Update Datenschutz Nr. 136
Stärkung der Cybersicherheit in kritischen Sektoren – Welche Veränderungen die NIS 2-Richtlinie mit sich bringt
I. Überblick
Die digitale Transformation der Europäischen Union schreitet auch im Bereich Informations- und Cybersicherheit weiter voran. Aus diesem Grund wurde am 27. Dezember 2022 die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ („NIS 2-Richtlinie“) im Amtsblatt der EU veröffentlicht, welche am 16. Januar 2023 in Kraft trat. Die Mitgliedsstaaten haben nun bis zum 17. Oktober 2024 Zeit, die Vorgaben der Richtlinie in nationales Recht umzusetzen.
II. Ausgangspunkt
Mit der Schaffung eines Rechtsrahmens für die Netzwerk- und Informationssicherheit in der Europäischen Union durch die NIS-Richtlinie im Jahr 2016 reagierte die Kommission auf die wachsende Bedrohungslage für Betreiber wesentlicher Dienste in kritischen Sektoren, Opfer eines Cyberangriffs mit unabsehbaren Folgen zu werden. Die Umsetzung der NIS-Richtlinie erfolgte in Deutschland im Rahmen des IT-Sicherheitsgesetzes 2.0. Die Durchsetzung umfangreicher Sicherheitsmaßnahmen leistete einen wichtigen Beitrag zur Verbesserung der Cyber-Resilienz dieser Sektoren. Die Entwicklung dahin, dass globale Probleme sich zunehmend auch im digitalen Raum ausbreiten und dort widerspiegeln, wurde im letzten Jahr durch den Ausbruch des russischen Angriffskriegs in der Ukraine und die dadurch verdeutlichte konkrete Gefährdung auch deutscher Kritischer Infrastrukturen aufgezeigt. Infolgedessen wartet die NIS 2-Richtlinie mit höheren Sicherheitsanforderungen an die im Anwendungsbereich befindlichen Unternehmen auf und verfolgt so das übergeordnete Ziel, das Cybersicherheitsniveau in der EU weiter zu erhöhen, um zukünftigen Herausforderungen gerecht zu werden.
III. Anwendungsbereich
Eine wesentliche Neuerung der NIS 2-Richtlinie ist der deutlich erweiterte Adressatenkreis. Die Richtlinie unterscheidet nicht mehr zwischen „Betreibern wesentlicher Dienste“ und „Anbietern digitaler Dienste“, sondern klassifiziert die Unternehmen innerhalb ihres Anwendungsbereichs in „wesentliche und wichtige Einrichtungen“, mit Auswirkungen auf die daraus erwachsenden Verpflichtungen sowie die Aufsichts- und Durchsetzungsbefugnisse der zuständigen Behörden. Die EU-weite Einheitlichkeit dieses Anwendungsbereich wird in der NIS 2-Richtlinie dadurch sichergestellt, dass dieser in der NIS 2-Richtlinie selbst abschließend definiert wird.
Als wesentliche Einrichtungen gelten gemäß Art. 3 Abs. 1 der NIS 2-Richtlinie alle Unternehmen, die den Schwellenwert für „mittlere Unternehmen“ nach Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG überschreiten und die in einem der folgenden „Sektoren mit hoher Kritikalität“ tätig sind:
- Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
- Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trink- und Abwasser
- Digitale Infrastruktur (u. a. Betreiber von Internet-Knoten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Vertrauensdienstanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze- und Dienste).
- Verwaltung von IKT-Diensten
- Einrichtungen der öffentlichen Verwaltung
- Weltraum.
Dazu zählen ebenfalls:
- unabhängig von ihrer Größe sämtliche Anbieter qualifizierter Vertrauensdienste und Domänennamenregister der Domäne oberster Stufe sowie DNS-Diensteanbieter,
- sonstige Einrichtungen der in Anhang I oder II aufgeführten Art, die von einem Mitgliedstaat als „wesentliche Einrichtung“ eingestuft wurden,
- Einrichtungen, die nach der Richtlinie (EU) 2022/2557 („Richtlinie zur Resilienz kritischer Infrastrukturen“) als kritische Einrichtungen eingestuft wurden
- Betreiber wesentlicher Dienste nach der NIS-Richtlinie.
Als „wichtige Einrichtungen“ gelten nach Art. 3 Abs. 2 der NIS 2-Richtlinie alle sonstigen Unternehmen, die in einem der in Anhang I oder Anhang II (sonstige kritische Sektoren) genannten Sektoren tätig sind. Hierunter fallen Unternehmen, die in eine der vorgenannten Sektoren fallen, aber den erforderlichen Schwellenwert nicht überschreiten und Unternehmen, die in einem der in Anhang II aufgeführten Sektoren tätig sind. Hierzu zählen:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren (u. a. Hersteller von Medizinprodukten und In-vitro-Diagnostika, Datenverarbeitungsgeräten, Fahrzeugbauer sowie Maschinenbauunternehmen)
- Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke)
Die 18 Sektoren der NIS 2- Richtlinie umfassen die deutschen KRITIS-Sektoren sowie die Unternehmen im besonderen öffentlichen Interesse, gehen jedoch über diese hinaus. Insoweit ist damit zu rechnen, dass die derzeit noch nicht im IT-Sicherheitsgesetz aufgeführten Sektoren Raumfahrt, öffentliche Verwaltung, Energie (Wasserstoff), Gesundheit (Medizinprodukte und In-vitro-Diagnostik), Forschung und IKT-Dienste in die Neufassung des Gesetzes integriert werden.
IV. Neue Sicherheitsanforderungen und Pflichten für Mitgliedsstaaten und Einrichtungen
Die NIS 2-Richtlinie bringt eine Reihe neuer Verpflichtungen für Mitgliedsstaaten sowie diejenigen Einrichtungen, die als wesentliche oder wichtige Einrichtung klassifiziert sind, mit sich.
1. Nationale Cybersicherheitsstrategie und Stärkung der staatlichen Kooperation
Art. 7 der NIS 2-Richtlinie verpflichtet die Mitgliedsstaaten zum Erlass einer nationalen Cybersicherheitsstrategie. Diese soll die strategischen Ziele, sowie die dazu erforderlichen Ressourcen und die politischen und regulatorischen Maßnahmen benennen, die zur Erreichung und Aufrechterhaltung eines hohen Cybersicherheitsniveaus als benötigt angesehen werden. Teil dieser Strategie sollen insbesondere Konzepte zum Schutz von Lieferketten und die Stärkung der Zusammenarbeit des öffentlichen und privaten Sektors in der Vorsorge, Sicherstellung und Wiederherstellung der Cybersicherheit im Zusammenhang mit Sicherheitsvorfällen.
Die NIS 2-Richtlinie will auch die Zusammenarbeit der Mitgliedsstaaten untereinander stärken und sieht zu diesem Zweck in Art. 14 die Einsetzung einer Kooperationsgruppe zwecks strategischer Zusammenarbeit und Informationsaustauschs sowie zur Stärkung des Vertrauens vor.
Darüber hinaus wird durch ENISA eine europäische Schwachstellendatenbank eingerichtet (Art. 12) und ein Peer Review-Verfahren eingeführt (Art. 19).
Zur Sicherstellung eines effektiveren Krisenmanagements müssen die Mitgliedsstaaten nationale Computer-Notfallteams (National Computer Security Incident Response Team: CSIRT) einrichten. Diesen Incident Response Teams müssen erhebliche Sicherheitsverletzungen von den wesentlichen und wichtigen Einrichtungen in einem mehrstufigen Prozess gemeldet werden.
2. Risikomanagementpflichten für Einrichtungen
Zusätzlich beinhaltet die NIS 2-Richtlinie einen Katalog neuer Verpflichtungen für wesentliche und wichtige Einrichtungen. Art. 21 der NIS 2-Richtlinie sieht insofern etwa vor, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Diese Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen. Art. 21 Abs. 2 enthält einen hierbei zu beachtenden Katalog an Aspekten, welche explizit etwa beinhaltet:
- Backup-Management und die Notfall-Wiederherstellung von Daten im Rahmen des Krisenmanagements,
- Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen,
- Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen,
- Cyberhygiene,
- den Einsatz von Kryptografie und ggf. Verschlüsselung und
- Multi-Faktor-Authentifizierungsverfahren
- Daneben sollen wesentliche und wichtige Einrichtungen nach Art. 23 Abs. 1 der NIS 2-Richtlinie durch das nationale Umsetzungsgesetz verpflichtet werden, unverzüglich „erhebliche Sicherheitsvorfälle“ an das zuständige CSIRT oder die zuständige Behörde zu melden. Auch die konkreten Voraussetzungen zum Entstehen einer solchen Meldepflicht und die formellen Anforderungen an eine Meldung sind in Art. 23 Abs. 3, 4 der NIS 2-Richtlinie festgelegt.
V. Verschärftes Aufsichts- und Sanktionsregime
Die NIS 2-Richtlinie beinhaltet eine deutliche Verschärfung der Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf wesentliche (Art. 32 der NIS 2-Richtlinie) und wichtige (Art. 33 der NIS 2-Richtlinie) Einrichtungen. Hiernach sollen die Mitgliedstaaten bei der Umsetzung der Richtlinie sicherstellen, dass u. a. Vor-Ort-Kontrollen und Stichproben durchgeführt sowie Informationen und Nachweise für die Umsetzung der Pflichten der Adressaten angefordert werden können.
Nach Art. 34 der NIS 2-Richtlinie sollen die Mitgliedstaaten überdies sicherstellen, dass auch Zwangs- und Bußgelder verhängt werden können, wobei für Letztere bei wesentlichen und wichtigen Einrichtungen nach Art. 34 Abs. 4, 5 unterschiedliche Höchstbeträge berücksichtigt werden sollen.
Stellt die zuständige Behörde die Unwirksamkeit der ergriffenen Durchsetzungsmaßnahmen gegenüber einer wesentlichen Einrichtung fest, soll dieser nach Art. 32 Abs. 5 lit. b) der NIS 2-Richtlinie die Möglichkeit eingeräumt werden, soll diese ferner verlangen können, dass natürlichen Personen, die auf Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters für Leitungsaufgaben in dieser wesentlichen Einrichtung zuständig sind, im Einklang mit dem nationalen Recht die zeitweise Untersagung der Ausübung von Leitungsaufgaben durch die hierfür zuständigen Stellen oder Gerichte verlangen können.
VI. Was betroffene Unternehmen jetzt beachten sollten
Die Richtlinie muss von den Mitgliedsstaaten bis zum 17. Oktober 2024 umgesetzt werden. Bereits das IT-Sicherheitsgesetz 2.0 brachte für betroffene Unternehmen eine Vielzahl neuer Verpflichtungen im Bereich der Cybersicherheit. Diese werden durch die Regelungen der NIS 2-Richtlinie noch einmal massiv erweitert. Neben einer detaillierten Analyse der vorhandenen Sicherheitsmaßnahmen sowie der Einhaltung internationaler Standards und Normen zur Informationssicherheit sollte frühzeitig geprüft werden, welche der zusätzlichen Verpflichtungen durch die Implementierung neuer Sicherheitsprozesse erfüllt werden kann. Der Aufbau und Betrieb eines wirkungsvollen Informationssicherheits-Managementsystems ist ein kostspieliger und arbeitsintensiver Prozess, weshalb betroffene Unternehmen die Umsetzung der in Zukunft von ihnen verlangten Maßnahmen nicht hinauszögern und sich auf eine Erhöhung des insgesamten Cybersicherheitsbudgets einstellen sollten.