Die EU macht ernst: Bald ist Schluss mit laxen IT-Security-Vorkehrungen und Larifari-Schutz. Die seit Mitte Januar 2023 in Kraft getretene NIS2-Richtlinie, die zur Sicherheit von Netz- und Informationssystemen überarbeitet und ausgeweitet wurde, soll es richten und IT-Infrastrukturen in neue Resilienz-Bahnen lenken.
In einer Zeit, in der viele EU-Gesetze und -Vorschriften oft kontrovers diskutiert werden, finden bestimmte Richtlinien breite Zustimmung. Während einige Regelungen der Europäischen Union - wie beispielsweise die Vorschriften zur Krümmung von Bananen oder die Lautstärke von Dudelsäcken - fragwürdig erscheinen mögen, hat die EU in den Bereichen Datenschutz und Cybersicherheit Standards gesetzt. Die Datenschutz-Grundverordnung (DSGVO) setzte neue Maßstäbe für den Schutz personenbezogener Daten und stärkte die Rechte von Verbrauchern. Die jüngste Aktualisierung der „Netzwerk- und Informationssicherheit"-Richtlinie (NIS2) schickt sich an, Unternehmen der EU zu einer robusten Cyberabwehr zu verpflichten.
Was ist NIS2?
Vor dem Hintergrund der fortschreitenden Digitalisierung und der sich verschärfenden Bedrohungslage wurde durch die Europäische Kommission der massive Bedarf erkannt, die Mindeststandards für technische und organisatorische Maßnahmen zum Schutz vor Cyberbedrohungen anzupassen. Ebenso soll die Anzahl der von der Regulierung erfassten Unternehmen deutlich ausgeweitet werden. Durch Harmonisierung und Standardisierung möchte die EU die grenzüberschreitende Zusammenarbeit der für die Cyberabwehr zuständigen Institutionen in den Mitgliedsstaaten deutlich optimieren. Im Dezember 2022 veröffentlicht und seit Januar 2023 in Kraft, sind dies die Kernziele der neuen EU-NIS2-Richtlinie. Bis zum 17. Oktober 2024 muss die EU-NIS2-Richtlinie in allen 27 Mitgliedsländern der EU in nationales Recht umgesetzt sein. Schätzungsweise beläuft sich die Zahl der neuen, rechenschaftspflichtigen Adressaten auf 100.000 Einrichtungen.
Cybervorfälle: Alarmstufe Rot für Unternehmen & Co.
Mit den einheitlichen Mindestanforderungen und Standards soll das Cybersicherheitsniveau in der Europäischen Union und damit die Resilienz von Wirtschaft, Staat und Verwaltung deutlich verbessert werden. Außerdem wird eine Harmonisierung und Verbesserung der Zusammenarbeit über nationalstaatliche Grenzen hinweg angestrebt. Neben den betroffenen Unternehmen, die die Compliance-Anforderungen der NIS2-Richtlinie erfüllen müssen, ist also auch der Staat gefordert, die entsprechenden Institutionellen Ressourcen und Strukturen zu schaffen und NIS2-relevante Zuständigkeiten klar zu regeln. Nicht viel Zeit für Staat und Unternehmen, alle Anforderungen fristgemäß anzupassen.
Was kommt mit NIS2 auf Staat und Wirtschaft zu?
Um dem erhöhten Bedarf nach Cybersicherheit in einzelnen, von der KRITIS-Regulierung bislang nicht betroffenen Unternehmen gerecht werden zu können, wurde ein neuer Ansatz gewählt. Nicht mehr Schwellenwerte entscheiden darüber, ob ein Unternehmen oder eine Organisation in einem der regulierten Sektoren betroffen ist, sondern die Unternehmensgröße oder der bilanzierte Umsatz bzw. Ertrag. Die Mindestanforderungen und Standards der nationalen NIS2-Umsetzung gelten auch für Unternehmen aus bestimmte Lieferketten: Experten sprechen von einer indirekten Betroffenheit für Lieferanten und Dienstleister.
NIS 2 gilt also nicht mehr ausschließlich für klassische Betreiber kritischer Infrastrukturen, sondern wird zu einer allgemeinen Compliance Anforderungen für die europäische Wirtschaft in nunmehr 18 regulierten Sektoren. Die Richtlinie definiert elf Sektoren der Wirtschaft mit besonders hohem Gefährdungspotential („Essential Entities“) und weitere sieben in den „Important Entities“.
Unterschiede zwischen Essential und Important Entities ergeben sich im Bereich der staatlichen Aufsicht, der Sanktionen und der umzusetzenden technischen und organisatorischen Maßnahmen. Welche Maßnahmen konkret für die betroffenen Unternehmen umzusetzen sind hängt wiederum von der Einordnung in die Gruppe der Essential oder der kritischen Entities und von der jeweiligen Unternehmensgröße ab.
Innerhalb der regulierten Sektoren werden Unternehmen anhand ihrer Unternehmensgröße oder ihres Jahresumsatzes von den regulatorischen Maßnahmen betroffen sein. Hier unterscheidet NIS 2 zwischen mittleren Unternehmen, ab einer Größe von 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz und großen Unternehmen, ab einer Beschäftigtenzahl von 250 oder 50 Millionen Euro Jahresumsatz. Darüber hinaus werden die Mitgliedstaaten in ihren nationalen Umsetzungsgesetzen die Möglichkeit nutzen, in den regulierten Sektoren Unternehmen unabhängig von Unternehmensgröße und Umsatz, anhand weiterer qualifizierender Faktoren unter die NIS2-Regulierung zu stellen. Das Thema der Unternehmen im besonderen öffentlichen Interesse wird damit neu geregelt.
Ähnlich wie bei der Datenschutzgrundverordnung sieht auch die NIS2 Richtlinie und deren nationale Umsetzung einen konkreten Sanktionskatalog bei Nicht-Compliance für die betroffenen Unternehmen vor. Neben den für Unternehmen vorgesehenen Bestrafungen sieht die NIS2 auch Bußgelder und Sanktionen für die Leitungsorgane der Betreiber im Falle von Verstößen vor. Die Pflichten für die verantwortlichen Manager in den regulierten Unternehmen und Organisationen machen deutlich: „Security ist Chefsache!“ und das mit allen Konsequenzen für Firmenlenker, die ihre Verantwortung bezogen auf die Umsetzung der NIS2-Anforderungen nicht ernst genug nehmen.
Stand der Technik spielt auch hier große Rolle
Wie entscheidend die Absicherung der IT-Infrastruktur und vertraulicher Informationen geworden ist, beweist der digitale Dauerbeschuss auf Organisationen beliebiger Größe. Astronomisch gestiegene Sicherheitslecks und Datenpannen zwangen die EU schon beim Thema Datenschutzrecht zum Handeln: Die DSGVO sollte häufige „Fehler im System“ wie mangelnde Sicherheitsvorkehrungen oder die Wahrnehmung von Datenschutz als lästiges Übel stärker eindämmen.
Hier spielte ein Begriff eine tragende Rolle, der sich auch in der NIS2-Richtlinie wiederfindet: Stand der Technik. Die NIS-2-Richtlinie regelt in Art. 21 ausdrücklich, dass die betroffenen Unternehmen und Organisationen unter Berücksichtigung des Stands der Technik geeignete und angemessene technische, organisatorische sowie operative Maßnahmen vornehmen müssen, um Cybersicherheitsrisiken zu beherrschen und Folgen von Sicherheitsvorfällen zu verhindern. Konkret sieht NIS2 eine Vielzahl von Mindestvorkehrungen vor. Hierzu zählen:
• Policies: Richtlinien für Risiken und Informationssicherheit
• Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
• Business Continuity: BCM mit Backup Management, DR, Krisen Management
• Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
• Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
• Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
• Training: und Cyber Security Hygiene
• Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
• Personal: Human Resources Security
• Zugangskontrolle
• Asset Management (ISMS)
• Authentication: Einsatz von Multi Factor Authentisierung und SSO
• Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
• Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
Was heißt denn Stand der Technik genau?
Auf den ersten Blick erscheint der Begriff «Stand der Technik» absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien, Produkten oder Dienstleistungen. Das Ganze hat aber einen Haken: Je nach Branche und Anwendungsbereich kann die Definition von Stand der Technik unterschiedlich ausfallen. Insbesondere in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen - wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) - und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf Kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.
Der Begriff Stand der Technik in der IT-Sicherheit ist nicht klar umgrenzt. So gibt es keine eindeutigen Handlungsempfehlungen oder eine genaue Definition, welche IT-Security-Technologien oder -Lösungen Unternehmen und Organisationen einsetzen sollen. Je mehr man sich mit diesem unbestimmten Rechtsbegriff auseinandersetzt, umso vielschichtiger und weitreichender wird seine Tragweite. Im Gegensatz zu anderen Branchen ist der Stand der Technik letzten Endes und schlimmstenfalls für das Überleben des Unternehmens entscheidend.
Ausblick: ESET startet NIS2-Kampagne
Ende April startet ESET eine umfangreiche Informationskampagne zum Thema NIS2. Mit Whitepapern, Podcasts, Fachartikeln, Blogs und einiges mehr wollen wir Ihnen helfen, die Anforderungen zu verstehen und umzusetzen. Auch wenn Sie nicht unter NIS2 fallen sollten, könnte unser Wissenstransfer dazu beitragen, Ihr Sicherheitsniveau weiter zu verbessern.