Die Digitalisierung bringt zwar viele Vorteile und Lösungen für die Herausforderungen unserer Zeit, aber auch erhöhte Cyberrisiken. Die Zahl und Komplexität von Cyberangriffen und -kriminalität nehmen in Europa stetig zu. Bis 2024 werden weltweit 22,3 Milliarden Geräte an das Internet der Dinge angeschlossen sein, was einen weiteren Anstieg der Cyberbedrohungen bedeuten wird.

Um gegen künftige Cyberbedrohungen gewappnet zu sein, trifft die EU politische und institutionelle Maßnahmen. Ziel ist es, ein optimiertes Krisenmanagement über Sektoren und Grenzen hinweg zu erreichen, um eine bessere  Widerstandsfähigkeit zu gewährleisten.

Ein Schritt zu diesem Ziel ist die neue EU-Richtlinie EU NIS 2, die seit dem 16 Januar in Kraft getreten ist, die Organisationen in verschiedenen Branchen zu einem besseren Schutz gegen Cyberangriffe verpflichtet. Diese Regulierung werden für viele Unternehmen und Verwaltungen in Deutschland eine Herausforderung darstellen, da die Anforderungen erheblich sind und viele nicht wissen, dass sie von der Richtlinie betroffen sind. Die Richtlinie gilt für Organisationen in 18 Sektoren und ab einer geringen Größe, besonders strenge Vorgaben gelten für kritische Sektoren wie Energieversorger, Verkehrsunternehmen, Banken, Grundversorgung, Gesundheitsdienstleister, digitale Infrastrukturen und öffentliche Verwaltungen.

Ab 2023 gelten neue Anforderungen für Betreiber von Kritischen Infrastrukturen in der EU, die durch die EU-Direktiven NIS2 und RCE definiert werden. NIS2 regelt 18 Sektoren und macht Cybersecurity für Essential und Important Entities verpflichtend. RCE definiert Resilienz für Critical Entities in 11 Sektoren. Die Überführung in die deutsche Gesetzgebung muss bis Oktober 2024 erfolgen. Die Definitionen und Betroffenheit einzelner Sektoren und Betreiber werden noch klargestellt werden.

Die Europäische Kommission hat einen Vorschlag für die NIS-Richtlinie vorgelegt, um die Bedrohungen durch die Digitalisierung und den Anstieg von Cyberangriffen zu bekämpfen. Die neue Richtlinie mit dem Namen „NIS 2“ soll die Sicherheitsanforderungen stärken, die Lieferketten sicherer machen, Meldepflichten verschärfen und strengere Aufsichtsmaßnahmen und Durchsetzungsanforderungen einführen. Der Rat und das Europäische Parlament haben eine vorläufige Übereinstimmung über die neuen Maßnahmen erzielt, die ein stärkeres Risiko- und Vorfallmanagement und eine Zusammenarbeit garantieren sollen.

NIS 2 wurde im November 2022 vom Rat und dem Europäischen Parlament angenommen und trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten haben nun bis Herbst 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Die neue Richtlinie ist an sektorspezifische Rechtsvorschriften angepasst und klassifiziert Einheiten als „essenziell“ oder „wichtig“.

NIS2 Anpassungen

  • Sektoren: Erhöhung der Essential Sektoren auf sieben und der Important Sektoren auf elf
  • Betreiber: Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, zusätzlich unabhängig der Größe sind Teile der digitalen Infrastruktur und öffentliche Verwaltung betroffen
  • Cyber Security: Deutlich verschärfte Anforderungen an Betreiber, Mitglied¬staaten und Cybersicherheit muss auch in Lieferketten überwacht werden
  • Kooperation: Die Aufsicht und Zusammenarbeit in der EU werden verstärkt und Jurisdiktion geschärft
  • Sanktionen: Strafen und Enforcement Actions werden ausgeweitet auf Maximal¬strafen von mind. 7 oder 10 Mio. EUR, abhängig vom Sektor

Sektoren und Schwellwerte

Die EU NIS2 Richtline reguliert achtzehn Sektoren, die größtenteils den deutschen KRITIS-Betreibern entsprechen, jedoch weiter gehen. Diese werden nach Bedeutung und Größe eingeteilt.

 

Essential Entities:

  • Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
  • 11 Sektoren: Energie, Transport, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung, Weltraum
  • Sonderfälle: Unabhängig von der Größe betroffen sind Öffentliche Verwaltung (Zentralregierung, Regionale Regierung), Digitale Infrastruktur, nationale Monopole, grenzüberschreitende Abhängigkeiten

Important Entities:

  • Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz
  • 7 Sektoren: Post und Kurier, Abfall, Chemikalien, Lebensmittel, Industrie (Herstellung), Digitale Dienste, Forschung

Verpflichtende Cyber Security Maßnahmen für Betreiber

  • Policies: Richtlinien für Risiken und Informationssicherheit
  • Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
  • Business Continuity: BCM mit Backup Management, DR, Krisen Management
  • Supply Chain: Sicherheit in der Lieferkette
  • Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
  • Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
  • Training: und Cyber Security Hygiene
  • Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
  • Personal: Human Resources Security
  • Zugangskontrolle
  • Asset Management
  • Authentication: Einsatz von Multi Factor Authentisierung und SSO
  • Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
  • Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
>

Zurück zu den News

Mehr zum Thema