Die neuen europäischen Richtlinien NIS 2 und CER zielen darauf ab, ein hohes gemeinsames Niveau der Cybersicherheit in der gesamten EU zu erreichen und die Kontinuität der wesentlichen Dienste zu gewährleisten. Die Uhr tickt: Bis zum 17. Oktober 2024 müssen die Mitgliedstaaten die erforderlichen Maßnahmen zur Einhaltung der NIS-2-Richtlinie erlassen und veröffentlichen. Diese Maßnahmen müssen ab dem folgenden Tag, dem 18. Oktober 2024, angewendet werden.
Trotz des auf über 130 Milliarden Euro geschätzten Marktwerts des Cybersicherheitssektors und einer jährlichen Wachstumsrate von 17 % bleibt Europa „cyberverwundbar“. Berichte, u. a. von Waterfall Securities, weisen auf einen dramatischen Anstieg von Cyberangriffen hin und sagen voraus, dass in den nächsten fünf Jahren bis zu 15.000 Unternehmen betroffen sein könnten.
Die Herausforderung besteht nicht nur in der Anfälligkeit, sondern auch in den wirtschaftlichen Auswirkungen. Die jährlichen Kosten der Cyberkriminalität wurden bis Ende 2020 auf 5,5 Billionen Euro geschätzt, wobei 60 % dieser Straftaten rein auf wirtschaftlichen Gewinn ausgerichtet sind. Die Bedrohung wird an Zahl und Raffinesse zunehmen. Bis 2025 werden schätzungsweise 41 Milliarden Geräte mit dem Internet der Dinge verbunden sein, was einen offenen und sicheren Cyberspace erfordert, der das Vertrauen der Weltbevölkerung stärkt.
Darüber hinaus haben militärische Konflikte, wie die derzeitige Situation in der Ukraine, Hacktivisten, Cyberkriminelle und andere schattenhafte Gruppen mit staatlichen Interessen auf den Plan gerufen. Vor dem Einmarsch in die Ukraine hatte Russland Des- und Fehlinformationskampagnen gestartet, um die öffentliche Meinung zu beeinflussen. Bis Juni 2022 hatte Russland nach Einschätzung des Europäischen Rates 15 % der ukrainischen Internet-Infrastruktur lahmgelegt.
Es fehlt eine gemeinsame Antwort
Trotz der anhaltenden Bedrohungen herrscht das Gefühl vor, dass die EU noch keine wirksame gemeinsame Antwort auf die Cyberbedrohungen gefunden hat. Die Europäische Kommission hat mehrere Probleme ausgemacht, darunter die unzureichende Cyber-Resilienz der Unternehmen in der EU und die unterschiedliche Wahrnehmung der Bedrohungen durch die Mitgliedstaaten, was zu einer uneinheitlichen und unkoordinierten Reaktion führt.
Die NIS-2- und die CER-Richtlinie zielen darauf ab, sowohl die Cyber- als auch die physische Sicherheit in der EU zu verbessern und die Widerstandsfähigkeit kritischer Einrichtungen zu erhöhen. Es wird erwartet, dass diese beiden eng miteinander verbundenen Richtlinien erhebliche Auswirkungen haben werden, da sie strengere Aufsichts- und Compliance-Maßnahmen einführen. Sie legen den Schwerpunkt auf eine verstärkte Koordinierung bei der Bewältigung von Zwischenfällen und Sicherheitskrisen, verbessern das Protokoll für die Meldung von Schwachstellen und schaffen einen strengeren Sanktionsrahmen.
NIS 2, ein neuer Horizont für die europäische Cybersicherheit
Die NIS-2-Richtlinie, die für „Netz- und Informationssicherheit 2“ steht, zielt darauf ab, die Sicherheitsanforderungen in verschiedenen Einrichtungen zu verstärken. Sie schreibt Maßnahmen zur Sicherung von Lieferketten und Lieferantenbeziehungen vor und standardisiert die Verfahren zur Meldung und zum Austausch von Informationen über Vorfälle. Außerdem wird das Europäische Krisenunterstützungsnetz (EU-CYCLONe) eingeführt.
Die Richtlinie aktualisiert die früheren Verordnungen über die Sicherheit von Netzen und Informationssystemen und hebt die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste auf. Sie führt eine neue Kategorisierung „strategischer“ Unternehmen in zwei Gruppen ein – wesentliche Unternehmen und wichtige Unternehmen – basierend auf ihrer sektoralen Bedeutung und der Art der Dienstleistung, wobei jede Kategorie unterschiedlichen Aufsichtsregelungen unterliegt.
Im Rahmen der NIS 2 werden die strategischen Sektoren in „hochkritische“ und „andere kritische Sektoren“ unterteilt:
Zu den „hochkritischen“ gehören die folgenden:
- Energie (Strom, Fernwärme und -kälte, Öl, Gas und Wasserstoff)
- Verkehr (Luft, Schiene, Fluss und Straße)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheit, einschließlich der Herstellung von Arzneimitteln und Impfstoffen
- Trinkwasser/Abwasser
- digitale Infrastrukturen (Internet-Austauschpunkte; DNS-Dienstanbieter; TLD-Namenseinträge…)
- IKT-Dienstleistungsmanagement (Anbieter von verwalteten Dienstleistungen und Anbieter von verwalteten Sicherheitsdienstleistungen)
- öffentliche Verwaltung
- Weltraumprogramme
–
Und dies ist die Liste der „anderen kritischen Sektoren“:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemikalien
- Lebensmittel
- Herstellung medizinischer Geräte
- Computer und Elektronik
- Maschinen und Anlagen
- Kraftfahrzeuge, Anhänger und Sattelauflieger sowie sonstige Transportmittel
- digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Medien)
- Forschungseinrichtungen.
–
Zu den wesentlichen Einrichtungen, wie sie von den EU-Mitgliedstaaten definiert wurden, gehören diejenigen aus den Sektoren mit „hoher Kritikalität“ sowie qualifizierte Anbieter von Vertrauensdiensten, Domänennamenregister, DNS-Dienstanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und Einrichtungen der öffentlichen Verwaltung.
Darüber hinaus wird jede Einrichtung aus den „anderen kritischen Sektoren“ einbezogen, die von einem Mitgliedstaat bei der Umsetzung der Richtlinie in nationales Recht als wesentlich eingestuft wurde.
Umgekehrt umfassen „wichtige Einrichtungen“ sowohl solche aus „hochkritischen“ als auch aus „anderen kritischen Sektoren“, die nicht als wesentlich eingestuft werden.
Die CER-Richtlinie, Schutz wesentlicher Dienste in Europa
Die CER-Richtlinie ersetzt die Europäische Richtlinie über kritische Infrastrukturen aus dem Jahr 2008 und konzentriert sich auf die Verbesserung und Harmonisierung der Resilienzstrategien und -pläne der Mitgliedstaaten und Organisationen. Sie schreibt die Umsetzung spezifischer Maßnahmen vor, um die ungehinderte Bereitstellung wesentlicher Dienste zu gewährleisten, die für die Aufrechterhaltung der sozialen Funktionen und der lebenswichtigen wirtschaftlichen Aktivitäten in jedem Gebiet entscheidend sind.
Dementsprechend stellt die Richtlinie sicher, dass kritische Einrichtungen in der Lage sind, einer Vielzahl von Störfällen vorzubeugen, ihnen zu widerstehen, sie aufzufangen und sich von ihnen zu erholen, einschließlich Naturkatastrophen, Unfällen, Terrorismus, Bedrohungen durch Insider und Gesundheitsnotfälle.
Die CER-Richtlinie umfasst Einrichtungen in 11 hochstrategischen Sektoren, darunter Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt und Lebensmittel.
Wie sehen die Resilienzstrategien aus? Sie sollten umfassen:
- strategische Ziele und Prioritäten
- einen Governance-Rahmen zur Erreichung dieser Ziele
- eine Beschreibung der Maßnahmen, die zur Verbesserung der allgemeinen Widerstandsfähigkeit kritischer Stellen erforderlich sind
- eine Liste der wichtigsten Behörden und Akteure, die an der Umsetzung der gewählten Strategie beteiligt sind.
Der Hauptunterschied zwischen der NIS 2 und der CER-Richtlinie liegt in ihrem Anwendungsbereich: Während sich die NIS 2 speziell auf die Cybersicherheit konzentriert, wird in der CER-Richtlinie anerkannt, dass erhebliche Störungen auch physische Infrastrukturen wie Anlagen, Straßen, Eisenbahnen und Stromerzeugungssysteme betreffen, die für die Versorgung der Bevölkerung mit wesentlichen Diensten entscheidend sind.
Wie sich NIS2 und CER auf Unternehmen in der EU auswirken
Die NIS2- und die CER-Richtlinie sind im Begriff, einen entscheidenden Rahmen für die Cybersicherheit und die physische Sicherheit in der Europäischen Union zu schaffen. Diese Vorschriften zielen darauf ab, die Bewältigung von groß angelegten Sicherheitsvorfällen und Krisen, einschließlich Naturkatastrophen, Terroranschlägen, internen Bedrohungen und Sabotage, zu verbessern.
Mit den neuen Vorschriften wird der Anwendungsbereich auf kleine und mittlere Organisationen (KMU) ausgeweitet. Es liegt im Ermessen der Mitgliedstaaten, diese Vorschriften auf kleinere Unternehmen anzuwenden, die trotz ihrer Größe eindeutige Schwachstellen aufweisen oder in kritische Lieferketten eingebunden sind.
Die Richtlinien zielen zwar in erster Linie auf große strategische Unternehmen ab, stellen aber auch neue Anforderungen an die Cybersicherheit von KMU in den Lieferketten kritischer Sektoren. Darüber hinaus müssen auch Anbieter digitaler Dienste, einschließlich Online-Plattformen und E-Commerce-Websites, bestimmte Vorgaben der Richtlinien einhalten.
Die Risikobewertungen müssen strenger und wirksamer werden, um die Kontinuität der Dienste zu gewährleisten. Kritische Einrichtungen müssen erhebliche Vorfälle sowohl einem benannten Reaktionsteam oder einer Behörde als auch ihren Dienstleistungsempfängern melden. Sie müssen Frühwarnungen innerhalb von 24 Stunden, einen Folgebericht nach 72 Stunden und einen umfassenden Abschlussbericht innerhalb von 30 Tagen herausgeben.
Gemäß der CER-Richtlinie haben die Behörden die Aufgabe, sowohl natürliche als auch vom Menschen verursachte Risiken für wesentliche Dienstleistungen zu bewerten. Dazu gehören auch Risiken, die sich aus den Interdependenzen zwischen den Sektoren ergeben. Dies ist besonders kritisch für grenzüberschreitende Konzerne mit Tochtergesellschaften innerhalb und außerhalb der EU, die sich auf das Management der Lieferkette auswirken.
Zu den obligatorischen Maßnahmen gehören die Gewährleistung des physischen Schutzes von Einrichtungen und kritischen Infrastrukturen, wie z. B. Zäune, Absperrungen und Werkzeuge, die Reaktion auf Zwischenfälle und deren Behebung sowie das Sicherheitsmanagement für die Mitarbeiter und die Sensibilisierung der Mitarbeiter für die Sicherheitsprotokolle.
Sollte ein Vorfall die Erbringung wesentlicher Dienstleistungen in sechs oder mehr Mitgliedstaaten erheblich beeinträchtigen, müssen die Behörden die Kommission informieren.
Darüber hinaus ist die Unternehmensleitung für die Umsetzung dieser Maßnahmen verantwortlich und muss regelmäßig an Schulungen zum Risikomanagement im Bereich der Cybersicherheit und der physischen Sicherheit teilnehmen.
Nächste Schritte und wichtige Termine für die Umsetzung der beiden Richtlinien
Im Rahmen der NIS-2-Richtlinie müssen die Mitgliedstaaten der Europäischen Kommission bis Januar 2025 ihre geltenden Sanktionsregelungen mitteilen. Darüber hinaus müssen sie bis April 2025 eine Liste der wesentlichen und wichtigen Einrichtungen, einschließlich derjenigen, die Domänennamenregistrierungsdienste anbieten, zusammenstellen und vorlegen.
Für die Nichteinhaltung der Vorschriften wurden beträchtliche Strafen festgelegt: Die Geldbußen können bis zu 10 Mio. EUR oder 2 % des Gesamtumsatzes für wichtige Unternehmen und bis zu 7 Mio. EUR oder 1,4 % des Umsatzes für große Unternehmen betragen.
Gemäß der CER-Richtlinie haben die Mitgliedstaaten bis zum 17. Januar 2026 Zeit, eine umfassende Resilienzstrategie zu entwickeln, die Risikobewertungsrahmen und alle relevanten bestehenden Pläne oder Dokumente umfasst. Sie müssen die betroffenen Einrichtungen bis spätestens 17. Juli 2026 ermitteln.
Danach wird die Kommission dem Europäischen Parlament und dem Rat innerhalb eines Jahres einen Bericht vorlegen, in dem sie bewertet, inwieweit die einzelnen Mitgliedstaaten die erforderlichen Maßnahmen umgesetzt haben.
