Der planmäßig letzte Referentenentwurf zur Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 ist veröffentlicht. Die Bundesländer konnten einige ihrer Forderungen einbringen.
Von Wilhelmine Stenglin
Bundesländer und Verbände können bis zum heutigen Dienstag ihre Einwände zur Umsetzung der NIS2-Richtlinie („The Network and Information Security Directive“) einbringen. Die deutsche Industrie fordert unter anderem unbürokratische und digitale Verfahren, um die Auflagen zu erfüllen.
Von Wilhelmine Stenglin
Das Bundesinnenministerium will kritische Infrastruktur und öffentliche Verwaltungen besser vor Cyberangriffen schützen. Innenministerin Nancy Faeser (SPD) legte dafür einen neuen Referentenentwurf vor.
Von Maximilian Stascheit
Deutschland und China wollen beim autonomen Fahren enger zusammenarbeiten. Dabei sind Fragen der Datensicherheit noch kaum geklärt, sagt Digital-Expertin Rebecca Arcesati. Autos aus China könnten in Deutschland spionieren.
Von Fabian Peltsch
Die Tötung ranghoher iranischer Revolutionsgardisten in Damaskus bildet den vorläufigen Höhepunkt israelischer Luftschläge gegen Stellungen in Syrien und Libanon. Auch US-Armeestützpunkte könnten wieder ins Visier proiranischer Milizen gelangen.
Von Markus Bickel
Bei Abwehr und Umgang mit digitalen Großschadenslagen lernen die EU-Mitgliedstaaten noch – in 27 unterschiedlichen Herangehensweisen stecken auch einige gute Ideen für die anderen, zeigt nun eine ENISA-Studie.
Von Falk Steiner
Bislang ist in Deutschland ein großes Schadensereignis auf digitalem Angriffswege ausgeblieben. Doch die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, warnt eindringlich davor – und fordert alle Beteiligten zu raschem Handeln auf.
Von Falk Steiner
Die Auseinandersetzungen in Nahost haben auch eine digitale Komponente. Europa ist darin nicht unmittelbar involviert – kann aber jederzeit mitbetroffen sein. Denn europäische Unternehmen und sogar staatliche Stellen setzen stark auf Cybersicherheit, „Made in Israel“.
Von Falk Steiner
Die NIS2-Richtlinie, die Nachfolgeregelung der ersten EU-Richtlinie zu Netz- und Informationssicherheit (NIS), soll den hohen Anforderungen begegnen, die durch die zunehmende Digitalisierung und die wachsende Bedrohung durch Cyberangriffe an die Sicherheit kritischer Infrastrukturen in Europa gestellt werden. Lesen Sie hier alles über die zentralen Aspekte der NIS2, ihre Anforderungen und die Umsetzung in Deutschland von der Table.Briefings-Redaktion.
Die
NIS2
-Richtlinie ist ein Rechtsrahmen der Europäischen Union, der die Cybersicherheit von Unternehmen und Organisationen in den Mitgliedstaaten verbessern soll. Sie trat am 27. Dezember 2022 in Kraft und musste bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Ziel der Richtlinie ist es, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken und europaweit einheitliche Sicherheitsstandards zu schaffen.Im Vergleich zur Vorgängerregelung erweitert die
NIS2-Richtlinie
den Anwendungsbereich deutlich. So fallen nun mehr Unternehmen und Branchen unter die Regelungen, und die Anforderungen an Cybersicherheitsmaßnahmen wurden verschärft.
Zu den zentralen Fragen im Zusammenhang mit der
NIS2
-Richtlinie gehört die Bestimmung der betroffenen Einrichtungen. Die Richtlinie differenziert dabei zwischen wesentlichen und wichtigen Einrichtungen.
Wesentliche Einrichtungen: Dazu zählen beispielsweise Betreiber kritischer Infrastrukturen wie Energieversorger, Gesundheitsdienstleister, Finanzinstitutionen und Verkehrsbetriebe.
Wichtige Einrichtungen: Hierunter fallen u. a. Anbieter digitaler Dienstleistungen, Chemieunternehmen, Lebensmittelproduzenten und Unternehmen im Bereich des Abfallmanagements.
Ein entscheidender Punkt ist, dass die Größe eines Unternehmens ausschlaggebend sein kann. Unternehmen, die mehr als 50 Mitarbeiter oder einen Jahresumsatz von über 10 Millionen Euro haben, müssen die
NIS2
und ihre
Anforderungen
umsetzen. Kleinere Unternehmen sind nur dann betroffen, wenn sie in einer kritischen Branche tätig sind. Darüber hinaus rücken Lieferketten und Drittanbieter ebenfalls in den Fokus. Unternehmen müssen sicherstellen, dass auch ihre Dienstleister angemessene Sicherheitsmaßnahmen implementiert haben. Die Bedeutung einer durchgängigen Sicherheitsstrategie entlang der gesamten Wertschöpfungskette wird damit unterstrichen.
Die Anforderungen der
NIS2
-Richtlinie sind umfassend und betreffen verschiedene Bereiche der Cybersicherheit. Zu den zentralen Vorgaben gehören:
Risikomanagement: Unternehmen müssen ein effektives Risikomanagement für IT- und OT-Systeme implementieren. Dazu gehört die Identifizierung potenzieller Schwachstellen sowie die Entwicklung von Strategien zur Risikominderung.
Vorfallmeldung: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung wesentlicher Dienste haben, müssen innerhalb von 24 Stunden gemeldet werden. Ein detaillierter Bericht ist innerhalb von 72 Stunden nachzureichen.
Audits und Überprüfungen: Unternehmen sind verpflichtet, regelmäßige Audits durchzuführen, um die Wirksamkeit ihrer Sicherheitsmaßnahmen zu überprüfen.
Sanktionen: Bei Verstoß gegen die Vorgaben drohen erhebliche Strafen. Die Höhe der Geldbußen kann bis zu 2 % des weltweiten Jahresumsatzes betragen.
Sensibilisierung und Schulung: Unternehmen müssen ihre Mitarbeitenden regelmäßig zu Cybersicherheitsrisiken schulen, um ein hohes Bewusstsein für Sicherheitsfragen zu schaffen.
Berichtspflichten: Neben der Vorfallmeldung müssen Unternehmen jährliche Berichte zu ihren Sicherheitsmaßnahmen und potenziellen Risiken erstellen. Diese Berichte dienen als Grundlage für die Überprüfungen durch die zuständigen Behörden.
Das
NIS2-Umsetzungsgesetz
ist die nationale Umsetzung der EU-Richtlinie in deutsches Recht, ein entsprechender
Referentenentwurf
wurde bereits vorgelegt. Ziel ist es, die Anforderungen der
NIS2
in das deutsche IT-Sicherheitsgesetz zu integrieren und dabei die Besonderheiten des deutschen Marktes zu berücksichtigen. Der Entwurf sieht vor, dass die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Aufsichtsbehörden fungieren. Sie übernehmen die Aufgabe, die Einhaltung der Vorschriften zu überwachen und Unternehmen bei der Umsetzung zu unterstützen. Darüber hinaus soll das Umsetzungsgesetz klare Vorgaben für die Verantwortlichkeiten innerhalb der Unternehmen definieren. So wird beispielsweise erwartet, dass ein Chief Information Security Officer (CISO) benannt wird, der direkt an die Geschäftsleitung berichtet.
Die EU-Mitgliedstaaten waren verpflichtet, die
NIS2-Richtlinie
bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Das Inkrafttreten des
NIS2
-Umsetzungsgesetzes war in
Deutschland
für denselben Zeitraum erwartet worden. Vor diesem Hintergrund sollten sich Unternehmen auf die zu erwartenden Änderungen einstellen und gegebenenfalls zeitnah die nötigen Anpassungen vornehmen. Ein früher Start in die Vorbereitung bietet Vorteile: Unternehmen können frühzeitig Lücken in ihrer Sicherheitsarchitektur identifizieren und gezielt schließen. Dadurch lassen sich nicht nur Compliance-Risiken minimieren, sondern auch die Resilienz gegenüber Cyberbedrohungen steigern.
Die Umsetzung der
NIS2-Anforderungen
stellt viele Unternehmen vor erhebliche Herausforderungen. Dazu gehören:
Komplexität der Anforderungen: Die Vielzahl der Vorgaben erfordert ein umfassendes Verständnis von Cybersicherheit und Risikomanagement.
Ressourcenbedarf: Die Umsetzung der Richtlinie kann erhebliche personelle und finanzielle Ressourcen binden.
Koordination innerhalb der Lieferkette: Unternehmen müssen sicherstellen, dass auch ihre Partner und Zulieferer die Sicherheitsstandards einhalten.
Technologischer Wandel: Die schnelle Entwicklung von Technologien kann es erschweren, Sicherheitsmaßnahmen auf dem neuesten Stand zu halten.
Die
NIS2-Richtlinie
ist von entscheidender Bedeutung für die Stärkung der Cybersicherheit in Europa. Sie erweitert den Anwendungsbereich, verschärft die Anforderungen und legt hohen Wert auf die Zusammenarbeit zwischen Unternehmen und Behörden. Zudem werden verstärkte Maßnahmen zur Risikobewertung und Vorfallserkennung gefordert, um Angriffe frühzeitig zu erkennen und abzuwehren. Für Unternehmen in Deutschland ist es von entscheidender Bedeutung, sich eingehend mit dem
NIS2-Umsetzungsgesetz
auseinanderzusetzen. Dadurch können sie regulatorische Risiken verringern und ihre Resilienz gegenüber Cyberbedrohungen langfristig stärken. Ein vorausschauender Ansatz bei der Umsetzung von Sicherheitsmaßnahmen kann sich langfristig positiv auf den Wettbewerb auswirken und das Vertrauen von Kunden und Partnern stärken.
