Die NIS-Richtlinie in der Europäischen Union
Das Thema Cybersecurity betrifft jeden. Und sich hier auszukennen sowie gut aufgestellt zu sein, ist nicht nur von Vorteil; es ist gesetzlich vorgeschrieben.
Auf EU-Ebene gilt die Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie). Sie bezeichnet einen EU-weiten Standard mit dem Ziel, nationale Cybersicherheitskapazitäten auf- bzw. auszubauen. Die definierten Maßnahmen sollen ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union schaffen. Sämtliche EU-Mitgliedsstaaten sind dazu verpflichtet, die NIS-Richtlinie in ihre nationale Gesetzgebung aufzunehmen.
Während die NIS-Richtlinie 2016 in Kraft getreten ist, wurde das Gesetz zur Umsetzung 2017 implementiert. Nicht nur kritische Infrastrukturen (KRITIS) wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen oder die Gesundheitsversorgung unterliegen Mindestanforderungen und einer Meldepflicht von IT-Störungen, sondern ebenfalls Online-Marktplätze, Cloud-Anbieter und Suchmaschinen.
Insgesamt umfasst NIS1:
- Energie: Elektrizität, Öl, Gas
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen: Gesundheitsdienstleister
- Trinkwasserversorgung
- Digitale Infrastruktur: IXP, DNS, TLD, Cloud-Computing
- Öffentliche Verwaltung
Die NIS-Richtlinie schreibt vor, dass alle Staaten eine nationale Strategie für die Sicherheit von Netz- und Informationssystemen (NIS-Strategie) festlegen. Diese Strategie umfasst:
- Strategische Ziele, Prioritäten
- Bestimmung von Maßnahmen zur Abwehrbereitschaft, Reaktion und Wiederherstellung
- Methoden für die Zusammenarbeit des öffentlichen und privaten Sektors
- Entwerfen eines Risikobewertungsplans
- Aufklärung, Schulung und Ausbildung
- Forschungs- und Entwicklungspläne im Zusammenhang mit der NIS-Strategie
- Liste der an der Umsetzung der Strategie beteiligten Akteure
Des Weiteren müssen die EU-Mitgliedsstaaten mindestens eine nationale Behörde benennen, welche die Anwendung der NIS-Richtlinie auf nationaler Ebene überwacht. Außerdem haben sie eine zentrale Anlaufstelle aufzuführen, die als grenzüberschreitende Verbindungsstelle aller Mitgliedsstaaten dient. Ferner ist jeder Staat dazu verpflichtet, mindestens ein Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) einzurichten. Dessen Aufgaben beinhalten:
- Überwachung von Sicherheitsvorfällen auf nationaler Ebene
- Reaktion auf Sicherheitsvorfälle
- Ausgabe von Frühwarnungen und Alarmmeldungen über Risiken und Vorfälle
- Analyse von Risiken und Vorfällen und Verbesserung der Lagebeurteilung
Die Europäische Kommission unterstützt die Mitgliedstaaten finanziell über die „Connecting Europe Facility“ (CEF) – ein zentrales Förderinstrument für EU-Staaten grenzübergreifende Infrastrukturen.
NIS2 – Erweiterungen und Neuerungen
Seit dem Frühjahr 2023 liegt der Entwurf der NIS2 vor – dieser verschärft und erweitert NIS1 deutlich. Security-Pflichten steigen für eine Reihe neu hinzugekommener Sektoren. Bis Mitte Oktober 2024 soll NIS2 durchgesetzt werden.
Neu hinzugekommene Sektoren sind:
- Energie: Fernwärme/Kälte, Wasserstoff
- Gesundheitswesen: EU-Referenzlaboratorien, Forschung und Herstellung von medizinischen Produkten sowie Geräten
- Trinkwasserversorgung: Abwasser
- Digitale Infrastruktur: Rechenzentren, CDN, TSP, Anbieter öffentlich elektronischer Kommunikationsnetzte/ -dienste
- IKT-Service Management (B2B)
- Weltraum
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie: Herstellung und Handel
- Lebensmittel: Produktion, Verarbeitung, Vertrieb
- Verarbeitendes / herstellendes Gewerbe: Medizinprodukte, Datenverarbeitung, elektronische und optische Geräte / Ausrüstung, Maschinenbau, KFZ / Fahrzeugbau
- Forschung
- Digitale Dienste: Soziale Netzwerke
NIS2 richtet sich an mittlere Unternehmen mit mindestens 50 Beschäftigten und einem Umsatz von 10 bis 50 Millionen Euro sowie an große Unternehmen mit mehr als 250 Beschäftigten, einem Umsatz von mehr als 50 Millionen Euro und einer Jahresbilanz von mindestens 43 Millionen Euro.
NIS2 fordert eine strengere staatliche Überwachung der Vorschriften, die wiederum detaillierter ausfallen. Dies gilt vor allem in den Bereichen Risikomanagement, Vorfallsmeldung, technische Maßnahmen und Governance. Schulungen für Personal und Management sind obligatorisch. Leitende Angestellte können für Pflichtverletzungen haftbar gemacht werden. Sanktionsvorschriften mit erhöhten Bußgeldern werden eingeführt.
Das IT-Gesetz in Deutschland
Speziell in Deutschland gilt das erstmals im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme). Ziel des Gesetzes ist auch die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Das Gesetz ist unter anderem eine Antwort auf die wachsenden Gefahren durch Cyberangriffe, die mit der zunehmenden Digitalisierung einhergehen. Das IT-Sicherheitsgesetz ist damit Ausdruck der Schutzverantwortung des Staates gegenüber den wertvollen Daten der Bürgerinnen und Bürgern, der Wirtschaft und seinen eigenen Institutionen sowie Verwaltungen. Um die Ziele des IT-Gesetzes durchzusetzen, wurden die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet.
Zu diesen Zielen und Vorgaben gehören vor allem die Verpflichtung, die IT nach dem Stand der Technik angemessen abzusichern und diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Sofern Mängel aufgedeckt werden, wird das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen. Zudem müssen dem BSI IT-Sicherheitsvorfälle sowie erhebliche Störungen der IT gemeldet werden, insbesondere wenn diese Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können (gilt insbesondere für KRITIS).
Das Bundesamt für Sicherheit in der Informationstechnik hat sämtliche für die Abwehr von IT-Gefahren relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten. Auch ist es seine Aufgabe, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten und die Öffentlichkeit in einem jährlichen Lagebericht über die aktuellen Gefahren für die Sicherheit in der Informationstechnik zu informieren. Damit trägt es zur Sensibilisierung für das Thema Cybersecurity bei.
Das IT-Sicherheitsgesetz 2.0
2021 kam es zur Veröffentlichung des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0). In diesem erhielt das BSI neue Kompetenzen, die seine Arbeit als Cybersicherheitsbehörde in folgenden Punkten deutlich stärken:
- Detektion und Abwehr: Das BSI erhält mehr Macht in der Einführung, Überwachung und Durchsetzung der gültigen Vorschriften.
- Cybersicherheit in den Mobilfunknetzen: Netzbetreiber müssen vorgegebene hohe Sicherheitsanforderungen erfüllen und kritische Komponenten zertifizieren lassen. So trägt das Gesetz unter anderem zur Informationssicherheit in den 5G-Mobilfunknetzen bei.
- Verbraucherschutz: Durch die Einführung eines einheitlichen IT-Sicherheitskennzeichens soll die IT-Sicherheit für Bürgerinnen und Bürger transparenter werden. Hersteller und Anbieter von IT-Produkten können das Kennzeichen beim BSI beantragen. Nach Genehmigung können sich Verbraucher per QR-Code über die Sicherheitseigenschaften informieren.
Cybersecurity ist demnach rechtlich vorgegeben und muss sich mit den steigenden Sicherheitsvorfällen in einer immer digitaleren Welt weiterentwickeln. Sie beschreibt eine Verantwortung gegenüber dem eigenen Unternehmen, Mitarbeitern, Kunden und Bürgern.