Fakt 1: NIS-2 ist eine EU-Strategie für mehr Cybersicherheit
Die Notwendigkeit einer neuen Regelung für Sicherheit von Informationssystemen und Netzwerken kann aus verschiedenen Blickwinkeln betrachtet werden. Uns allen ist aber klar: Bei einem durch Cyberkriminalität entstehenden Schaden in Höhe von schätzungsweise rund 206 Milliarden Euro pro Jahr muss ein verpflichtender Mindeststandard zum Schutz kritischer und systemrelevanter Netzwerke und Systeme eingeführt werden. Besonders aufgrund einer zunehmenden Digitalisierung unserer Arbeitswelt - überwiegend beim Datenaustausch - sehen wir uns immer häufiger mit digitalen Bedrohungen, wie bspw. Phishing oder Ransomware, konfrontiert.
Die neue Richtlinie NIS-2 bildet einen entscheidenden Rahmen für mehr Cybersicherheit. Sie dient daher nicht nur als Lösungsansatz, indem sie als präventive Abwehrmaßnahme von Cyberangriffen und deren Bedrohungen fungiert, sondern bietet auch effektive Abwehrmethoden und Sicherheitsvorkehrungen.
Fakt 2: Mehrere Unternehmen sind nun in der Pflicht
Die NIS-2-Richtlinie hat den Anwendungsbereich im Vergleich zur ursprünglichen NIS-1-Richtlinie deutlich erweitert. Sie gilt nun für alle Wirtschaftsakteure, die wesentliche oder wichtige Dienste anbieten. Dies bedeutet, dass neben großen Unternehmen nun auch kleine und mittelständische Unternehmen (KMU) in den Anwendungsbereich fallen. Mit dem Inkrafttreten im Oktober 2024 sind wichtige Bereiche wie Energie, Luft- Schienen-, Straßen und Schiffsverkehr, Bankwesen/Finanzwesen, Gesundheit, Wasser, Digitale Infrastrukturen und IT-Dienste, Öffentliche Verwaltung, Raumfahrt, Anbieter von Post- und Kurierdiensten, Abfallwirtschaft, Lebensmittel-Hersteller, Digitale Anbieter und Forschungseinrichtungen betroffen.
Fakt 3: Einer für Alle und Alle für Einen - Mehr Transparenz und Zusammenarbeit innerhalb der EU
Die Erweiterung des Anwendungsbereichs zielt darauf ab, eine größere Anzahl von Unternehmen in die Pflicht zu nehmen, robustere Sicherheitsmaßnahmen gegen Cyberangriffe und -bedrohungen zu implementieren und dadurch das allgemeine Sicherheitsniveau der Netz- und Informationssysteme in der EU zu erhöhen.
Der neue EU-Rechtsakt NIS-2 verschärft die Sicherheitsanforderungen an Netz- und Informationssysteme. Sie verlangt von Unternehmen angemessene technische und organisatorische Maßnahmen zur Risikobewältigung und wirksame Prozesse zur Reaktion auf Sicherheitsvorfälle. Zudem fordert sie regelmäßige Überprüfungen und Aktualisierungen der Sicherheitsmaßnahmen. Sie unterstützt Transparenz und Zusammenarbeit zwischen EU-Mitgliedstaaten, wobei Unternehmen ernsthafte Sicherheitsvorfälle melden müssen. Das fördert die schnelle Erkennung von Bedrohungen und bessere Koordinierung der Sicherheitsmaßnahmen in der gesamten EU. Kleinere Unternehmen und Mitgliedstaaten können so von den Erfahrungen und Unterstützung der größeren profitieren.
Fakt 4: Der neuste Stand der Technik wird beachtet
Die NIS-2-Richtlinie berücksichtigt auch die neuesten technologischen Entwicklungen und die sich konstant verändernde Bedrohungslandschaften. Beispielsweise wurden Vorschriften in Bezug auf neue Technologien wie Künstliche Intelligenz und das Internet der Dinge aufgenommen. Das Ziel ist es, sicherzustellen, dass die Unternehmen auf dem neuesten Stand der Technik bleiben und gleichzeitig ihre Netz- und Informationssysteme gegen alle Arten von Bedrohungen abgesichert sind.
Als Ergebnis sind betroffene Unternehmen dazu verpflichtet, sich mit diesen neuen Technologien auseinanderzusetzen, sich mit den damit verbundenen Risiken vertraut zu machen und geeignete Maßnahmen zur Risikobewältigung und -reduzierung zu treffen.
Fakt 5: Bei Verstoßen wird es teuer!
Die NIS-2-Richtlinie sieht hohe Strafen für Nichtbeachtung vor. Diese können Geldstrafen, administrative Sanktionen oder andere Maßnahmen, wie bspw. erhebliche Auswirkungen auf die Privatvermögen der Geschäftsführerinnen und Geschäftsführer, einschließen. Die genaue Höhe der Strafe hängt von der Schwere des Verstoßes ab und können sich auf bis zu 10 Millionen Euro bzw. zwei Prozent des Jahresumsatzes belaufen.
Ein Verstoß kann jedoch nicht nur finanzielle Folgen haben, sondern auch zum Verlust des Vertrauens der Kunden führen. Deshalb ist es wichtig, die Vorschriften zu befolgen und die Verschärfungen der Netz- und Informationssicherheit ernst zu nehmen.
Fakt 6: NIS-2 hat Parallelen zur DSGVO
Sowohl NIS-2 als auch die Datenschutz-Grundverordnung (DSGVO) unterstreichen die Notwendigkeit für Organisationen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um Sicherheitsrisiken zu minimieren. So betonen beide Verordnungen die Bedeutung von Datenschutz und Cybersicherheit, fordern Organisationen zur Compliance auf und verhängen bei Nichtbefolgung der Regelungen erhebliche Strafen.
Während die DSGVO mit dem Schutz personenbezogener Daten eine breitere Palette von Organisationen betrifft, ist NIS-2 mit ihrem spezifischerem Anwendungsbereich eher weniger bekannt. Doch bei genauerer Betrachtung, lassen sich wesentliche Parallelen finden, die die Wichtigkeit und Relevanz von NIS-2 klar herausstechen lässt:
- Als Folge einer immer stärker digitalisierten Gesellschaft und Wirtschaft schützen beide Richtlinien strategisch und wirtschaftliche Datenbestände und Informationsnetzwerke.
- Bei beiden Richtlinien wurde ein mehrstufiger Einführungsprozess verfolgt und es waren sowohl EU-Institutionen, die Mitgliedsstaaten als auch verschiedene Interessengruppen aktiv eingebunden. In einem offenen Dialog mit Wirtschaft, Zivilgesellschaft und öffentlicher Hand wurden beide Regularien entwickelt und angepasst.
- Beide Verordnungen setzen einen hohen Stellenwert auf Compliance und die Einführung von Sanktionen bei Verstößen.
Ende-zu-Ende-Verschlüsselung (E2EE) bzw. clientseitige Verschlüsselung ist ein wichtiger Sicherheitsmechanismus zum Schutz unserer digitalen Kommunikation, bspw. via E-Mail. Sie gewährleistet, dass nur die kommunizierenden User - und niemand sonst - die Informationen entschlüsseln und lesen können. Dies erhöht die Datensicherheit und schützt die Informationen vor unerlaubtem Zugriff oder Manipulation während der Übertragung.
Gemäß den Anforderungen der NIS-2-Richtlinie muss eine Organisation Maßnahmen ergreifen, um ihre Systeme und Netzwerke vor solchen Risiken zu schützen. Die Verschlüsselung spielt dabei eine entscheidende Rolle, da sie verhindert, dass sensible Daten während der Übertragung aufgedeckt oder gestohlen werden, wie bspw. über Phishing. Eine Ende-zu-Ende Verschlüsselung sollte daher zentraler Bestandteil jeder ernsthaften Datenschutzstrategie sein.
Fakt 8: Mehrere Faktoren verbessern die Sicherheit beim Account-Login
Ein weiteres unerlässliches Schlüsselelement für die Einhaltung der NIS-2-Richtlinie ist die Implementierung einer Multifaktor-Authentifizierung (MFA). MFA ist ein Sicherheitssystem, das mehr als eine Verifizierungsmethode verwendet, um die Identität des Benutzers zu bestätigen. Dabei gibt es viele Wege zur digitalen Authentifizierung, aber im Kern drehen sich alle um 3 Kernfaktoren:
- Etwas, das man hat - wie bspw. einen Hardware-Token in Form eines USB-Sticks
- Etwas, das man ist - wie die unverwechselbare Biometrie (Face ID, Touch ID)
- Etwas, das man weiß - wie ein Passwort oder eine PIN
Fakt 9: NIS-2 hat erhebliche Auswirkungen auf bestehende Regularien
Die NIS-2-Richtlinie wird voraussichtlich erhebliche Auswirkungen auf bestehende und zukünftige Regularien in der gesamten EU haben. Behörden, Organisationen und Unternehmen müssen sicherstellen, dass sie über ein fundiertes Verständnis der neuen Richtlinie und ihrer Anforderungen verfügen, um die Einhaltung sicherzustellen. Darüber hinaus könnte die NIS-2-Richtlinie die Art und Weise verändern, wie Organisationen ihre Cybersicherheitsstrategien planen und umsetzen (müssen).
In Deutschland wird die EU-Verordnung in Form des NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Es ist geplant, dass verschiedene Anforderungen aus dem NIS2UmsuCG durch eine oder mehrere Rechtsverordnungen konkretisiert und im Einklang mit dem neuen KRITIS-Dachgesetz definiert werden. Beide neuen Gesetze werden ab Oktober 2024 die bestehende KRITIS-Regulierung in Deutschland ablösen, die Resilienz und physische Sicherheit Kritischer Infrastrukturen regulieren und für mehr Cybersicherheit im deutschen Cyberraum sorgen.
Es steht außerdem schon fest, dass inhaltliche Veränderungen am Telekommunikationsgesetz vorgenommen, sowie das Energiewirtschaftsgesetz und der Energie-Sicherheitskatalog aktualisiert werden müssen.
Worauf es jetzt ankommt
NIS-2 wird als ein wichtiger Bestandteil der fortschrittlichen EU-Cybersicherheitsinitiativen die IT-Sicherheit in Europa wesentlich verbessern und wird als erstes EU-Gesetz überhaupt nicht nur KRITIS-Unternehmen betreffen. In Deutschland sind schätzungsweise 30.000 Unternehmen betroffen. Diese müssen ihre Daten jetzt schützen und sicherstellen, dass sie den Compliance-Standards von NIS-2 entsprechen.