NIS2: die neue EU-Richtlinie für Cybersicherheit

Die Richtlinie (EU) 2022/2555 (NIS2) ist eine EU-weite Rechtsvorschrift zur Informationssicherheit, die rechtliche Maßnahmen zur Erhöhung des allgemeinen Niveaus der Informationssicherheit in der EU vorsieht. Sie muss seit dem 18. Oktober 2024 angewendet werden.

Betroffene aus dem öffentlichen und dem privaten Sektor müssen nun die Auswirkungen auf ihre Organisation bewerten, einen Fahrplan für die Einhaltung der Anforderungen aufstellen und sich der weitreichenden Folgen einer Nichteinhaltung bewusst sein.

Notwendigkeit der NIS2-Richtlinie

Die NIS2-Richtlinie ersetzt die NIS1-Richtlinie von 2016 und zielt darauf ab, die Resilienz europäischer Netz- und Informationssysteme weiter zu stärken. Dies soll durch nationale Informationssicherheitsstrategien, verstärkte Zusammenarbeit und Informationsaustausch, verbessertes Risikomanagement und strengere Meldepflichten erreicht werden.

Anwendungsbereich von NIS2

Im Allgemeinen gilt NIS2 für öffentliche und private Organisationen, die bestimmte kritische Dienstleistungen bereitstellen, als mittelgroße oder große Unternehmen eingestuft sind und ihre Dienste in der EU erbringen beziehungsweise ihre Tätigkeiten in der EU ausüben. Einige Einrichtungen werden jedoch unabhängig von ihrer Größe unter die neuen Vorschriften fallen (zum Beispiel kritische Einrichtungen der Infrastruktur nach der CER-Richtlinie), und die europäischen Mitgliedstaaten können weitere Einrichtungen in den Anwendungsbereich von NIS2 einbeziehen. Als Richtlinie setzt die NIS2 „nur“ eine Mindestharmonisierung voraus. Die Staaten können davon sowohl im Hinblick auf den Anwendungsbereich als auch hinsichtlich der Anforderungen an die Umsetzung abweichen – also über die Mindestanforderungen hinausgehen. Eines der Schlüsselelemente der NIS2-Richtlinie sind Strategien, Verfahren und Kontrollen zur Bewertung der Sicherheit von Lieferketten, einschließlich des Risikos von Dritt- und Viertanbietern wie beispielsweise Cloud-Dienstleistern.

Wichtige Änderungen durch NIS2

NIS2 erweitert den Anwendungsbereich der Vorgängerrichtlinie um neue Sektoren, je nach Grad ihrer Digitalisierung und Vernetzung sowie ihrer Bedeutung für Gesellschaft und Wirtschaft. Es bestehen Ausnahmeregelungen, für die Unternehmen sorgfältig prüfen sollten, ob sie in Anspruch genommen werden können und ob andere sektorale Regelungen für sie gelten.

Der Anwendungsbereich wird von sieben auf 18 Sektoren erweitert:

NIS2 – Sofortmaßnahmen, bei denen EY Sie unterstützen kann:

• Feststellung der NIS2-Relevanz für Ihre Organisation
  Stellen Sie fest, ob Ihre Organisation unter NIS2 fällt: Organisationen, die in den von der Richtlinie definierten Sektoren tätig sind, müssen prüfen, ob sie in den Anwendungsbereich von NIS2 fallen, welche Verpflichtungen sie dadurch haben und welchen Reifegrad die Steuerung der Informationssicherheit hat.
• Analyse der Gesetze in den Mitgliedstaaten
  Überprüfen Sie, welche Gesetze der Mitgliedstaaten für Ihre Organisation gelten: NIS2 kann in jedem EU-Mitgliedstaat unterschiedlich umgesetzt werden. Die Unterschiede liegen beispielsweise im Anwendungsbereich und/oder in den Anforderungen. Daher ist es notwendig, für jedes Land eine detaillierte Analyse der betroffenen Bereiche durchzuführen. Eine Betroffenheitsanalyse (Anwendungsbereich) muss für jede juristische Einheit individuell betrachtet werden, einschließlich möglicher Tochtergesellschaften im Ausland. Dies umfasst auch die Berücksichtigung von Diensten innerhalb der EU, um sicherzustellen, dass alle relevanten Anforderungen und Regulierungen angemessen erfüllt werden.
• Ermittlung weiterer EU-Informationssicherheitsgesetze
  Ermitteln Sie, welche anderen EU-Informationssicherheitsgesetze für Ihr Unternehmen gelten: NIS2 ist Teil einer umfassenden Cyberstrategie der EU und nur eine von mehreren EU-weiten Cyberrechtsvorschriften, die betroffene Unternehmen in ihr Compliance-Rahmenwerk integrieren müssen. Unternehmen müssen verstehen, wie alle bestehenden und künftigen EU-Rechtsvorschriften in den Bereichen Datenschutz, Informationssicherheit und Technologie zusammenhängen, um bei der Entwicklung und Umsetzung von Compliance-Strategien einen ganzheitlichen Ansatz verfolgen zu können. Der Aufbau einer effizienten zentralen Anlaufstelle für die Informationssicherheit inklusive Meldewesen sollte angestrebt werden.
• Überprüfung der Verfahren zur Reaktion auf Vorfälle
  Überprüfen Sie die Verfahren Ihrer Organisation zur Reaktion auf Vorfälle: Die Bewertung der Verfahren zur Reaktion auf Vorfälle in Ihrer Organisation ist für die wirksame Bewältigung von Informationssicherheitsverletzungen von entscheidender Bedeutung. Organisationen sollten ihre Verfahren zur Reaktion auf Sicherheitsvorfälle regelmäßig überprüfen und aktualisieren, um sie an neue oder geänderte Bedrohungen und Technologien anzupassen, Kommunikationskanäle zu überprüfen und klare Verantwortlichkeiten zuzuweisen. Es sollten realistische Übungen durchgeführt werden, um die Bereitschaft zu verbessern. Diese kontinuierliche Bewertung gewährleistet einen robusten NIS2-Reaktionsrahmen, der vor potenziellen Cyberbedrohungen schützt und die Auswirkungen von Sicherheitsvorfällen auf Ihr Unternehmen minimiert.
• Durchführung einer Gap-Analyse
  Überprüfen Sie mittels Gap-Analyse die Verfahren Ihres Unternehmens für das Management von Informationssicherheitsrisiken im Rahmen der Compliance Journey: Eine effektive Steuerung der Informationssicherheit erfordert die regelmäßige Überprüfung und Aktualisierung der Risikomanagementverfahren in Bezug auf Informationssicherheit, um neuen Bedrohungen und Schwachstellen zu begegnen. Ein Informationssicherheits-Managementsystem (ISMS) dient dabei als Grundlage für die systematische Identifizierung, Bewertung und Steuerung von Informationssicherheitsrisiken. Analysieren Sie potenzielle Schwachstellen im aktuellen Risikosystem, insbesondere auch hinsichtlich der Bewertung Ihrer IKT- und anderer Lieferketten, und implementieren Sie robuste Maßnahmen zum Schutz sensibler Informationen. Zudem sollte ein Business-Continuity-Management-System (BCMS) integriert werden, um die Resilienz gegenüber Betriebsunterbrechungen zu stärken. Durch die Implementierung eines ISMS und eines BCMS können Unternehmen sicherstellen, dass Sicherheitsmaßnahmen konsistent durchgeführt werden und dass im Falle eines Vorfalls geeignete Reaktionsstrategien vorhanden sind. Die Förderung einer Kultur des Bewusstseins und der Wachsamkeit unter den Teammitgliedern ist ebenfalls von zentraler Bedeutung, um die allgemeine Resilienz im Bereich der Informationssicherheit zu verbessern und potenzielle Risiken zu verringern.
• Stärkung der Governance-Strukturen
  Stärken Sie Ihre Governance-Strukturen, um Kultur und Arbeitsweise gezielt zu formen und Risiken für die Einhaltung von NIS2 zu minimieren: Die effektive Steuerung der Unternehmenskultur und der Arbeitsweisen ist entscheidend, um Risiken im Zusammenhang mit der Einhaltung von NIS2 zu erkennen und zu bewältigen. Eine starke Governance ist die Grundlage für klare Verantwortlichkeiten, Prozesse und Werte, die das Verhalten aller Mitarbeiter leiten und sicherstellen, dass die Organisation die Anforderungen der EU-Verordnungen erfüllt. Erfahrungen mit früheren Regulierungen wie der Datenschutz-Grundverordnung (DSGVO) haben gezeigt, dass eine gut definierte Governance-Struktur Verhaltensänderungen unterstützen kann, um Risiken zu minimieren und sicherzustellen, dass individuelle Handlungen nicht zu unvermeidbaren Gefahren oder Sanktionen führen.

Mit der Einführung der „persönlichen Verantwortung“ im Rahmen von NIS2 wird eine robuste Governance noch wichtiger, um die notwendigen Verhaltensänderungen insbesondere auf Managementebene zu steuern. Governance-Mechanismen sollten darauf abzielen, klare Richtlinien und Schulungen bereitzustellen, die eine Kultur der Compliance fördern. Nur durch eine solide Steuerung können Organisationen sicherstellen, dass alle Beteiligten in der Lage sind, die neuen Anforderungen proaktiv umzusetzen und potenzielle Risiken zu reduzieren. Die Etablierung von Governance-Strukturen, die für Transparenz, Verantwortlichkeit und Compliance sorgen, ist somit ein zentraler Bestandteil einer wirksamen Strategie zur Einführung von NIS2.