EU-Richtlinie NIS2: Was ändert sich?

NIS-2-Richtlinie: Welche Neuerungen gibt es? | Stormshield

Die NIS-Richtlinie wurde im Juli 2016 von den EU-Institutionen verabschiedet und soll ein bestimmtes Sicherheitsniveau für Netzwerke und Informationssysteme kritischer und sensibler Infrastrukturen in den Mitgliedsländern der Europäischen Union gewährleisten. Sechs Jahre später wird die Überarbeitung dieser Richtlinie beschleunigt, wobei die ersten Vereinbarungen zwischen der Kommission, dem Parlament und dem Europäischen Rat im Mai und Juni 2022 getroffen werden sollen. Die neue NIS2-Richtlinie ist noch nicht verabschiedet und wirft bereits viele Fragen zu ihren Auswirkungen und ihrem Geltungsbereich auf. Hier einige Erklärungen.

 

Eine Erweiterung der beteiligten Akteure

Die Zunahme von Cyberangriffen in den letzten Jahren zwingt die EU-Mitgliedstaaten, ihr Sicherheitsniveau zu erhöhen, um Bürger, Gebietskörperschaften und Unternehmen zu schützen. Um dieser Herausforderung zu begegnen, wird die NIS-Richtlinie in einer Version 2.0 reformiert, harmonisiert und gestärkt. Laut Thierry Breton, EU-Kommissar für Binnenhandel, soll diese Reform „mehr Sicherheit auf dem Gebiet der für die Gesellschaft und die Wirtschaft kritischen Dienstleistungen bieten“. Und es ermöglichen, „die Regeln zu modernisieren“.

Die erste Stufe der Harmonisierung wird sich in einer Erweiterung der betroffenen Sektoren niederschlagen. Durch die Einbeziehung der Sektoren Postdienste, Abfallwirtschaft, Herstellung und Vertrieb von Chemikalien oder Lebensmitteln werden die von der NIS2-Richtlinie betroffenen Sektoren somit von 19 auf 35 erhöht. Für Frankreich erklärte Guillaume Poupard, Generaldirektor der ANSSI, im Juni 2022, dass die NIS2-Richtlinie ihren Aktionsradius erheblich erweitern werde, was „eine zehnfache Zunahme der Anzahl der als Betreiber von Grundversorgungsdiensten (OSE) eingestuften Akteure“ bedeuten würde. Bisher gibt es keine offiziellen Zahlen über die Anzahl der betroffenen Unternehmen, aber erste inoffizielle Schätzungen gehen davon aus, dass bis zu mehreren tausend französische Organisationen betroffen sind.

Auch die lokalen und regionalen Gebietskörperschaften werden in diese Reform einbezogen. Laut einem Interview mit Yves Verhoeven, dem stellvertretenden Direktor für Strategie bei ANSSI, für die Zeitung La Tribune: „Das überarbeitete NIS bietet die Möglichkeit, die lokalen und regionalen Gebietskörperschaften zu regulieren und ihnen Regeln für die Cybersicherheit aufzuerlegen“. Jeder Mitgliedstaat hat es in der Hand, den Geltungsbereich der neuen Richtlinie auf seine Kommunalverwaltungen auszuweiten oder nicht.

In der ersten Version vergessen, werden nun auch Subunternehmer und Dienstleister, die Zugang zu einer kritischen Infrastruktur haben, der NIS2-Richtlinie unterworfen. Denn Schwachstellen in der Infrastruktur eines Anbieters konnten die Sicherheit der OSE für die er arbeitet, in Frage stellen. Der Cyberangriff, der im Juli 2021 das Unternehmen Kaseya traf, ist ein trauriges und berühmtes Beispiel für solche Supply-Chain-Attacken. Sobald NIS 2 angewendet wird, wird die Realität vor Ort ganz anders aussehen. Beispielsweise werden im Energiesektor nicht mehr nur Stromerzeuger, -transporteure und -verteiler zu Sicherheitsmaßnahmen verpflichtet. Alle Zulieferer für kritische Infrastrukturen werden ebenfalls einbezogen .Dienstleistungsunternehmen und andere NSE werden insbesondere verpflichtet sein, jeden Sicherheitsvorfall innerhalb von 72 Stunden zu melden, um die Ausbreitung des Angriffs einzudämmen. So ist zu erwarten, dass kleine und mittlere Unternehmen schnell ein CISO-Profil einstellen werden, um den Sicherheitsanforderungen gerecht zu werden und weiterhin bei Großunternehmen tätig zu sein. Dies führt zu einer zusätzlichen Anspannung auf einem Arbeitsmarkt, der bereits an seinem Wendepunkt zu stehen scheint ...

 

NIS2, auf dem Weg zum Ende der OSE

Definitionspunkt, bevor wir über deren Ende sprechen: Was ist ein OSE? Gedacht als eine Erweiterung des Status von OIV der in Frankreich durch das Militärprogrammgesetz von 2013 eingeführt wurde, ist ein OSE ein Betreiber von Grundversorgungsdiensten, dessen Ausfall des IT-Systems oder seiner Infrastruktur erhebliche Auswirkungen auf das Funktionieren der französischen Wirtschaft oder Gesellschaft hätte.

Doch mit der Einbeziehung von Subunternehmern und Dienstleistern, die für eine kritische Infrastruktur verantwortlich sind, signalisiert die NIS2-Richtlinie das Ende der OSE. Von nun an wird der Umfang dieser regulierten Betreiber in zwei Typologien von Akteuren unterteilt: wesentliche Einheiten (EE) und wichtige Einheiten (EI), die nach der Kritikalität der damit verbundenen Sektoren unterschieden werden. So haben wesentliche Einheiten bei einem Ausfall des Dienstes logischerweise größere Auswirkungen als wichtige Einheiten. Das Ende der Betreiber von Grundversorgungsdiensten (und der Anbieter digitaler Dienste) sowie die Annahme der Typologien wesentlicher und wichtiger Unternehmen zielen darauf ab, alle Verpflichtungen gegenüber diesen Akteuren zu harmonisieren.

Dieser Wunsch nach Harmonisierung wirft auch Fragen auf, denn es sind tatsächlich die Unternehmen und Betreiber, die sich ... selbst als EE oder EI bezeichnen müssen. Dabei orientieren sie sich an einer von 35 zuvor festgelegten Branchen und der Größe ihrer Einheit (ETI und Großunternehmen, mittlere Unternehmen sowie Klein- und Kleinstunternehmen). Ergänzend dazu kann jedes Mitgliedsland nach eigenem Ermessen bestimmte Betreiber nach bisher nicht genannten Kriterien als wesentlich oder wichtig bezeichnen. Auswahlkriterien, die im Übrigen noch nicht vollständig festgelegt sind. Ein Schwellenwert für die Anzahl der Beschäftigten oder eine bestimmte Umsatzhöhe sollen zum Zeitpunkt der Abfassung dieses Artikels im Gespräch sein.

 

Eine neue verbindliche Dimension der Richtlinie

Thierry Breton zufolge bietet diese Reform der Richtlinie den Unternehmen mehr Sicherheit, „indem sie ein System von Verpflichtungen und Sanktionen einführt“. Die NIS2-Richtlinie ist laut dem EU-Kommissar ein echter „großer Fortschritt“ und erweitert daher ihre Durchsetzungsbefugnisse. Zunächst einmal ermöglicht die Verpflichtung, einen Schaden innerhalb von 72 Stunden zu melden, eine schnellstmögliche Reaktion und die Eindämmung der Cyberbedrohung. Parallel dazu müssen sich Unternehmen, Auftragnehmer und Behörden Sicherheitsprüfungen unterziehen, um Empfehlungen zu erhalten und so drastische Sicherheitsstandards zu erfüllen.

Für nicht kooperierende oder sich fehlverhaltende Unternehmen hat die NIS2-Richtlinie auch die Sanktionen ausgearbeitet. Im Falle eines Sicherheitsvorfalls und der Weigerung, mit den Behörden zusammenzuarbeiten, stattet NIS 2 die Staaten mit einem Anordnungsrecht aus. Die Unternehmen müssen sich also den Forderungen des Staates unterwerfen und können mit Geldstrafen zwischen 1,4 % und 2 % des Umsatzes belegt werden. Wie bei dem früheren OSE-Status kann der Geschäftsführer haftbar gemacht werden.

Doch obwohl diese Reform die Sicherheit erhöhen soll, wirft sie auch Haushaltsfragen auf. Bei den Tausenden von betroffenen Unternehmen müssen sich die Exekutivausschüsse auf ihre Budgets für Investitionen in Cybersicherheitsprodukte konzentrieren. Und ihnen mehr Flexibilität zugestehen. Und wie sieht es mit den Gemeinden, Departements und Regionen aus? Diese Einrichtungen sind weniger flexibel als ihre privaten Pendants und müssen mit den Möglichkeiten, die sich ihnen bieten (wie dem Plan France Relance), mit begrenzten Budgets und fehlenden Humanressourcen zurechtkommen. Ein Rückstand in Bezug auf Instrumente und Kompetenzen, der insbesondere für kleine und mittlere Gemeinden bereits heute schwer aufzuholen ist und sich nach der Umsetzung der NIS2-Richtlinie sogar noch verschärfen könnte.

 

NIS 2, wann ist es soweit? Die Antwort ist nicht so einfach. Zum Zeitpunkt der Abfassung dieses Artikels befindet sich die NIS2-Richtlinie noch in der Entwicklungsphase. Es gibt noch einige Validierungsphasen, bevor sie angewendet werden kann. Nach einer rechtlichen Validierung auf nationaler Ebene soll Ende 2022 eine Veröffentlichung in den verschiedenen EU-Mitgliedsstaaten erfolgen. Die Umsetzung, ebenfalls auf nationaler Ebene, dürfte daher nicht vor Ende 2023, Anfang 2024 erfolgen. Zeit genug für alle betroffenen Einheiten, um sich auf eine große Veränderung angesichts der Cyberbedrohung vorzubereiten?

Teilen auf

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Stormshield ist ein vertrauenswürdiger Anbieter von Cyber-Sicherheitslösungen für den Schutz Ihres Unternehmens. Aber worin besteht wirklich unser Alleinstellungsmerkmal? Entdecken Sie, was unseren Ansatz so einzigartig macht: Vertrauen, Gründlichkeit, Nähe und Zusammenarbeit.

Über den Autor

mm
Vincent Nicaise
Industrial Partnership and Ecosystem Manager, Stormshield

Vincent kann bereits auf eine lange berufliche Erfahrung verweisen und kennt sich in den Bereichen Vertrieb, Marketing und Technik bestens aus. Seine Leidenschaften sind Street-Art, Oktopus und Cybersicherheit (nicht unbedingt in dieser Reihenfolge) und er ist für die Partnerschaften mit dem gesamten Ökosystem der Cyberindustrie verantwortlich. Da wird ihm nie langweilig.