NIS-2: Neue Richtlinien für KRITIS

Cybersicherheit für EU-Mitgliedsstaaten NIS-2: Neue Richtlinien für KRITIS

Angesichts der zunehmenden Komplexität regulatorischer Anforderungen und der akuten Bedrohungsszenarien, stehen Betreiber:innen Kritischer Infrastrukturen vor einer dringlichen Notwendigkeit zu handeln.

  • Gero Appel
  • 23. Oktober 2023

KRITIS-Einrichtungen erweisen sich zunehmend als attraktive Ziele für Cyberangriffe. Auf nationaler Ebene nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine entscheidende Rolle ein. Das Bundesgesetz zur Sicherheit der Informationstechnik (BSIG) wurde bereits mehrmals durch IT-Sicherheitsgesetze aktualisiert und durch die BSI-Kritisverordnung präzisiert.

Zusätzlich zu diesen Regelungen gelten sektorspezifische Sondergesetze, beispielsweise das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG). Darüber hinaus kommen auf europäischer Ebene die Richtlinien NIS 2 („Network and Information Security”) und RCE („Directive on the resilience of critical entities”) zum Tragen. Was das für Unternehmen bedeutet und worauf Sie als Unternehmer:innen achten müssen erfahren Sie hier.

Was genau ist die NIS-Richtlinie?

Bevor wir uns den Neuerungen widmen, die mit der Einführung der NIS-2-Richtlinie einhergehen, ist es wichtig, ein grundlegendes Verständnis der vorangegangenen Regelungen zu schaffen. Ursprünglich wurde die Richtlinie über die Sicherheit von Netzen und Informationssystemen, besser bekannt als NIS-Richtlinie, als Teil eines Konzepts für Cybersicherheit in der EU im Jahr 2016 eingeführt.

Das Hauptziel dieser Richtlinie bestand darin, die Cyberresilienz von Kritischen Infrastrukturen auf EU-Ebene zu stärken. Um dieses Ziel zu erreichen, wurden bestimmte Pflichten für Betreiber:innen von KRITIS definiert. Diese Pflichten beinhalteten Mindeststandards zum kontinuierlichen Schutz von Systemen und Netzwerken.

Es zählen im Einzelnen folgende Maßnahmen dazu:

  • Sicherheitsmanagementsysteme zu implementieren
  • Sicherheitsrichtlinien zu befolgen
  • das Netzwerk in regelmäßigen Abständen zu überprüfen
  • Kontrollen des Systems
Alle EU-Mitgliedstaaten integrieren die NIS-2-Richtlinie, die die alte NIS-Richtlinie ersetzt. © Adobe Stock, TensorSpark
Die NIS-2 Richtlinie ersetzt die alte NIS Richtlinie und wird in allen EU-Mitgliedsstaaten integriert. © Adobe Stock, TensorSpark

Was hat es mit der neuen Richtlinie NIS-2 auf sich?

Die NIS-2-Richtlinie trat am 16. Januar 2023 in Kraft und ersetzte damit die bisherige NIS-Richtlinie. Alle EU-Mitgliedsstaaten haben nun bis zum 17. Oktober 2024 Zeit, die Vorgaben der NIS-2-Richtlinie in ihr jeweiliges nationales Recht zu integrieren.

Diese Aktualisierung der Richtlinie wurde notwendig, um den sich ständig verändernden Bedrohungen im Bereich der Cybersicherheit und den Entwicklungen in der digitalen Welt gerecht zu werden. Ziel ist es, alle Industriezweige und Dienstleistungen, die für kritische soziale und kommerzielle Aktivitäten im EU-Binnenmarkt von zentraler Bedeutung sind, umfassend abzusichern.

Ein weiterer wichtiger Aspekt der NIS-2-Richtlinie besteht darin, dass sie den Mitgliedsstaaten vorschreibt, über die erforderlichen Instrumente zu verfügen, um die Bestimmungen der Richtlinie umzusetzen. Hierzu zählen unter anderem eine nationale Behörde für Netz- und Informationssysteme (NIS) sowie ein Computer Security Incident Response Team (CSIRT). Die NIS-2-Richtlinie trägt auch zur Förderung der Zusammenarbeit zwischen den EU-Mitgliedsstaaten bei. Sie sieht die Einrichtung einer Kooperationsgruppe vor, die die strategische Zusammenarbeit und den Informationsaustausch erleichtern soll. Unternehmen, die kritische Dienstleistungen erbringen, werden zudem verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen und relevante Ereignisse den zuständigen nationalen Behörden zu melden.

Wie unterscheiden sich NIS und NIS-2 voneinander?

Im Zuge der Integration der NIS-2-Richtlinie in das nationale Recht hat das Bundesinnenministerium (BMI) bereits einen entsprechenden Entwurf vorgelegt. In Deutschland wird die Umsetzung der RCE-Richtlinie, die den Fokus auf die physische Sicherheit kritischer Infrastrukturen legt, voraussichtlich durch das KRITIS-Dachgesetz erfolgen.

Dabei soll das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als zentrale Aufsichtsbehörde für die physische Sicherheit fungieren. Die NIS-2-Richtlinie hat einen erweiterten Anwendungsbereich und betrifft deutlich mehr Sektoren als ihre Vorgängerin, die NIS-Richtlinie. Es wird dabei zwischen elf „wesentlichen“ und sieben „wichtigen“ Sektoren unterschieden.

Einige kritische Infrastrukturbereiche sind von der NIS-2 Richtlinie betroffen. © Adobe Stock, AIGen
Unter die NIS-2 Richtlinie fallen einige wichtige Sektoren der kritischen Infrastruktur. © Adobe Stock, AIGen

Die wesentlichen Sektoren nach der NIS-2 Richtlinie

Hier zunächst eine Übersicht über wichtigsten Sektoren laut Anhang I der Richtlinie:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • digitale Infrastruktur
  • Verwaltung von IKT-Diensten
  • öffentliche Verwaltung
  • Weltraum

Im nachfolgenden gibt Benjamin Gnahm, CISO von Smart Data Center und Geschäftsführer von Smart Cyber Security seine Einschätzung zu den relevantesten Wirtschaftssektoren der KRITIS laut Anhang I:

Energie

Um eine stetige und verlässliche Energieversorgung zu gewährleisten, wurden durch das IT-Sicherheitsgesetz und den IT-Sicherheitskatalog der Bundesnetzagentur bereits Schutzmaßnahmen für Kritische Infrastrukturen und Informationen festgelegt. Eine der anspruchsvollen Aufgaben besteht darin, die verschiedenen Anforderungen in Einklang zu bringen. Diese ergeben sich beispielsweise aus § 11 Abs. 1 (a) des Energiewirtschaftsgesetzes (EnWG) oder der KRITIS-Verordnung. Darüber hinaus müssen branchenspezifische Sicherheitsframeworks wie ISO/IEC 27019:2020 oder B3S Aggregatoren berücksichtigt werden.

Transport und Verkehr

Die Infrastruktur im Bereich Transport und Verkehr ist in der heutigen Zeit erheblichen Gefahren ausgesetzt. Insbesondere in der Logistik ist es von zentraler Bedeutung, dass ein besonderer Schutz für Dual-Use-Güter und Ausrüstung gewährleistet ist. Dies impliziert, dass notwendige Schritte unternommen werden müssen, um die Sicherheit und Unversehrtheit dieser sensiblen Güter während ihrer Beförderung zu sichern.

Des Weiteren ist es von grundlegender Wichtigkeit, Sicherheitsnetzwerke zu etablieren und zu intensivieren, um den Schutz der Transport- und Verkehrsinfrastruktur sicherzustellen. Dies beinhaltet die Kooperation zwischen den verschiedenen Akteur:innen des Verkehrssystems, darunter öffentliche und private Unternehmen sowie Strafverfolgungsbehörden und Sicherheitsdienste. Durch den Aufbau solcher Sicherheitsnetzwerke können eine verbesserte Überwachung, ein effektiver Informationsaustausch und eine koordinierte Zusammenarbeit gewährleistet werden, um mögliche Bedrohungen frühzeitig zu identifizieren und angemessen darauf reagieren zu können.

Finanz- und Versicherungswesen

Die Bereitstellung von Bargeld, kartengestützte und traditionelle Zahlungstransaktionen, Wertpapier- und Derivategeschäfte sowie Versicherungsdienstleistungen sind mit einer Vielzahl von anspruchsvollen regulatorischen Anforderungen konfrontiert. Diese schließen die BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und die KRITIS-Verordnung mit ein. Dabei müssen verschiedene Schwellenwerte berücksichtigt werden.

Aufgrund aktueller Konfliktszenarien und den damit einhergehenden Sanktionen rücken Banken verstärkt in den Blickpunkt. Es hat sich gezeigt, dass nicht alle Banken über ausreichende Sicherheitsstandards verfügen. Daher ist es dringend notwendig, diese Sicherheitsdefizite so schnell wie möglich zu beheben.

Die neue Richtlinie ist auch für den Gesundheitssektor relevant, insbesondere für Krankenhäuser. © Adobe Stock, Suriyo
Auch im Gesundheitsbereich, gerade bei Krankenhäusern, ist die neue Richtlinie relevant. © Adobe Stock, Suriyo

Gesundheit

Seit einigen Jahren werden Krankenhäuser mit mehr als 30.000 vollstationären Patient:innen gemäß dem Bundesgesetz zur Sicherheit der Informationstechnik (BSIG) als Kritische Infrastrukturen eingestuft. Mit der Einführung des Patientendaten-Schutz-Gesetzes (PDSG) ändert sich diese Situation ab dem 1. Januar 2022 grundlegend. Laut § 75c SGB V sind dann nicht mehr nur KRITIS-Krankenhäuser, sondern alle Krankenhäuser in Deutschland dazu verpflichtet, angemessene organisatorische und technische Maßnahmen zu ergreifen. Dies bedeutet die Implementierung des B3S (Basisschutz-Standard Krankenhaus).

Aber auch außerhalb des stationären Gesundheitswesens, zum Beispiel bei der Bereitstellung von lebenserhaltenden Medizinprodukten, besteht aufgrund der aktuellen Situation eine dringende Handlungspflicht. Hier ist ein schnelles und effektives Handeln gefordert, um die Sicherheit und den Schutz dieser kritischen Bereiche zu gewährleisten. Es ist somit von großer Wichtigkeit, dass alle Beteiligten die Notwendigkeit dieser Maßnahmen erkennen und entsprechend agieren.

IT- und Telekommunikation

Die Störung oder Manipulation von Kommunikations- und Medienkanälen spielt eine immer bedeutendere Rolle in den Konflikten unserer Zeit. Daher ist es von immenser Wichtigkeit, die Informationstechnologie und Telekommunikation, insbesondere mit Blick auf die fortschreitende Entwicklung und Implementierung von 5G/6G, intensiv zu schützen. Die Erstellung einer langfristigen Strategie für die Cyber-Resilienz sollte dabei oberste Priorität haben.

Anbieter:innen von Dienstleistungen im Bereich der Sprach- und Datenübertragung sowie der Datenspeicherung und -verarbeitung sehen sich zudem mit erheblichen Anpassungen der Schwellenwerte konfrontiert, die durch die überarbeitete KRITIS-Verordnung eingeführt wurden. Es ist daher dringend notwendig, die Analysen zur Betroffenheit zu aktualisieren und sich auf diese neuen Anforderungen einzustellen.

Die NIS-2 Richtlinie betrifft die Wasserversorgung als wichtige Infrastruktur. © Adobe Stock, sirisakboakaew
Die Wasserversorgung gehört zur kritischen Infrastruktur und ist entsprechend von der NIS-2 Richtlinie betroffen. © Adobe Stock, sirisakboakaew

Wasser

Die Wasserversorgung wird voraussichtlich zunehmend von aktuellen Bedrohungsszenarien beeinflusst. Die zentrale Herausforderung besteht darin, die Sicherheit und Verlässlichkeit der Wasserversorgung zu sichern. Dies verlangt die Überprüfung und Bestätigung von Informationssicherheitsmanagementsystemen (ISMS) und Notfallplänen sowie die Neubewertung des B3S-Sicherheitsstandards und potenzieller alternativer Prüfgrundlagen. Dabei sollten die Schutzmaßnahmen sowohl technische als auch organisatorische Aspekte in Betracht ziehen, um die Integrität der Systeme der Wasserversorgung zu gewährleisten.

Öffentliche Verwaltung

Die NIS-2-Richtlinie wird für die öffentliche Verwaltung von erheblicher Relevanz sein, um die Cybersicherheit ihrer Netz- und Informationssysteme zu stärken. Angesichts der kontinuierlich zunehmenden Cyberangriffe ist ein unmittelbarer Handlungsbedarf gegeben. Die Herausforderungen sind vielfältig und umfassen die Komplexität der regulatorischen Vorgaben, begrenzte Ressourcen, eine breite Palette von IT-Infrastrukturen sowie den Schutz sensibler personenbezogener Daten. Es ist unabdingbar, dass die öffentliche Verwaltung diese Herausforderungen bewältigt, um ihre Aufgaben effizient ausführen zu können und die Sicherheit der Bürger:innen zu gewährleisten.

Weltraum

Die NIS-2-Richtlinie hat auch für den Bereich der Weltraumindustrie eine hohe Relevanz, um die Cybersicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Die spezifischen Herausforderungen dieses Sektors unterscheiden sich von anderen Bereichen der Kritischen Infrastrukturen, insbesondere aufgrund der technischen Komplexität und der strategischen Wichtigkeit, die die Weltraumindustrie einnimmt.

Die starke Abhängigkeit von Informationstechnologie sowie die hohe Sensibilität der Systeme erfordern maßgeschneiderte Sicherheitsvorkehrungen. Darüber hinaus ist eine enge Kooperation zwischen Raumfahrtbehörden, Unternehmen und Sicherheitsdiensten unerlässlich, um Cyberattacken erfolgreich abwehren und die Integrität der Weltraumnetzwerke schützen zu können.

Die Anlage II umfasst auch bedeutende Branchen wie den Vertrieb von Lebensmitteln und die Abfallwirtschaft. © Adobe Stock, ChayTee
Zur Anlage II gehören ebenfalls wichtige Sektoren, wie Abfallwirtschaft und Vertrieb von Lebensmitteln. © Adobe Stock, ChayTee

Anlage II: Was sind die wichtigen Sektoren?

Zu den relevanten Sektoren nach Anhang II zählen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Herstellung und Vertrieb von Lebensmitteln
  • verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschungseinrichtungen

Die folgenden Inhalte zu den bedeutenden Wirtschaftssektoren der Anlage II sind die fachliche Einordnung in der derzeitigen Bedrohungslage durch Cyberkriminalität von Benjamin Gnahm.

Siedlungsabfallentsorgung

Unternehmen, die in der Siedlungsabfallentsorgung tätig sind, stehen erst seit kurzer Zeit vor den Herausforderungen, die sich aus den Pflichten zur Gewährleistung Kritischer Infrastrukturen (KRITIS) ergeben. Es wird erhebliche Anstrengungen erfordern, um diese Anforderungen zu erfüllen. Obwohl die genauen Vorschriften noch in einer bevorstehenden Rechtsverordnung festgelegt werden müssen, ist es für Unternehmen in der Entsorgungsbranche, die noch kein Informationssicherheitsmanagementsystem (ISMS), Business Continuity Management (BCM) oder Maßnahmen zur Cyber-Resilienz implementiert haben, von größter Wichtigkeit, unverzüglich zu handeln.

Die Vorbereitung auf diese neuen Anforderungen und die Umsetzung geeigneter Maßnahmen zur Gewährleistung der Sicherheit und Betriebskontinuität sind von entscheidender Bedeutung.

Forschungseinrichtungen

Die NIS-2-Richtlinie ist von wesentlicher Bedeutung für Forschungseinrichtungen, um die Sicherheit ihrer Netzwerke und Informationssysteme zu erhöhen. Die spezifische Herausforderung besteht darin, sensible Forschungsdaten vor Diebstahl und Manipulation zu schützen, während gleichzeitig Transparenz und Wissensaustausch gefördert werden. Starke Sicherheitsmaßnahmen wie Zugriffskontrollen, Datenverschlüsselung und Schulungen zur Erhöhung des Bewusstseins für Cybersicherheit sind von zentraler Bedeutung. Die Zusammenarbeit zwischen Forschungsorganisationen, Behörden und Partner:innen ist unerlässlich, um bewährte Sicherheitsverfahren auszutauschen und angemessen auf Bedrohungen zu reagieren.

Falls die NIS-2-Richtlinie nicht zum vereinbarten Zeitpunkt umgesetzt wird, bestehen erhebliche Sanktionen. © Adobe Stock, Ratirath
Wird die NIS-2-Richtlinie nicht bis zum vereinbarten Zeitpunkt umgesetzt, drohen hohe Bußgelder. © Adobe Stock, Ratirath

Was droht bei Nichteinhalten der NIS-Richtlinie?

Die NIS-2-Richtlinie verlangt, dass die Leitungsebenen die Verantwortung für die Überwachung der Risikomanagementmaßnahmen übernehmen und bei Verstößen persönlich zur Rechenschaft gezogen werden. Die Bundesregierung plant, diese Anforderungen besonders rigoros umzusetzen. Gemäß dem Referentenentwurf sind die Leitungsorgane persönlich für ihre Pflichten verantwortlich und haften auch für Bußgelder, die aufgrund von Pflichtverletzungen verhängt werden.

Sofern zwei Prozent des Jahresumsatzes eines Unternehmens mehr als zwei Millionen Euro ausmachen, können gegen Unternehmen, die zum essenziellen Sektor gehören, Geldstrafen von bis zu 10 Millionen Euro verhängt werden. Für Einrichtungen des wichtigen Sektors können Bußgelder bis zu sieben Millionen Euro oder 1,4 % des Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Diese neuen Haftungsbestimmungen können für Vorstandsmitglieder, Aufsichtsratsmitglieder und Geschäftsführer:innen von großen Unternehmen eine existenzielle Bedrohung darstellen.

Kleine Unternehmen mit weniger als 50 Mitarbeiter:innen und einer Jahresbilanzsumme von höchstens 10 Millionen Euro fallen hingegen nicht unter die NIS-2-Richtlinie. Ausnahmen bestehen jedoch für Anbieter:innen von Vertrauensdiensten, öffentlichen elektronischen Kommunikationsnetzen oder -diensten, TLD-Namensregistern oder DNS-Dienstleistungen. Diese sind trotz ihrer geringen Größe verpflichtet, die Vorgaben der NIS-2-Richtlinie zu erfüllen.

Welche Vorteile bringt eine NIS-2-Implementierung?

Die Integration von NIS-2 in Ihrem Unternehmen bietet eine Vielzahl von Vorteilen. Vor allem stärkt die Einhaltung der NIS-2-Richtlinie die Cybersicherheitsmaßnahmen Ihres Unternehmens, indem sie die Sicherheit von Netzwerken und Informationssystemen optimiert. Dies ist von grundlegender Bedeutung angesichts der steigenden Cyberbedrohungen und der Notwendigkeit eines hohen Sicherheitsniveaus, um Datenverlust, Betriebsunterbrechungen und potenzielle Schädigung des Unternehmensrufs zu vermeiden. Leider ist es nicht mehr die Frage, ob ein Cyberangriff stattfinden wird, sondern eher wann.

Darüber hinaus fördert die Implementierung der NIS-2-Richtlinie die Harmonisierung der Cybersicherheitsstandards in der gesamten Europäischen Union. Durch die Erweiterung des Geltungsbereichs der Richtlinie werden mehr Unternehmen und Organisationen dazu verpflichtet, proaktive Maßnahmen zur Cybersicherheit zu ergreifen. Dies reduziert die Fragmentierung des EU-Binnenmarktes und fördert ein kohärentes Sicherheitsniveau auf dem gesamten Kontinent.

Welche Schwierigkeiten können bei der Implementierung der NIS-2-Richtlinie aufkommen?

Cybersicherheit ist ein Bereich, der für viele Unternehmer:innen zwar bekannt, aber dennoch oft schwer zu verstehen ist. Dies ist nicht überraschend, da es eine Vielzahl von Methoden gibt, die Hacker:innen für Cyberangriffe auf Unternehmen nutzen können. Ein Mangel an Wissen im Bereich der IT-Sicherheit stellt daher eine der Herausforderungen dar, mit denen Sie konfrontiert sein könnten. Damit verbunden ist oft die Tatsache, dass viele Unternehmen nicht über die notwendige interne Expertise verfügen. Genau hier kommen wir ins Spiel und bieten Unterstützung.

Professionelle Cybersicherheit mit Smart Lens

Smart Lens bietet ein umfangreiches Spektrum an Dienstleistungen, um die Integrität Ihrer Daten zu sichern und Sie gegen Cyber-Bedrohungen zu schützen. Durch den Einsatz unseres fortschrittlichen Penetrationstest-Tools sind wir in der Lage, potenzielle Sicherheitslücken in Ihrem Netzwerk zu identifizieren, bevor diese von Cyberkriminellen ausgenutzt werden können. Unser vorrangiges Ziel ist es stets, die Sicherheit Ihrer Daten zu gewährleisten, sodass Sie beruhigt sein können, dass Sie gegen mögliche Cyber-Bedrohungen gewappnet sind.

Beitragsbild: © Adobe Stock, naka

Weitere Beiträge

Wie künstliche Intelligenz Unternehmen sicherer macht

Wie künstliche Intelligenz Unternehmen sicherer macht

Erleben Sie die faszinierende Welt der künstlichen Intelligenz und wie sie unsere Zukunft neugestaltet. Entdecken Sie die Möglichkeiten mit uns!

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Global steigen Hackerangriffe: Handeln und Wissen sind gefragt. Wie operieren Hacker:innen? Wo sind Schwachstellen in Ihrem Unternehmen? Wie ist Schutz möglich?