Spätestens im letzten Jahr wurde deutlich, dass es eines modernisierten Rechtsrahmens für die Cybersicherheit bedarf, wurden nicht zuletzt im Russland-Ukraine-Krieg auch die deutschen Kritischen Infrastrukturen sowie die öffentliche IT auf den Prüfstand gestellt. Im Amtsblatt vom 27. Dezember 2022 hat die Europäische Union nunmehr die „Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union […] sowie zur Aufhebung der Richtlinie 2016/1148“ veröffentlicht. Übergeordnetes Ziel ist der Schutz von wesentlichen und wichtigen Diensten und allgemein die Modernisierung und Ausweitung der Cybersicherheit in der EU. Die Richtlinie ist bis zum 17. Oktober 2024 von den Mitgliedstaaten umzusetzen.
Ausgedehnter Anwendungsbereich
Bereits der Anwendungsbereich von NIS-2 wartet mit erheblichen Änderungen auf. Neben einer Erweiterung des Pflichtenkatalogs werden einige Schutzlücken in Zukunft insbesondere durch seine Ausweitung geschlossen. Der Anwendungsbereich bezieht sich auf öffentliche und private Einrichtungen, die ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben und die in den Anhängen I („hohe Kritikalität“) und II („sonstige kritische Sektoren“) der Richtlinie konkretisiert werden. Für öffentliche Einrichtungen bestehen dabei teils signifikante, aber aus Gesichtspunkten der Cyberresilienz nicht immer nachvollziehbare Bereichsausnahmen. Im Anwendungsbereich neu hinzu treten beispielsweise Weltraum-Einrichtungen im Sinne von Bodeninfrastrukturen, die für die Erbringung von weltraumbezogenen Diensten genutzt werden. Sonstige kritische Sektoren sind Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln im Großhandel sowie in der industriellen Produktion und Verarbeitung, verarbeitendes Gewerbe/Herstellung von Waren (hierunter wiederum fallen Medizinprodukte, In-vitro-Diagnostika, Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse, elektronische Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau), die schon aus NIS-1 bekannten Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Betreiber sozialer Netzwerke) sowie Forschungseinrichtungen.
Unterteilung in wesentliche und wichtige Einrichtungen
Im Weiteren wird in der Richtlinie unterschieden zwischen wesentlichen und wichtigen Einrichtungen, wobei sich diese Differenzierung unter anderem auf die Pflichten der Einrichtungen und auch auf die Aufsichts- und Durchsetzungsbefugnisse der zuständigen Behörden auswirkt.
Die wesentlichen Einrichtungen umfassen die in NIS-2 Anhang I genannten Einrichtungen, die die Schwellenwerte für mittelgroße Unternehmen im Sinne der europäischen Definition überschreiten oder von einem EU-Mitgliedstaat als Betreiber wesentlicher Dienste eingestuft wurden. Wichtige Einrichtungen hingegen sind solche, die NIS-2 Anhang I und II zugeordnet werden können, aber nicht als wesentliche Einrichtungen gelten, einschließlich solcher, die von den Mitgliedstaaten als wichtige Einrichtungen eingestuft wurden.
Erweiterter Pflichtenkatalog für Mitgliedstaaten und betroffene Einrichtungen
Durch NIS-2 wird der Pflichtenkatalog sowohl für die Mitgliedstaaten als auch für die wesentlichen und wichtigen Einrichtungen erweitert. Neben der Pflicht einer mitgliedstaatlichen Cybersicherheitsstrategie wird eine EU-Kooperationsgruppe für den Informationsaustausch aufgebaut. Im Hinblick auf das Krisenmanagement haben EU-Staaten CSIRTs vorzuhalten und eine europäische Schwachstellendatenbank wird durch ENISA eingerichtet. Ebenso wird durch die neue Richtlinie ein mitgliedstaatlicher Peer Review zur Cybersicherheit vorgesehen.
Vom Anwendungsbereich erfasste Einrichtungen sind noch stärker als bislang zu Präventionsmaßnahmen angehalten. Neben TOM sind nationale und internationale Normen und Standards zur Informationssicherheit zu berücksichtigen. Neu ist dabei auch die explizite Einbeziehung von Lieferketten. Beispiele für vorgeschlagene TOM sind Backups, Maßnahmen zur Cyberhygiene sowie der Einsatz von Verschlüsselung. Für erhebliche Sicherheitsvorfälle ist ein Meldesystem mit abgestuften Fristen von 24 und 72 Stunden einzurichten. Ein Sicherheitsvorfall gilt als „erheblich“, wenn er schwerwiegende Betriebsstörungen der Dienste zur Folge haben oder finanzielle Verluste für die betreffende Einrichtung verursachen kann oder wenn natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt werden können.
Verschärfte Aufsichts- und Durchsetzungsbefugnisse
Gegenüber NIS-1 qualifiziert ist das Aufsichts- und Durchsetzungsregime. So können neben ausgesprochenen Warnungen auch Zwangsgelder verhängt werden. Als ultima ratio besteht gar die Möglichkeit des Ausschlusses von Leitungspersonen betroffener Einrichtungen. Daneben sind unter anderem Vor-Ort Kontrollen, Stichproben, regelmäßige Sicherheitsaudits oder auch die Anforderung von Daten und Zugängen möglich. Die maximale Geldbuße für wesentliche Einrichtungen bei Verstößen beträgt entweder zehn Millionen Euro oder einen Anteil von 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei wichtigen Unternehmen beträgt die maximale Geldbuße entweder sieben Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Ausblick
NIS-2 muss als Richtlinie mitgliedstaatlich bis zum 17. Oktober 2024 umgesetzt werden. NIS-1 wird zum 18. Oktober 2024 aufgehoben. Die von NIS-2 betroffenen Einrichtungen werden nach bisherigem Impact Assessment ihr Cybersicherheitsbudget um circa 22% erhöhen müssen. Bereits von NIS-1 betroffene Einrichtungen können mit einem Kostenanstieg von 12% rechnen.