapitel in Deutschlands Kampf gegen Cyberkriminalität
In einer Welt, die immer stärker digital vernetzt ist, gewinnt der Schutz vor Cyberkriminalität zunehmend an Bedeutung. Die Europäische Union hat mit der Einführung der NIS2-Richtlinie einen entscheidenden Schritt unternommen, um die Cybersicherheit in ihren Mitgliedstaaten zu stärken. Doch was bedeutet diese Entwicklung für Deutschland?
Die Evolution der Cybersicherheit: NIS2 im Kontext
Die NIS2-Richtlinie, eine Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016, zielt darauf ab, die digitale Landschaft in der EU sicherer zu machen. Sie erweitert die Pflichten und den Umfang der Aufsicht über Unternehmen und Organisationen, die in den digitalen Raum eingebunden sind. Die Bedeutung dieser Richtlinie kann nicht hoch genug eingeschätzt werden, denn sie betrifft eine breite Palette von Akteuren in der digitalen Welt.
Wer ist betroffen? Verständnis der Zielgruppen von NIS2
Besonders betroffen sind Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von über zehn Millionen Euro. Diese Regelung gilt für eine Vielzahl von Sektoren, darunter Energieversorger, Verkehrsunternehmen wie Fluggesellschaften und Bahnbetreiber, Internet- und Cloud-Anbieter, Banken, Gesundheitsdienstleister sowie Organisationen im Bereich Weltraum. Interessanterweise erstreckt sich der Geltungsbereich der Richtlinie auch auf Anstalten und Körperschaften des öffentlichen Rechts.
Ein Kernaspekt der NIS2-Richtlinie ist die Klassifizierung von Unternehmen in zwei Gruppen: die „Essential Entities“ und die „Important Entities“. Die Essential Entities umfassen Unternehmen aus elf kritischen Sektoren, während die Important Entities sieben weitere Sektoren abdecken. Insgesamt ergeben sich somit 18 Sektoren, die unter die NIS2-Richtlinie fallen. Für Sektoren mit besonders hoher Kritikalität gelten strengere Vorgaben. Hierzu zählen beispielsweise die Energieversorgung und der Verkehrssektor.
Die NIS2-Richtlinie verlangt von den betroffenen Unternehmen, ihre Sicherheitsmaßnahmen zu verstärken. Dies schließt den Schutz der digitalen Infrastruktur und die Cybersecurity in Lieferketten mit ein. Eine intensivere Kooperation mit Behörden wird erforderlich, um die europäische Cybersicherheit zu gewährleisten. Die Nichteinhaltung dieser Anforderungen kann zu empfindlichen Geldbußen führen, die je nach Sektor zwischen 7 und 10 Millionen Euro betragen können.
Deutschlands Weg zur Implementierung der NIS2-Richtlinie
In Deutschland wird die Umsetzung dieser EU-Vorgaben durch das Bundesinnenministerium vorangetrieben. Ein Referentenentwurf bildet die Grundlage für das aktuelle Gesetzgebungsverfahren. Dabei gilt es, die Besonderheiten in der Kategorisierung von betroffenen Unternehmen im deutschen Kontext zu berücksichtigen.
Die NIS2-Richtlinie stellt eine Antwort auf den starken Anstieg von Cyberangriffen in den letzten Jahren dar und berücksichtigt die zunehmende Digitalisierung sowie den Einsatz von künstlicher Intelligenz. Sie soll eine einheitliche Regelung unter allen EU-Mitgliedstaaten schaffen und die nationale Autonomie in der Entscheidung, welche Organisationen letztlich adressiert werden, einschränken.
Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie eine wesentliche Entwicklung in der Cybersicherheitslandschaft der EU darstellt. Für Deutschland bedeutet dies eine Anpassung an höhere Sicherheitsstandards und eine intensivere Zusammenarbeit im europäischen Rahmen. Bis zum Oktober 2024 müssen die betroffenen Organisationen die neuen Regelungen umsetzen – eine anspruchsvolle Aufgabe, die jedoch zur Stärkung der digitalen Sicherheit in Deutschland und in der gesamten EU beitragen wird.