Die Zunahme von Online-Transaktionen und Homeoffice begünstigt Cyberbedrohungen mehr als je zuvor. In ihrem Bericht über Cyberbedrohungen in der Informatik („Panorama de la menace informatique“, Ausgabe 2022) verzeichnet die französische IT-Sicherheitsbehörde Anssi für 2021 einen Anstieg von 37 % der gemeldeten Eindringversuche in IT-Systeme im Vergleich zu 2020. Angesichts des zunehmenden Risikos hat die Europäische Kommission die NIS-Richtlinie von 2016 – es handelt sich dabei um den ersten europäischen Gesetzestext zur Regulierung der Cybersicherheit – überarbeitet, um ihren Anwendungsbereich zu erweitern und den für die Mitgliedstaaten geltenden europäischen Rechtsrahmen zu vereinheitlichen. Diese im Juli 2022 gebilligte Überarbeitung wurde jetzt als NIS-2-Richtlinie veröffentlicht.
NIS1, ein Grundlagentext auf dem Gebiet der Cybersicherheit und Regulierung
Da sie seit ihrem Inkrafttreten im Jahr 2018 fester Bestandteil der Cybersicherheit ist, könnte man fast vergessen, wie innovativ die NIS-Richtlinie (Network and Information System Security) eigentlich ist. Es handelt sich um den ersten Versuch, das globale Cybersicherheitsniveau innerhalb der 27 Mitgliedstaaten zu stärken und eine Reihe von Garantien festzulegen, die zur Entwicklung eines vertrauenswürdigen Ökosystems beitragen. Dabei wird der Schwerpunkt auf die sogenannten „Erbringer grundlegender Dienstleistungen“ („Essential Service Provider“) gelegt: Diese Unternehmen erbringen nach Definition der Anssi „grundlegende Dienstleistungen, deren Unterbrechung schwerwiegende Auswirkungen auf Wirtschaft und Gesellschaft hätte“.
Mit anderen Worten, die NIS-Richtlinie sieht als erster gemeinsamer Standard Maßnahmen zur Bekämpfung von Cyberbedrohungen in der Europäischen Union vor. Die in nationales Recht der Mitgliedstaaten umgesetzte Richtlinie hat die Einführung von Rechtsinstrumenten ermöglicht und für die wichtigsten Akteure des Marktes zu einer unbestreitbaren Verbesserung des Sicherheitsniveaus geführt.
Angesichts der sich wandelnden Bedrohung war eine Weiterentwicklung dieses Gesetzestextes jedoch unerlässlich, insbesondere um den Anwendungsbereich auszudehnen und die Unternehmen auf die aktuellen und zukünftigen Herausforderungen der Cybersicherheit vorzubereiten. Diese Feststellung hat dazu geführt, dass die Kommission eine Überarbeitung der Richtlinie unter der Bezeichnung NIS2 vorgeschlagen hat.
NIS2, ein für die neuen Cyber-Herausforderungen besser geeigneter Rechtsrahmen
Die Überarbeitung der NIS ist aus dem Bestreben hervorgegangen, die Regulierungsmaßnahmen der ersten Version zu aktualisieren, sich dabei auf die neu erworbenen Kenntnisse zu stützen und die neuen Cyberbedrohungen vor dem Hintergrund einer immer stärkeren globalen Vernetzung einzubeziehen.
Aus diesem Grund wurde der Anwendungsbereich der NIS-2-Richtlinie auf mehr als 150 000 Unternehmen (im Gegensatz zu ca. hundert für die NIS1) ausgedehnt, um auch Branchen wie Internetzugangsdienste, Datacenter-Services, Großhandel, Forschung, Postdienstleistungen oder Abfallmanagement abzudecken. Vorher konzentrierten sich die Maßnahmen auf Branchen wie Telekommunikation, Nahrungsmittel, Transportwesen, Gesundheit, Energie, Wasserversorgung und Finanzdienstleistungen.
Zu den weiteren Neuheiten der NIS2 gehört auch die Meldepflicht von Vorfällen (Cyberangriffe, Datenverluste etc.), die bedeutende betriebliche oder finanzielle Risiken darstellen. Und schließlich sind Sanktionen für Unternehmen vorgesehen, die die organisatorischen und technischen Maßnahmen nicht einhalten. Das Bußgeld kann bis zu 2 % des weltweiten Jahresumsatzes des zuwiderhandelnden Unternehmens betragen.
Ein strengerer Rechtsrahmen für eine bessere Zusammenarbeit
Die NIS-2-Richtlinie hat zum Ziel, den Rechtsrahmen der NIS1 zu stärken, um der Entwicklung des Binnenmarktes und der Diversifizierung der Bedrohung Rechnung zu tragen. Aus diesem Grund zwingt sie Unternehmen dazu, verstärkt Cybersicherheitsmaßnahmen anzuwenden. Ein weiteres Ziel ist die Verbesserung der Cyberresilienz innerhalb der Europäischen Union, indem sichergestellt wird, dass sich die kritischen Akteure dieser Risiken bewusst sind und die erforderlichen Maßnahmen zur Bekämpfung dieser IT-Risiken ergriffen haben.
Aber das ist noch nicht alles. Denn neben dem Teil „Regulierung“ zielt die NIS-2-Richtlinie auch darauf ab, die Zusammenarbeit innerhalb der Europäischen Union zu stärken. Und genau das ist der Anspruch des CyCLONe-Netzwerks (Cyber Crisis Liaison Organisation Network), das auf operativer Ebene die für das Krisenmanagement zuständigen nationalen Behörden der EU-Staaten zusammenbringt. Dieses Netzwerk wurde 2020 mit dem Ziel gegründet, zur Umsetzung eines Aktionsplans bei grenzüberschreitenden Cyberangriffen oder Krisen beizutragen und den Unternehmen zu ermöglichen, die Informationen zu den Bedrohungen effizienter zu teilen.
Die NIS-2-Richtlinie ist somit ein weiterer Schritt in Richtung eines einheitlichen Rechtsrahmens auf dem Gebiet der Cybersicherheit für alle europäischen Länder. Doch dieser rechtliche Fortschritt bleibt auf große Strukturen beschränkt. Mit anderen Worten, die kleinen und mittelständischen Unternehmen werden nicht in den Prozess einbezogen, obwohl sie am schlechtesten für den Kampf gegen Cyberrisiken gerüstet sind (in Europa ist nach Angaben des „Baromètre Anozr Way“ jedes zweite Unternehmen, das Opfer einer Ransomware ist, ein kleines oder mittelständisches Unternehmen ). Es ist also Aufgabe der nationalen Instanzen, die kleinen Strukturen in Bezug auf Cyberrisiken und bewährte Verhaltensweisen zum Schutz vor solchen Gefahren zu sensibilisieren.
