Return to Blog

Was man über die NIS-2-Richtlinie der Europäischen Union wissen muss

April 27, 2023

Was man über die NIS-2-Richtlinie der Europäischen Union wissen muss

By Ariën van Wetten

Onlinesicherheit

Aufgrund der zunehmenden Zahl von Cyberangriffen hat die Europäische Union (EU) beschlossen, die aktuellen Richtlinien für Sektoren und Dienstleister zu überarbeiten, bei denen die Auswirkungen eines Vorfalls besonders schwerwiegend wären. Als die EU im Jahr 2016 Richtlinien zur Cybersecurity für alle kritischen Dienstleister innerhalb des Staatenverbundes beschloss, standen die Sektoren Energie, Verkehr und Finanzen im Vordergrund. Um die Cybersecurity und Resilienz dieser Unternehmen zu verbessern, entstand die erste NIS-Initiative.

Wann trat die NIS-Richtlinie in Kraft?

Die NIS-Richtlinie der EU trat 2016 in Kraft, um den bestehenden Rechtsrahmen zu stärken und mit der zunehmenden Digitalisierung und der wachsenden Bedrohungslage Schritt zu halten. Dies geschah durch die Ausweitung des Geltungsbereichs der Cybersecurity-Regeln auf neue Sektoren und Organisationen, die Verbesserung der Resilienz und der Incident-Response öffentlicher und privater Körperschaften sowie die Festlegung gemeinsamer Regeln für die Cybersecurity.

In den vergangenen Jahren hat sich gezeigt, dass die NIS-Richtlinie nicht ausreicht, um die aktuellen Herausforderungen zu bewältigen. Deshalb hat die EU die Richtlinie überarbeitet und erweitert.

Was ist die NIS-2-Richtlinie?

NIS 2 ist eine Aktualisierung der ursprünglichen EU-Richtlinie zur Cybersecurity, die verschiedene Mängel der ursprünglichen EU-Richtlinie adressiert. Unter anderem kam es zwischen den EU-Mitgliedsstaaten zu unterschiedlichen Auslegungen und es entstanden Sicherheitslücken. Die NIS 2 legt Maßnahmen zur Cybersecurity fest, die diese Lücken schließen, und definiert außerdem den Ablauf und die Kanäle für die Meldung von Verstößen. Unternehmen bestimmter Branchen müssen die Richtlinie bis 2024 einführen.

Warum ist die NIS-2-Richtlinie wichtig?

Die COVID-19 Pandemie hat die Digitalisierung und Vernetzung beschleunigt und zu einem höheren Risiko durch Cyberangriffe geführt. Deshalb war es nötig, die Auswirkungen der Entwicklung zu analysieren, Mängel an der bestehenden NIS-Richtlinie zu identifizieren und die EU-weite Vorgabe dementsprechend zu überarbeiten.

Die Kommission stellte die folgenden Mängel der ersten NIS-Richtlinie fest:

  • Unterschiede in der Resilienz zwischen Mitgliedstaaten und Sektoren
  • Unzureichendes Verständnis und fehlender Konsens bezüglich der wichtigsten Bedrohungen und Herausforderungen innerhalb der EU
  • Fehlen einer gemeinsamen Reaktion auf Notfälle und Krisen

Die NIS-2-Richtlinie schafft eine einheitliche Basis für Meldepflichten und Maßnahmen des Risikomanagements in der gesamten EU im Energie- und Verkehrssektor. Zusätzlich kommen die Sektoren Gesundheit und digitale Infrastruktur hinzu. Die Richtlinie erweitert den Rechtsrahmen und legt Mechanismen für eine wirksame Zusammenarbeit innerhalb der EU fest. Außerdem passt NIS 2 die Liste der Sektoren und Tätigkeitsbereiche, die sich an Cybersecurity-Anforderungen halten müssen, an die aktuellen Bedingungen an. Für den Fall der Nichtbeachtung der Anforderungen definiert NIS 2 Rechtsmittel und Sanktionen.

Wann tritt die NIS 2 in Kraft?

Im November 2022 hat der Europäische Rat die NIS-2-Richtlinie verabschiedet und im Dezember veröffentlicht, womit sie ab diesem Zeitpunkt die NIS-Richtlinie (Richtlinie 2016/1148/EG) offiziell ersetzt und aufhebt. Die Mitgliedstaaten müssen die Bestimmungen der NIS-2-Richtlinie innerhalb von 21 Monaten nach Inkrafttreten in nationales Recht umsetzen.

Für wen gilt NIS 2?

NIS 2 gilt für alle Unternehmen, Dienstleister und Organisationen, die wesentliche oder wichtige Dienstleistungen für die europäische Wirtschaft und Gesellschaft erbringen („Essential Entities“ oder „Important Entities“).

Unternehmen aus den folgenden Sektoren fallen unter den Begriff „Essential Entities“ (EE):

  • Verkehr
  • Energie
  • Finanzwesen
  • Gesundheit
  • Wasser
  • Öffentliche Verwaltung
  • Managed Service Provider

Unternehmen aus den folgenden Sektoren fallen unter den Begriff „Important Entities“ (IE):

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Produktion und Verarbeitung
  • Lebensmittel
  • Herstellung von medizinischen Geräten
  • Digitale Anbieter (von Suchmaschinen, sozialen Medien usw.)

NIS 2 gilt auch für Lieferanten außerhalb der EU, wenn sie wesentliche oder wichtige Dienstleistungen für die Wirtschaft und Gesellschaft des Staatenverbundes erbringen.

Die neue Richtlinie gilt voraussichtlich nicht für Unternehmen mit weniger als 50 Mitarbeitenden oder zehn Millionen Euro Jahresumsatz, es sei denn, sie sind für die Wirtschaft oder Gesellschaft der EU von zentraler Bedeutung.

Für die folgenden Punkte überträgt die NIS-2-Richtlinie die Verantwortung an das Management eines Unternehmens:

  • Sicherstellung der Durchführung von Risikobewertungen im Bereich der Cybersecurity;
  • Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen;
  • fortlaufende Schulungen und Risikomanagementprogramme für die Gewährleistung moderner Cybersecurity-Maßnahmen;
  • angemessenes Risikomanagement.

Kann ein Unternehmen nicht nachweisen, dass es sich mit Risiken und Maßnahmen für die Cybersicherheit befasst, steht den zuständigen Behörden ein Maßnahmenpaket zur Verfügung, um Mängel festzustellen und Verbesserungen durchzusetzen. So können sie beispielsweise Razzien durchführen, Sicherheitsüberprüfungen vornehmen und Daten, Informationen und Dokumente anfordern.

Zusätzlich müssen die Mitgliedstaaten den Behörden die Möglichkeit geben, erhebliche Geldbußen zu verhängen:

  • Für „Essential Entities“ mindestens bis zu zehn Millionen Euro oder zwei Prozent des gesamten Jahresumsatzes.
  • Für „Important Entities“ mindestens bis zu sieben Millionen Euro oder 1,4 Prozent des gesamten Jahresumsatzes.

Was ist neu an NIS 2?

NIS 2 behebt Schwachstellen und Lücken der ersten NIS-Richtlinie. Beispielsweise fällt die Unterscheidung zwischen Betreibern wesentlicher Dienste (Operators of Essential Services, OES) und Anbietern digitaler Dienste (Digital Service Provider, DSP) weg. Die Aufteilung der Unternehmen in die Kategorien „Essential Entities“ und „Important Entities“ erfolgt nach ihrer Relevanz. Je nach Kategorie gelten für die Unternehmen unterschiedliche Auflagen.

Die Vorgaben verschärfen und optimieren die Sicherheits- und Meldevorschriften für Unternehmen. Sie schreiben ein Konzept für das Risikomanagement inklusive Mindestanforderungen an grundlegende Sicherheitselemente vor. Zudem legen sie genauere Bestimmungen über das Verfahren zur Meldung von Vorfällen, den Inhalt der Berichte und die Fristen fest.

Darüber hinaus empfiehlt die Kommission, die Sicherheit von Lieferketten und Lieferantenbeziehungen mithilfe von Vorschriften für einzelne Unternehmen zu regeln.

Was bedeutet das für kleine und mittlere Unternehmen (KMU) und Managed Service Provider (MSP)?

Bei der ersten NIS-Richtlinie konnten die Mitgliedsländer unabhängig voneinander bestimmen, welche Unternehmen im jeweiligen Land die Kriterien für die Einstufung als Betreiber wesentlicher Dienste (OES) erfüllen. Die neue NIS-2-Richtlinie orientiert sich stattdessen einheitlich an der Größe der Unternehmen, sodass alle mittelgroßen Unternehmen in ausgewählten Sektoren zu den OES zählen. Gleichzeitig kann das jeweilige Land kleinere Unternehmen identifizieren, die aufgrund ihrer Bedeutung ebenfalls zu den OES gehören sollten. Um die Sicherheit von Lieferketten und Lieferbeziehungen zu gewährleisten, verlangt NIS 2 von einzelnen Unternehmen, dass sie sich mit Cybersicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen befassen.

NIS 2 legt Mindestanforderungen für die von Regierungen und Unternehmen genutzten Rechtsrahmen fest, die klarere und strengere Maßnahmen für die Cybersicherheit vorsehen. Diese Regeln betreffen:

  • Risikoanalyse und Sicherheitsstrategien für Informationssysteme;
  • Reaktion auf Vorfälle;
  • Business Continuity und Krisenmanagement;
  • Sicherheit der Lieferkette;
  • Beschaffung, Entwicklung und Wartung sicherer Netzwerke und Systeme, einschließlich des Umgangs mit Sicherheitslücken und Berichterstattung;
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen;
  • grundlegende Praktiken der Computerhygiene und Cybersecurity-Training;
  • Richtlinien und Verfahren für den Einsatz von Kryptographie/Verschlüsselung;
  • Sicherheit von Personaldaten;
  • Verwendung von MFA, gesicherter Kommunikation und gesicherter Notfallkommunikation.

Wie kann Datto Unternehmen bei der Einhaltung der NIS-2-Richtlinie unterstützen?

Die von NIS 2 beschriebenen Maßnahmen zur Cybersicherheit beziehen sich vor allem auf die Risikoanalyse, Incident Response, Business Continuity und das Management von Sicherheitslücken. Datto verfügt über eine Reihe von Lösungen, die Unternehmen bei der Verbesserung der von NIS 2 betroffenen Bereiche unterstützen.

Datto RMM ermöglicht beispielsweise Einblick in die Netzwerkressourcen und automatisiert das Patch-Management, was den Schutz von Unternehmen verbessert und den IT-Teams Zeit einspart. Darüber hinaus verringert Datto RMM in Verbindung mit Datto Ransomware Detection die Auswirkungen von Ransomware-Angriffen.

Das Endpoint Detection & Response-Tool Datto EDR stoppt fortschrittliche Bedrohungen, die andere Antivirenlösungen für Endgeräte nicht erkennen. Darüber hinaus können Unternehmen, die nicht über ein Security Operations Center (SOC) verfügen, mit Datto Managed SOC, powered by RocketCyber, rund um die Uhr Bedrohungen erkennen und bekämpfen.

Im Bereich Business Continuity bietet Datto als Marktführer eine Vielzahl von Business Continuity & Disaster Recovery-Lösungen an, mit denen sich Unternehmen nach einem Vorfall in kürzester Zeit und umfassend erholen können.

Die NIS-2-Richtlinie zielt darauf ab, die Sicherheit in kritischen Sektoren der EU zu stärken. Die Umsetzung dieser Richtlinie liegt nun in den Händen der Mitgliedstaaten und deren Gesetzgebung. Unternehmen, die in der EU tätig sind, müssen ihre Herangehensweise an das Thema Cybersecurity und die von ihnen eingesetzten Lösungen überprüfen und sicherstellen, dass sie den neuen Gesetzen entsprechen. Das Datto Managed SOC-Team unterstützt Ihr Unternehmen bei der Einhaltung von NIS 2. (https://www.datto.com/products/managed-soc/)

Related
Dattos Bericht zur weltweiten Lage der MSPs: Trends und Prognosen für das Jahr 2024df

In der sich ständig weiterentwickelnden technologischen Welt spielen Managed Service Provider (MSPs) eine wichtige Rolle.
Produktupdates PSA Autotask, RMM und Business Continuity

Erfahren Sie in unserem exklusiven Webinar, moderiert von Bernd Müller, Rainer Kalthoff und Thomas Pentke, alles über die neuesten Updates zu Datto PSA, Datto RMM und Datto BCDR. Erhalten Sie praxisnahe Einblicke in die Produktneuerungen und deren Anwendung, um Ihr volles Potenzial auszuschöpfen und technologisch immer auf dem neuesten Stand zu sein. Zudem bieten wir Ihnen in unseren Demo-Umgebungen wertvolle Anregungen zur optimalen Nutzung.
Relevant Articles