Was verbirgt sich hinter der NIS 2-Richtlinie?
Die Richtlinie zur Netz- und Informationssicherheit (NIS 2) Opens in a new tab der Europäischen Union ersetzt die NIS-Richtlinie von 2016 und zielt darauf ab, ein "hohes, gemeinsames Cyber-Sicherheitsniveau in den EU-Mitgliedstaaten" zu schaffen. Dies soll sichergestellt werden, indem die Anforderungen an die Cyber-Sicherheit in kritischen Sektoren und in denjenigen Branchen und Einrichtungen, die für das Funktionieren der Wirtschaft unverzichtbar sind, weiter verschärft werden.
Was sind die wichtigsten Änderungen?
Zu den wichtigsten Änderungen im Rahmen von NIS 2 gehören:
Ausweitung der Wirtschaftszweige und Unternehmen, die in den Anwendungsbereich der NIS 2 fallen.
Die ursprüngliche NIS-Richtlinie umfasste lediglich Betreiber kritischer Dienste wie Wasserversorgung, Gesundheitswesen, Energie, Verkehr und einige Anbieter digitaler Dienste. Die NIS 2 wurde unter anderem auf Branchen wie Post- und Kurierdienste, Lebensmittelproduktion und -handel, das verarbeitende Gewerbe und Abfallbewirtschaftung ausgeweitet. Diese Branchen fallen unter die NIS 2, sofern das Unternehmen mehr als 49 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. Jahresbilanz von über EUR 10 Millionen erwirtschaftet.
Verantwortlichkeiten des Managements
Die Leitungsorgane sind persönlich dafür verantwortlich, die Risikomanagement-Maßnahmen für die Cyber-Sicherheit zu genehmigen und ihre Umsetzung zu überwachen. Bei Verstößen gegen diese Verpflichtung können sie persönlich haftbar gemacht werden. Zudem müssen die Mitglieder der Geschäftsleitung Schulungen aus dem Bereich der Cyber-Sicherheit absolvieren, damit sie über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen und Risikomaßnahmen sowie deren Auswirkungen zu bewerten.
Einführung eines Cybersicherheitsrisikomanagements
Unternehmen sollten geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um ihre Cyber-Risiken zu kalkulieren und die Auswirkungen von Vorfällen auf Dritte zu verhindern oder zu minimieren.
Die Richtlinie enthält etliche Mindestanforderungen, die die Betroffenen umsetzen müssen. Diese reichen von der Verwendung einer Multi-Faktor-Authentifizierung über den Umgang mit Vorfällen bis hin zum Zugriffs- und Lieferkettenmanagement.
Die Maßnahmen im Bereich des Risikomanagements für Cyber-Sicherheit müssen dokumentiert werden und es müssen Konzepte und Verfahren zur Erhebung der Effektivität des Risikomanagements vorhanden sein. Insbesondere der Umgang mit Zwischenfällen muss klar definiert sein und es müssen Response- und Recovery-Pläne vorliegen.
Im Falle eines Cyber-Vorfalls müssen Unternehmen innerhalb eines engen Zeitrahmens drei konkrete Schritte einhalten:
- Innerhalb von 24 Stunden nach einem Cyber-Angriffs muss eine Frühwarnung an die zuständige Behörde gesendet werden.
- Innerhalb von 72 Stunden muss eine detaillierte Meldung über den Vorfall übermittelt werden.
- Innerhalb eines Monats muss ein Abschlussbericht über den Vorfall bzw. ein Zwischenbericht übermittelt werden.
Sicherheit der Lieferkette
Das Cyber-Sicherheitsrisikomanagement umfasst insbesondere auch die Lieferkette. Organisationen, die in den Anwendungsbereich der NIS 2 fallen, sollten die spezifischen Schwachstellen all ihrer wesentlichen Zulieferer und Dienstleister berücksichtigen, um die Auswirkungen von Zwischenfällen in der Lieferkette zu verhindern bzw. zu minimieren.
Hohe Geldstrafen
"Wesentliche" Einrichtungen, die gegen die NIS 2 verstoßen, müssen mit Bußgeldern in Höhe von bis zu EUR 10 Millionen oder 2 Prozent ihres weltweiten Jahresumsatzes rechnen (je nachdem, welcher Betrag höher ist). Für „wichtige" Einrichtungen sind Bußgelder von bis zu EUR 7 Millionen oder 1,4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) vorgesehen.