Mittlerweile täglich werden u.a. Betreiber kritischer Infrastruktur Opfer von Hackerangriffen bzw. Cyberattacken. Der deutsche Gesetzgeber reagierte bereits letztes Jahr mit der Verschärfung der gesetzlichen Anforderungen an die von den Betreibern umzusetzende IT-Sicherheit durch das IT-Sicherheitsgesetz 2.0. Der europäische Gesetzgeber zieht nun nach und geht mit dem zuletzt von der EU-Kommission vorgeschlagenen Cyber Resilience Act für Produkte mit digitalen Elementen (CRA, wir berichteten) und der NIS 2-Richtlinie die nächsten Schritte seiner Cybersecurity-Strategie.
Die am 28.11.2022 verabschiedete Aktualisierung der Richtlinie über die Sicherheit von Netz- und Informationssystemen (kurz: NIS 2-Richtlinie) weitet u.a. den Geltungsbereich der aus dem Jahr 2016 stammenden NIS-Richtlinie aus. Danach sollen mehr Einrichtungen und Sektoren zu substanzielle(re)n Maßnahmen im Bereich der Cybersicherheit verpflichtet werden.
Mehr Unternehmen + mehr Pflichten = mehr IT-Sicherheit?
Neben den bisher von der NIS-Richtlinie abgedeckten kritischen Bereichen (Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur und Finanzwesen) müssen nach entsprechender Umsetzung der Richtlinie u.a. auch Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, Betreiber sozialer Medien, Hersteller kritischer Produkte (z. B. Medizinprodukte) sowie Post- und Kurierdienste ihre Maßnahmen im Bereich der IT-Sicherheit überprüfen und gegebenenfalls anpassen.
So werden auf die betroffenen Unternehmen und Betreiber u.a. folgende Risikomanagementmaßnahmen zukommen:
- Teilnahme der Leitungsorgane an Schulungen zum Thema Cybersicherheit und Durchführung solcher für die Mitarbeiter;
- Implementierung geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen, die auf einem gefahrenübergreifenden Ansatz zu beruhen haben unter notwendiger Beachtung u.a. der Sicherheit der Lieferketten, den möglichen Einsatz von Kryptografie sowie Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Technologiesystemen;
- Einhaltung von strafferen Berichtspflichten für erhebliche Sicherheitsvorfälle: erste Meldung an die zuständige nationale Behörde innerhalb von 24 Stunden, innerhalb von 72 Stunden detaillierter Bericht, Abschlussbericht nach einem Monat;
- Registrierungs-/Auskunftspflichten gegenüber nationalen Behörden zur Erhebung und Führung von Übersichten von Betreibern kritischer Infrastruktur.
Bußgelder für die Unternehmen, Konsequenzen für Führungskräfte
Damit die umfassenden Sicherheitsanforderungen auch umgesetzt werden, erweitert der europäische Gesetzgeber die möglichen Aufsichtsmaßnahmen der nationalen Behörden (z.B. Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen einschließlich Ad-hoc-Prüfungen) und legt strengere Durchsetzungsvorschriften fest.
Bei Verstößen droht den Betreibern ein Bußgeld bis zu zehn Millionen EUR statt der in Deutschland bisher maximalen zwei Millionen EUR oder von mindestens 2% des gesamten weltweiten Umsatzes. Daneben können im Einzelfall erteilte Genehmigungen
für die von den Betreibern kritischer Infrastruktur erbrachter Dienste oder Tätigkeiten vorübergehend ausgesetzt und den Führungskräften direkt die Wahrnehmung der Leitungsaufgaben untersagt werden.
Warum nicht nur Betreiber der kritischen Infrastruktur betroffen sind
Ergänzend zur Erweiterung der Sektoren um Domain-Registrierungsstellen kommt auch die Pflicht, dass diese künftig die persönlichen Informationen aller Domain-Inhaber wie Name, Adresse und Telefonnummer speichern müssen. Auf Anfragen von Strafverfolgungsbehörden haben sie innerhalb von 72 Stunden zu antworten. Anonyme Dienste dürften es somit in Zukunft schwerer haben.
Und auch Unternehmen, die zunächst nicht der Qualifizierung als kritische Infrastruktur unterfallen, sollten die Umsetzung der Richtlinie im Blick behalten. Denn nicht nur können die Mitgliedsstaaten die Betreiber kritischer Infrastruktur verpflichten, bestimmte IT-Produkte und -Dienste zu verwenden. Für solche können sie auch eine Zertifizierungspflicht vorsehen. Welche Anforderungen die Hersteller dieser Produkte und Dienste für eine erfolgreiche Zertifizierung erfüllen müssen, hängt von (gegebenenfalls neuen) sogenannten Schemas für die Cybersicherheitszertifizierung ab, die die Agentur der Europäischen Union für Cybersicherheit („ENISA“) im Auftrag der EU-Kommission erarbeitet und von letzterer unter Umständen für verpflichtend erklärt werden kann.
Und nun?
Nachdem der Rat dem Entwurf zuletzt zustimmte, wird die Richtlinie in den kommenden Tagen im Amtsblatt der Europäischen Union veröffentlicht und tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Danach haben die Mitgliedstaaten 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen.
Unternehmen sind aber auch schon jetzt gut beraten, ihre IT-Sicherheit kritisch zu überprüfen und gegebenenfalls weitere Schutzmaßnahmen umzusetzen. Angreifer warten ohnehin nicht auf regulatorische Eingriffe des Staates. Eine frühzeitige Überprüfung und Anpassung der unternehmenseigenen Sicherheit erleichtert zudem die Konformität mit den zu erwartenden nationalen Bestimmungen.
Allerdings dürfte insoweit ohnehin noch nicht das Ende der Fahnenstange erreicht sein. Denn angesichts der Zunahme der Bedrohungen und deren Auswirkungen auf die Wirtschaft und das gesellschaftliche Leben ist zu erwarten, dass weitere Anforderungen an die IT-Sicherheit gestellt und bestehende Vorgaben weiter verschärft werden. Die Mitgliedstaaten haben jedenfalls die Möglichkeit, bei der Umsetzung der NIS 2-Richtlinie über deren Vorgaben hinauszugehen und strengere Regeln aufzustellen, sofern nicht bereits (teilweise) geschehen. Gut, dass der deutsche Gesetzgeber derzeit parallel schon finanzielle Unterstützung für betroffene Unternehmen ins Spiel bringt.