ISGroup Cybersicherheitsberatung

Was sind die Schlüsselelemente der NIS2-Richtlinie?

Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheitslage der Europäischen Union zu stärken, indem sie die Einschränkungen der vorherigen Gesetzgebung angeht und sich an die sich entwickelnde Bedrohungslandschaft anpasst. Sie erweitert den Anwendungsbereich der Cybersicherheitsvorschriften, schreibt strengere Sicherheits- und Meldepflichten vor und stärkt die Überwachungs- und Durchsetzungsmechanismen.

Hier sind einige der Schlüsselelemente der NIS2-Richtlinie:

1. Erweiterter Anwendungsbereich

Die Richtlinie erweitert die Palette der Sektoren und Unternehmen, die den Cybersicherheitsverpflichtungen unterliegen. Sie führt eine größenbasierte Schwelle ein, die von allen mittleren und großen Unternehmen in ausgewählten Sektoren die Einhaltung der Richtlinienbestimmungen verlangt. Dies stellt eine bedeutende Änderung gegenüber der vorherigen NIS-Richtlinie dar, die sich auf spezifische kritische Sektoren konzentrierte und es den Mitgliedstaaten überließ, “wesentliche” Einrichtungen zu identifizieren.

  • Die NIS2-Richtlinie identifiziert zwei Hauptkategorien von Sektoren: “Sektoren mit hoher Kritikalität” und “andere kritische Sektoren”, die in den Anhängen I und II der Richtlinie aufgeführt sind. Die Einbeziehung neuer Sektoren wie Raumfahrt, Abfallwirtschaft und Lebensmittel spiegelt die zunehmende Vernetzung und Digitalisierung wesentlicher Dienste sowie das erweiterte Potenzial für Cyberangriffe wider, kritische gesellschaftliche Funktionen zu stören.
  • Die Mitgliedstaaten behalten einen gewissen Ermessensspielraum bei der Identifizierung kleinerer Einrichtungen mit hohem Risikoprofil, die unter die NIS2-Richtlinie fallen sollten, was eine maßgeschneiderte Umsetzung basierend auf nationalen Kontexten und sektorspezifischen Risikobewertungen ermöglicht.

[Callforaction-NIS2]

2. Risikomanagement-Ansatz

Die Richtlinie fördert einen risikobasierten Rahmen anstelle eines rein konformitätsorientierten Ansatzes. Einrichtungen, die unter die Richtlinie fallen, müssen Maßnahmen umsetzen, die verschiedene Aspekte der Cybersicherheit abdecken, darunter:

  • Incident-Management
  • Sicherheit der Lieferkette
  • Schwachstellenmanagement und -offenlegung
  • Einsatz von Kryptografie und Verschlüsselung

Um zu verstehen, wie diese Anforderungen in konkrete technische Kontrollen umgesetzt werden, ist es hilfreich, auch die in der NIS2-Richtlinie genannten Cybersicherheitsstandards zu konsultieren.

3. Standardisierte Sicherheits- und Meldepflichten

Um eine größere Konsistenz bei der Umsetzung zu gewährleisten und die Belastung für Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, zu verringern, legt die Richtlinie präzisere Bestimmungen zu Sicherheitsanforderungen und zur Meldung von Vorfällen fest.

  • Mindestmaßnahmen für Cybersicherheit: Die Richtlinie skizziert eine Liste von zehn Schlüsselelementen, die alle betroffenen Einrichtungen in ihren Cybersicherheits-Risikomanagementrichtlinien berücksichtigen müssen. Dazu gehören Maßnahmen wie Risikoanalyse, Planung der Reaktion auf Vorfälle, Geschäftskontinuität und Sicherheit der Lieferkette.
  • Meldung von Vorfällen: Es werden klarere Leitlinien zu Prozessen, Inhalten und Zeitplänen für die Meldung von Vorfällen bereitgestellt. Die Richtlinie verlangt von den Einrichtungen, innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls eine erste Warnmeldung an das CSIRT oder die zuständige Behörde zu senden, gefolgt von einer detaillierteren Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats.

4. Verstärkte Überwachung und Durchsetzung

Die Richtlinie führt strengere Überwachungsmaßnahmen für nationale Behörden ein und legt strengere Durchsetzungsanforderungen fest. Für Organisationen, die ihr Compliance-Niveau bewerten und sich auf die Anforderungen vorbereiten möchten, bietet der Weg zur NIS2-Anpassung eine strukturierte Unterstützung von der Gap-Analyse bis zur Implementierung der erforderlichen Kontrollen.

  • Überwachungsmaßnahmen: Die zuständigen Behörden verfügen über eine breitere Palette von Instrumenten zur Überwachung sowohl wesentlicher als auch wichtiger Einrichtungen, einschließlich regelmäßiger und gezielter Audits, Vor-Ort- und Fernkontrollen, Informationsanfragen und Zugang zu relevanter Dokumentation.
  • Harmonisierte Sanktionen: Um der früheren Zurückhaltung einiger Mitgliedstaaten bei der Verhängung von Sanktionen bei Nichteinhaltung entgegenzuwirken, harmonisiert die Richtlinie das Sanktionsregime in der gesamten EU. Sie legt eine Mindestliste administrativer Sanktionen fest, darunter verbindliche Anweisungen, obligatorische Sicherheitsaudits und Bußgelder. Die Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen hinsichtlich der Höhe der Bußgelder bei Verstößen.
  • Verantwortlichkeit: Die Verantwortung für Cybersicherheitsmaßnahmen wird gestärkt, indem Bestimmungen zur Haftung von Personen in leitenden Positionen innerhalb wesentlicher und wichtiger Einrichtungen eingeführt werden.

5. Verbesserte Zusammenarbeit und Informationsaustausch

Die Richtlinie zielt darauf ab, die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten, den zuständigen Behörden und den Einrichtungen zu verbessern.

  • Kooperationsgruppe: Die Rolle der bestehenden Kooperationsgruppe, die sich aus nationalen Cybersicherheitsbehörden zusammensetzt, wird gestärkt, um strategische politische Entscheidungen zu gestalten und die Reaktion auf Cybersicherheitsherausforderungen auf EU-Ebene zu koordinieren.
  • CSIRT-Netzwerk: Die Richtlinie verbessert die operative Zusammenarbeit innerhalb des bestehenden CSIRT-Netzwerks und fördert den schnellen und effizienten Austausch von Informationen und bewährten Verfahren zwischen nationalen CSIRTs, um die Kapazitäten zur Reaktion auf Vorfälle zu stärken.
  • EU-CyCLONe: Die Richtlinie richtet ein europäisches Netzwerk für Cyberkrisen-Verbindungsstellen (EU-CyCLONe) ein, das mit der Unterstützung des koordinierten Managements von Cybersicherheitsvorfällen und -krisen großen Ausmaßes beauftragt ist, um eine schnelle und einheitliche Reaktion auf EU-Ebene zu gewährleisten.

6. Koordinierte Schwachstellenoffenlegung und EU-Datenbank

Es wird ein Rahmen für die koordinierte Schwachstellenoffenlegung eingeführt, der darauf abzielt, einen strukturierteren und sichereren Ansatz für den Umgang mit neu entdeckten Schwachstellen in IKT-Produkten und -Diensten zu schaffen. Dieser Rahmen fördert die verantwortungsvolle Meldung von Schwachstellen an Anbieter und fördert die Zusammenarbeit zwischen Sicherheitsforschern, Anbietern und Behörden, um Risiken effektiv zu mindern.

Die Richtlinie sieht zudem die Schaffung einer EU-Schwachstellendatenbank vor, die von der ENISA gepflegt wird und als zentrales Repository für öffentlich bekannte Schwachstellen in IKT-Produkten und -Diensten dienen wird. Diese Datenbank wird eine wertvolle Ressource für Einrichtungen sein, um über potenzielle Bedrohungen informiert zu bleiben, notwendige Sicherheitsupdates anzuwenden und ihre allgemeine Cybersicherheitslage zu verbessern.

Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie bedeutende Änderungen einführt, die darauf ausgelegt sind, den Cybersicherheitsrahmen der EU zu stärken. Durch die Erweiterung ihres Anwendungsbereichs, die Verschärfung von Sicherheits- und Meldepflichten sowie die Verbesserung der Überwachungs- und Durchsetzungsmechanismen zielt die Richtlinie darauf ab, ein cyber-resilienteres Umfeld für wesentliche Dienste und kritische Infrastrukturen in der gesamten Europäischen Union zu schaffen. Der offizielle Text der NIS2-Richtlinie bleibt die primäre regulatorische Referenz für diejenigen, die die Details der Bestimmungen überprüfen müssen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *