Die Bedeutung der NIS2-Richtlinie und die potenziellen Herausforderungen, die sie mit sich bringt
Einleitung
Die am 16. Januar 2023 in Kraft getretene NIS-Richtlinie[1] verpflichtet die Mitgliedstaaten der Europäischen Union, ihre Bestimmungen innerhalb von zwei Jahren, d.h. bis zum 17. Oktober 2024, umzusetzen. Die bisherigen Rechtsvorschriften zur Cybersicherheit bestanden aus der Richtlinie 2008/114/EG des Rates[2] und der vorherigen Fassung der NIS-Richtlinie[3] mit einem Flickenteppich verschiedener sektoraler Regelungen[4]. Die Neufassung der NIS hätte eine entscheidende Rolle bei der Gewährleistung der Cyber-Resilienz[5] kritischer Infrastrukturen in der gesamten Europäischen Union spielen und eine verbesserte Version des vorherigen Rahmens werden sollen, um ein höheres Maß an Cyber-Sicherheit zu gewährleisten.
Besonderheiten in NIS2
Unternehmen, unabhängig von ihrer Größe, sind von verschiedenen Computersystemen und Webdiensten abhängig geworden, was das Interesse von Cyberkriminellen geweckt hat (Dragomir, 2021)[6]. Ziel von NIS2 war es daher, wichtige und kritische Webdienste zu identifizieren[7] und Sicherheitsanforderungen für diese Dienste festzulegen. Sie definiert Sektoren mit kritischen Infrastrukturen und legt Sicherheitsstandards fest, insbesondere für lebenswichtige Webdienste wie Energie, Wasser, IKT, Verkehr, Gesundheit und Finanzen[8], die unter die strengste Aufsicht der Richtlinie fallen[9]. Infolgedessen müssen fast alle Unternehmen, einschließlich kleiner und mittlerer Unternehmen, insbesondere wenn sie Teil der Lieferkette für Infrastruktursektoren sind, die NIS2-Anforderungen anerkennen und in die Praxis umsetzen sowie den Berichterstattungspflichten nachkommen, was für die meisten von ihnen problematisch sein könnte. Die Umsetzung der komplexen Sicherheitsanforderungen ist die größte Herausforderung der neuen Gesetzgebung und könnte sich für kleinere Organisationen mit begrenzten Ressourcen als schwieriger erweisen. Darüber hinaus werden die Unternehmen lokale Dokumente erstellen müssen, in denen die Anordnung der Cybersicherheitssysteme und -maßnahmen innerhalb des Unternehmens sowie die Zuweisung von Zuständigkeiten an bestimmte Mitarbeiter beschrieben werden. Dies ist jedoch kein Thema für einen Tag, und die NIS2 hat den Unternehmen genügend Zeit gegeben, ihre Arbeitsabläufe im Einklang mit der neuen Gesetzgebung zu gestalten.
Berichtspflicht und persönliche Haftung
Die beiden wichtigsten, bedeutsamsten und unbestreitbarsten Verbesserungen der NIS2 sind die verkürzte Meldepflicht und die persönliche Haftung des Managements. Zum einen ersetzt die verkürzte 24-Stunden-Frist für die Meldung von Ereignissen die bisherige 72-Stunden-Frist. Die neue Meldung ist obligatorisch[10] und sollte nur die wesentlichen Details des Vorfalls enthalten, ohne dass Details zu Gegenmaßnahmen gemeldet werden müssen. Wie Schmitz-Berndt (2023) feststellt, ist es sehr wahrscheinlich, dass diese Unklarheit - neben wirtschaftlichen Gründen für den Verzicht auf eine Meldung - Unternehmen davon abhält, Vorfälle zu melden[11]. Die NIS2 hat die Meldung für jedermann, auch für Personen ohne spezielle Kenntnisse, durch das Ausfüllen eines einfachen Formulars auf der Website vereinfacht, und diese Vereinfachung ist für die Verbreitung von Meldungen wichtig (insbesondere wenn man bedenkt, dass die NIS2 auch durchschnittliche Unternehmen ohne Erfahrung oder Fachwissen erfasst). Aus der Perspektive der Cybersicherheitslandschaft würde dies eine schnelle Bestätigung von Angriffen bedeuten, die von Behörden und Spezialisten berücksichtigt werden könnten, um auf andere angegriffene Unternehmen zu reagieren und das gesamte System zu schützen. Dies würde auch die Transparenz der Informationen über das Ausmaß und die Art der Angriffe erhöhen, da viele Unternehmen bisher dazu tendierten, Informationen über Vorfälle zu verbergen.
Die zweite positive Änderung ist die persönliche Verantwortung der Unternehmensleitung für die tatsächliche und praktische (und nicht nur auf dem Papier stehende[12]) Umsetzung von Cybersicherheitsmaßnahmen und die Notwendigkeit, einen speziellen Verantwortlichen zu benennen, der auch für die regelmäßige Berichterstattung zuständig ist. Die regelmäßige Berichterstattung würde eine tatsächliche Einhaltung der Anforderungen bedeuten, und das Gefühl der persönlichen Verantwortung (als Einzelperson und nicht als Unternehmen) würde die Manager dazu motivieren, sich selbst um den Aufbau und die Aufrechterhaltung der Cybersicherheit im Unternehmen zu kümmern. Es wäre nicht mehr möglich, das Problem (und die Verantwortung) an jemand anderen zu delegieren, so dass ein persönlicher Ansatz und eine kontinuierliche Überwachung gewährleistet wären. Ein zusätzlicher positiver Nebeneffekt wäre wahrscheinlich eine Erhöhung der finanziellen Mittel[13] für den Cybersicherheitsschild (und die IT-Spezialisten), da die Manager bei unzureichender Einhaltung der Vorschriften unter persönlichem Haftungsdruck stünden.
Öffentliche Ebene von NIS2
Auf der öffentlichen Ebene zielt NIS2 darauf ab, die Zusammenarbeit und den Informationsaustausch[14] zwischen den EU-Mitgliedstaaten zu verbessern, indem spezialisierte Teams für die Erforschung von und die Reaktion auf Bedrohungen eingerichtet werden. Es trägt dazu bei, das gemeinsame Wissen und die praktischen Fähigkeiten (durch Erfahrungsaustausch) in Bezug auf verschiedene Arten von Vorfällen zu verbessern, was eine effiziente Verteilung der Anstrengungen zur Verhinderung groß angelegter Angriffe ermöglicht. Dies trägt auch zur Früherkennung von Bedrohungen bei, was für den Schutz der Systeme von entscheidender Bedeutung ist, und stärkt letztlich die Sicherheit insgesamt. Die einheitlichen Ansprechpartner[15] sollen eine wirksame grenzüberschreitende Zusammenarbeit durch die Übermittlung von Meldungen über wichtige Vorfälle[16] gewährleisten.
Weitere innovative Meilensteine der NIS2 sind die Standardisierung[17] und die Zertifizierung[18]: Unternehmen sollten die Verwendung zertifizierter Produkte und Dienste in Betracht ziehen, um die Sicherheit zu erhöhen. Die Mitgliedstaaten sollen große und wichtige Organisationen ermutigen, europäische Standards für die Sicherheit von Netz- und Informationssystemen zu verwenden und bestimmte von ihnen (oder Dritten) entwickelte IKT-Produkte, Webdienste und Prozesse einzusetzen, die nach europäischen Cybersicherheits-Zertifizierungssystemen zertifiziert sind. Dies soll einerseits die Verwendung unqualifizierter Webdienste verhindern und die Widerstandsfähigkeit gegen Cyberangriffe erhöhen, kann andererseits aber auch zu Bürokratie im IKT-Sektor und zu übermäßigem Papierkrieg durch den Erhalt von Zertifikaten zum Nachweis der Verwendung vertrauenswürdiger Technologien führen. Das Ziel dieser Rechtsvorschrift war es jedoch, die Überprüfung der Cyber-Konformität von Dritten zu vereinfachen, bevor eine Beziehung mit ihnen eingegangen wird, da die Möglichkeiten zur Überprüfung und Überwachung der Widerstandsfähigkeit von Dritten begrenzt sind. Obwohl eine solche Widerstandsfähigkeit sehr wichtig ist, insbesondere für die Bekämpfung von Bedrohungen in der Lieferkette[19], könnte sie durch den Nachweis einer entsprechenden Konformitätsbescheinigung nachgewiesen werden. Auf diese Weise kann diese Innovation zu einer wirksamen Lösung für ein Problem werden.
Schlussfolgerung
Schließlich werden alle Neuerungen der NIS2 durch strenge Sanktionen bei Nichteinhaltung in die Praxis umgesetzt. Bußgelder in Höhe von 10 Mio. EUR oder 2%[20] des Umsatzes können für einige Unternehmen sehr hoch und belastend sein und sogar zum Konkurs oder zu negativen finanziellen Folgen führen. Eine hohe Haftung soll die Aufmerksamkeit auf die Ernsthaftigkeit des Problems lenken und die Notwendigkeit der Umsetzung der Anforderungen unterstreichen. Angesichts der Tatsache, dass die neuen Anforderungen recht plötzlich und komplex sind und dass es keine klaren Leitlinien und Regeln für die Teilnehmer gibt, denen es an Fachwissen im Bereich der Cybersicherheit mangelt, könnte sich die Haftung jedoch als zu schwerwiegend erweisen. Trotz dieses Aufwands sollte der neue Rechtsrahmen den aktuellen Cyber-Bedrohungen mehr Aufmerksamkeit schenken und die regionale Landschaft sicherer machen. Laut Fergusson (2023) hat die Anwendung der Rechtsauslegung und die Analyse von Cyberangriffsmodellen jedoch gezeigt, dass die von der NIS2-Richtlinie geforderten Maßnahmen zum Cybersicherheitsrisikomanagement für kritische und wichtige Einrichtungen in ihrer Wirksamkeit gegen Cyberangriffe erheblich eingeschränkt sein können[21].
[1] RICHTLINIE (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148
[2] Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern
[3] Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus für Netz- und Informationssysteme in der Union
[4] Präambel (4) und (5) der NIS2, Artikel 4 der NIS2 (sektorspezifische Rechtsakte der Union)
[5] Präambel (2) der NIS2
[6] Dragomir, A.V., 2021. Die Neuerungen des NIS2-Richtlinienvorschlags im Vergleich zur alten NIS-Richtlinie. SEA: Praktische Anwendung der Wissenschaft, 9(27), Seite 156, verfügbar unter: https://seaopenresearch.eu/Journals/articles/SPAS_27_1.pdf (Datum des Zugriffs: 23. Mai 2024)
[7] Die wesentlichen und wichtigen Einrichtungen und Webservices sind in Artikel 3 der NIS2 definiert
[8] Die oben genannten Sektoren unterstreichen die Sektoren, die der strengsten Überwachung durch die Richtlinie unterliegen werden
[9] KPMG, Levelling-up your IT and OT security capabilities in light of the NIS2, August 2023, Seite 5, verfügbar unter: https://assets.kpmg.com/content/dam/kpmg/kr/pdf/2023/kpmg-eu-nis2-report.pdf (Datum des Zugriffs: 23. Mai 2024)
[10] In der Vorgängerversion der NIS war die Meldepflicht ebenfalls obligatorisch, aber die neue Version untermauert diese Verpflichtung mit einer persönlichen Haftung der obersten Führungsebene sowie der Beamten für Cybersecurity-Maßnahmen mit Bußgeldern bei Nichteinhaltung, so dass diese Meldepflicht in der aktualisierten Version der NIS zu einem echten Instrument werden soll
[11] Siehe z.B. Schmitz-Berndt, S., 2023. Definition der Meldeschwelle für einen Cybersicherheitsvorfall gemäß der NIS-Richtlinie und der NIS-2-Richtlinie. Journal of Cybersecurity, 9(1), S.9
[12] Valentino Lucini (2023). Die zunehmende Einhaltung der Cybersicherheitsvorschriften in Europa: die NIS 2 und was alle Unternehmen in der EU beachten sollten. Russian Law Journal, 11 (6S). 149
[13] Johan David Michels bezeichnet unzureichende Investitionen in die Cybersicherheit und das Versäumnis, Informationen über Verstöße offenzulegen, als Hauptprobleme der derzeitigen Cybersicherheitsregelung, siehe: Michels, J.D. und Walden, I., 2020. Beyond „Complacency and Panic“: Will the NIS Directive Improve the Cybersecurity of Critical National Infrastructure? European Law Review. 28
[14] Kapitel VI der NIS2 (Informationsaustausch) ist dem Informationsaustausch, der Koordinierung von Maßnahmen und den einschlägigen Verfahren gewidmet.
[15] Die Definition des einheitlichen Ansprechpartners ist in Artikel 8 Absatz 3 der NIS2 enthalten: Jeder EU-Mitgliedstaat benennt oder richtet einen einheitlichen Ansprechpartner (zuständige Behörde) ein, der über angemessene Ressourcen verfügt, um die Aufgaben im Bereich der Cybersicherheit wirksam und effizient zu erfüllen.
[16] Präambel (40) und (70) der NIS2
[17] Artikel 25 der NIS2
[18] Artikel 24 der NIS2
[19] Die Agentur der Europäischen Union für Cybersicherheit stuft Cyberangriffe auf die Lieferkette als beliebte Art von Cyberbedrohungen ein, siehe: ENISA Threat Landscape 2023 (Bericht vom Oktober 2023), Seite 7
[20] Gemäß Artikel 34 der NIS2 müssen die Mitgliedstaaten Geldbußen in Höhe von mindestens 10 Mio. EUR oder 2 % des gesamten weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist - für wesentliche Einrichtungen (Absatz 4); für wichtige Einrichtungen (Absatz 5) betragen die Geldbußen 7 Mio. EUR und 1,4 % des Umsatzes. Regelmäßige Geldbußen sind ebenfalls zulässig (Absatz 6). Verstöße gegen personenbezogene Daten unterliegen zwar weiterhin den Sanktionen der Datenschutz-Grundverordnung (Artikel 35 NIS2), doch besteht keine doppelte Haftung
[21] Ferguson, D.D.S., 2023. The outcome efficacy of the entity risk management requirements of the NIS 2 Directive. International Cybersecurity Law Review, 4(4), S.371-386. Verfügbar unter: https://link.springer.com/article/10.1365/s43439-023-00097-8 (Datum des Zugriffs: 23. Mai 2024)
Darina Shamatonova