Digitale Wirtschaft

Verschärfte EU-Regelungen für IT-Sicherheit

0
© pixabay von pexels

Immer mehr Cyber-Angriffe auf Unternehmen und kritische Infrastrukturen setzen die EU unter Druck. Diese reagiert mit verschärften Vorschriften. So soll die NIS2-Direktive bis 2024 den Mindeststandard für IT-Sicherheit in Europa festlegen. Was das für Unternehmen bedeutet, erläutern die Spezialisten der AirITSystems GmbH.

Die Bedrohungslage hat sich für viele Unternehmen verstärkt. Trotz aller Vorsichtsmaßnahmen kann man täglich nachlesen, welche Unternehmen aktuell betroffen sind, z. B. der Hannoversche Nahverkehr. Gleichzeitig berichten die Medien darüber, dass die schnellste Schadsoftware namens Rohrschach gefunden wurde. Von daher ist es kaum verwunderlich, dass das Europäische Parlament mit der NIS2-Richtlinie die Bedrohungen für Netz- und Informationssysteme eindämmen möchte.

Was ist NIS2?

NIS2 – auch bekannt als Direktive (EU) 2022/2555 – ist die überarbeitete Version der EU-weiten Rechtsvorschrift (Richtlinie (EU) 2016/1148 NIS1) von 2016 über die Netz- und Informationssicherheit. Hierbei werden die Anforderungen an die Informationssicherheit festgelegt – insbesondere für Betreiber kritischer Infrastrukturen. NIS2 wurde am 14. Dezember 2022 verabschiedet und ist seit dem 16.01.2023 in Kraft. Da die NIS2 eine EU-Richtlinie ist, muss sie in allen Mitgliedstaaten der EU in nationales Recht umgesetzt werden. Die Mitgliedstaaten haben somit nach der Veröffentlichung von NIS2 nur 21 Monate Zeit, die Direktive in nationales Recht zu übernehmen.

Was bedeutet NIS2 für Deutschland?

Deutschland wird die Gesetze für IT-Sicherheit anpassen müssen, dazu zählen zum Beispiel das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung. Es ist daher zu erwarten, dass in den nächsten 2 Jahren bestehende Gesetze verschärft oder neue veröffentlicht werden, um den NIS2- Anforderungen gerecht zu werden. Welche Verpflichtungen auf Unternehmen genau zukommen werden, wird sich aus den kommenden Gesetzen ergeben.

Was ändert sich mit NIS2?

Die wichtigsten Anforderungen der NIS1-Richtlinie bleiben erhalten, wie z. B. dass ein Informationssicherheitsmanagementsystem (ISMS) notwendig wird.

Einige der wichtigsten NIS2-Änderungen:

Insgesamt 18 Sektoren – bzw. Unternehmensbereiche – zählen zu kritischen, schützenswerten Infrastrukturen. Dazu zählen nicht nur die offensichtlichen Unternehmen wie z. B. Energie-Versorger, sondern auch Kurierdienste oder Produktionen.
NIS2 wird für mittelgroße Unternehmen in diesen 18 Sektoren gelten. Wer als mittelgroß gilt, wird durch die EU-Verordnung 2003/361/EG geregelt.
Sanktionen sollen zwischen 1,4 und 2 % des „weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes“ betragen. Oder „Geldbußen mit einem Höchstbetrag von mindestens 7 Mio./10 Mio. EUR“ – je nachdem welcher Betrag höher ist. Auch hier ist nicht ganz klar, ob es ein „Höchstbetrag“ ist (also maximal) oder „mindestens“ (ab 7 Mio. bzw. 10 Mio. Euro) diese Summe. Hier widerspricht sich die EU-Verordnung in Artikel 34 Punkt 4 und 5.
Die Geldbußen sollen auf jeden Fall „wirksam, verhältnismäßig und abschreckend“ sein.
Unternehmen müssen zudem sicherstellen, dass die IT-Sicherheit für die gesamte „Lieferkette“ eingehalten wird.
Darüber hinaus wird ein europäisches Verbindungsnetz für Cyberkrisen namens EU-CyCLONe geschaffen, das für die Koordinierung größerer Cybersicherheitsvorfälle und den Informationsaustausch zwischen den Mitgliedstaaten und den EU-Institutionen zuständig sein wird.

Welche Unternehmen sind von NIS2 betroffen?

Die EU-Verordnung 2003/361/EG wird regeln, wer als mittelgroßes Unternehmen gilt. Die Grenze liegt bei 50 Angestellten und einem Jahresumsatz und/oder Jahresbilanzsumme von mehr als 10 Mio. EUR, wobei es auch hier Ausnahmen geben wird. So werden beispielsweise Einrichtungen der öffentlichen Verwaltung ausgenommen, deren Tätigkeiten überwiegend in den Bereichen nationale und öffentliche Sicherheit liegt.

In der NIS2-Richtlinie vom 14. Dezember 2022 werden folgende „Sektoren“, bzw. Unternehmensbereiche aufgeführt, für die die neue NIS2-Direktive gilt. Dazu gehören:

„Sektoren mit hoher „Kritikalität“ – besonders schützenswerte Infrastrukturen

  1. Energie: z. B. Elektrizitätswerke, Betreiber von Fernwärmenetzen oder Erdöl-Fernleitungen, Erdgas-Versorgungsunternehmen, LNG-Anlagen, Wasserstofferzeugung usw.
  2. Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
  3. Banken/Kreditinstitute
  4. Finanzmärkte und Handelsplattformen
  5. Gesundheitswesen
  6. Trinkwasser-Versorger
  7. Abwasser-Entsorger
  8. Digitale Infrastrukturen: Kommunikationsnetzwerke, Cloud Provider, Rechenzentren, TLD-Namenregister, DNS-Diensteanbieter usw.
  9. IT-Dienstleister
  10. Öffentliche Verwaltungen
  11. Weltraum: weltraumgestützte Dienstleistungen, aber keine öffentlichen Kommunikationsanbieter

Sonstige kritische Infrastrukturen gehören ebenso dazu:

  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe/Herstellung von Waren (Maschinenbau, Auto- und Zubehörproduktion, Medizinprodukte, elektrische Geräte, Computer, elektronische und optische Erzeugnisse usw.)
  6. Digitale Services (Plattformen, Suchmaschinen, Social Media, Marktplätze usw.)
  7. Forschungseinrichtungen

Kurz gesagt: Da fast alle mittelgroßen Unternehmen über entsprechende digitale Infrastrukturen verfügen und oft auch ihren Kunden digitale Services oder Produkte anbieten, dürften für sie die neuen NIS2-Direktiven gelten.

Welche Sanktionen bzw. Bußgelder gibt es bei Verstößen?

Wie bereits oben schon erwähnt, sollen die Mitgliedstaaten wirksame, verhältnismäßige und abschreckende Sanktionen erlassen, wenn sie gegen Artikel 21 (Risikomanagementmaßnahmen im Bereich der Cybersicherheit) oder Artikel 23 (Berichtspflichten) verstoßen.
Artikel 34 Punkt 5 nennt „Geldbußen mit einem Höchstbetrag von mindestens 7 000 000 EUR oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist.“
Artikel 34 Punkt 4 spricht dabei von „Geldbußen mit einem Höchstbetrag von mindestens 10 000 000 EUR oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist.“

Was sollten Unternehmen jetzt tun?

Die Gesetzesänderungen werden kommen. Abwarten bringt nichts. Von daher sollten Unternehmen sich fragen, wie sie die IT-Sicherheit und die dazugehörigen Kontroll- und Reporting-Maßnahmen verbessern können. Die genannten 18 Sektoren, die für mittelgroße Unternehmen gelten werden, zeigen jetzt schon, dass es fast alle betreffen wird.

Die Spezialisten der AirITSystems GmbH empfehlen den Unternehmen ein Informationssicherheits-Managementsystem (ISMS). Hierbei handelt es sich um ein Rahmenwerk, das die Sicherheit von Informationen gewährleistet. Es umfasst alle Prozesse, Richtlinien, Verfahren und Technologien, um Informationen zu schützen.

Das ISMS – die Basis Ihrer IT-Sicherheit

Am Anfang steht immer die umfassende Beratung, bevor ein ISMS eingeführt werden kann. Hierzu hat AirITSystems eine eigene Software-Lösung entwickelt, die vor allem in kritischen Infrastrukturen eingesetzt wird: ISMS Software AirIT-ONE.

Vorsicht vor Cylance Ransomware

Previous article

Vorsicht vor Malware bei öffentlichen USB-Ladestationen

Next article

You may also like

Kommentare

Kommentare sind geschlossen.