Die NIS2-Richtlinie: Sind Sie bereit, die Messlatte für Ihre Cyber-Resilienz höher zu legen?

Cybersicherheit muss eine kollektive Angelegenheit sein, um sich erfolgreich gegen ausgefeilte Cyberangriffe zu verteidigen. Moderne Technologienetze sind hypervernetzt, so dass ein Angriff, der von einem Bereich ausgeht, schnell schwerwiegende Auswirkungen auf einen anderen Bereich haben kann - unabhängig davon, ob dieser Bereich in einem anderen Unternehmen, einer anderen Branche oder sogar einem anderen Land liegt. Die Notwendigkeit, eine kollektive Strategie zu entwickeln, ist umso dringlicher, wenn die Netze, auf die sich Länder bei der Bereitstellung kritischer nationaler Infrastrukturdienste verlassen, von nationalstaatlichen Akteuren ins Visier genommen werden, die eine Störung verursachen wollen. Zu diesen wesentlichen Diensten gehören Gesundheit, Finanzen, Wasser, Verkehr und sogar die Regierung selbst.

Diese Dringlichkeit wurde durch die jüngste Ankündigung der US-Regierung deutlich, dass die chinesische Hackergruppe Volt Typhoon in den letzten fünf Jahren in die IT-Umgebungen ihrer Verkehrs- und Wassersysteme eingedrungen war. Die Erklärung, die von den nationalen Cybersicherheitsbehörden Großbritanniens, Kanadas, Australiens und Neuseelands mitunterzeichnet wurde, unterstreicht das Risiko störender Angriffe, die von kompromittierten Netzwerken ausgehen. Der Schutz vor solchen weit verbreiteten und folgenschweren Angriffen kann nur dann erfolgreich sein, wenn alle Teile des Netzes abgedeckt sind, und das erfordert einen kooperativen Ansatz.

Im Vereinigten Königreich hat die Law Society vor kurzem Leitlinien für Anwaltskanzleien herausgegeben, nachdem ein Anbieter von verwalteten IT-Diensten für Anwaltskanzleien und die freiberufliche Dienstleistungsbranche von einem Cyberangriff betroffen war, der angeblich zur Unterbrechung von bis zu 80 Anwaltskanzleien führte, von denen viele keinen Zugriff auf Fallakten hatten.

Erweiterung und Verbesserung der bestehenden Richtlinie

Beispiele wie dieses sind der Grund für die EU-Richtlinie über Netz- und Informationssicherheit (NIS2), die bis Oktober 2024 in allen EU-Ländern in nationales Recht umgesetzt werden soll. Die NIS2-Richtlinie enthält eine Liste von Maßnahmen für das Sicherheitsrisikomanagement, die wesentliche und wichtige Einrichtungen zum Schutz von Netz- und Informationssystemen umsetzen sollten, und zielt darauf ab, ein höheres gemeinsames Niveau der Cybersicherheit und der Widerstandsfähigkeit gegenüber Cyberangriffen in der gesamten EU zu erreichen. Ziel ist es, die kollektive Bereitschaft zu erhöhen, die Fähigkeit von Organisationen zu verbessern, Cyber-Sicherheitsvorfällen zu widerstehen und sich schneller davon zu erholen, und allgemein die Cybersicherheitsstandards in Schlüsselindustrien und ihren Lieferketten in ganz Europa anzuheben. Die Vorgabe und Durchsetzung von Mindestanforderungen an die Cybersicherheitsleistung von Organisationen, die in den Anwendungsbereich fallen, wird die Wahrscheinlichkeit von Cyberangriffen auf Bürger, Gesellschaften und Volkswirtschaften verringern, die Auswirkungen von Angriffen minimieren und die kollektive Reaktion auf Vorfälle stärken.

Wie der Name schon sagt, ist dies nicht der erste Versuch, die Cybersicherheitsstandards kollektiv zu verbessern. Diese Version behebt einige der Unzulänglichkeiten der früheren Richtlinie und erweitert die Zahl der erfassten Organisationen und Sektoren. Sie sieht eine stärkere Harmonisierung und internationale Zusammenarbeit vor und ist hinsichtlich der Fristen und des Inhalts, der in der Berichterstattung über Vorfälle enthalten sein muss, genauer festgelegt.

NIS2 wird sich auf die Governance-, Risiko- und Compliance-Praktiken für wesentliche und wichtige Einrichtungen in 18 Sektoren auswirken, die in Sektoren mit hoher Kritikalität und andere kritische Sektoren unterteilt sind. Beispiele hierfür sind Energie, Verkehr, Gesundheit, Trinkwasser- und Abfallwirtschaft, Gesundheit, digitale Infrastruktur, Verwaltung von IKT-Diensten, Post- und Kurierdienste, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe und digitale Anbieter.

Entscheidend ist, dass NIS2 ebenfalls:

• Schaffung von Governance und Rechenschaftspflicht für eine wirksame Cybersicherheitsstrategie und Aufsicht auf höchster Führungsebene. Den Führungsgremien wird eine aktive Rolle zugewiesen, und sie sind dafür verantwortlich, die von ihren Organisationen ergriffenen Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit zu genehmigen und die Umsetzung zu überwachen. Die Nichteinhaltung der Vorschriften kann dazu führen, dass Einzelpersonen wegen Verletzung ihrer Pflichten zur Verantwortung gezogen werden. Zu den Sanktionen gehört ein vorübergehendes Verbot für Personen, die für die Wahrnehmung von Führungsaufgaben auf der Ebene des Geschäftsführers oder des gesetzlichen Vertreters verantwortlich sind, ihre Führungsaufgaben wahrzunehmen.
  
• Organisationen werden verpflichtet, Schwachstellen in der Cybersicherheit ihrer Lieferkette zu beheben. Diese Einbeziehung sicherheitsrelevanter Anforderungen zwischen jeder Organisation und ihren direkten Zulieferern oder Dienstleistern wird eine von oben nach unten gerichtete vertragliche Wirkung sicherstellen, die sich auf ein ganzes Ökosystem von Zulieferern auswirkt, die die schätzungsweise 160.000 wesentlichen und wichtigen Einrichtungen unterstützen, die direkt in den Anwendungsbereich der NIS2 fallen. Auch die direkten Zulieferer und Dienstleister sollten sich auf diese vertraglichen Verpflichtungen vorbereiten.
• Extraterritoriale Anwendung für bestimmte Einrichtungen, die nicht in der EU ansässig sind, aber Dienstleistungen innerhalb der EU anbieten. Dazu gehören Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen, Anbieter von Domänennamenregistrierungsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, von Online-Suchmaschinen oder von Plattformen für soziale Netzwerke. Darüber hinaus müssen Direktanbieter, die nicht in der EU ansässig sind, wie z. B. Unternehmen aus dem Vereinigten Königreich, die aber wesentliche oder wichtige europäische Einrichtungen beliefern, diese Kunden davon überzeugen, dass sie nach den NIS2-Standards arbeiten.
  
• Es werden Meldepflichten für wesentliche und wichtige Einrichtungen bei bedeutenden Cybersicherheitsvorfällen eingeführt. Diese Organisationen müssen dem Computer Security Information Response Team (CSIRT) der Regierung oder der zuständigen Behörde innerhalb von 24 Stunden eine Frühwarnung, innerhalb von 72 Stunden eine Meldung über den Vorfall, Statusaktualisierungen und innerhalb von 30 Tagen nach der Meldung des Vorfalls einen Abschlussbericht übermitteln.

Welche Strafen drohen bei NIS2-Verstößen?

• Organisationen, die die NIS2 nicht einhalten, müssen mit einer Reihe von Strafen rechnen, darunter: Geldbußen von bis zu 10 Millionen Euro oder maximal 2 % des weltweiten Umsatzes für wesentliche Unternehmen und 7 Millionen Euro oder bis zu 1,4 % des weltweiten Umsatzes für wichtige Unternehmen.
• Verantwortliche Personen (z. B. Geschäftsführer oder gesetzliche Vertreter) in wesentlichen Unternehmen können vorübergehend von der Ausübung von Führungsaufgaben in diesem Unternehmen ausgeschlossen werden, wenn es die Vorschriften nicht einhält.
• Verantwortliche Personen in wesentlichen oder bedeutenden Unternehmen können haftbar gemacht werden, wenn sie ihre Pflichten zur Einhaltung der NIS2 verletzen.
• Sie können öffentlich benannt werden oder verbindliche Anweisungen erhalten, die sie zur Behebung von Verstößen verpflichten.
• Sie können gezwungen sein, Kunden oder Dienstleistungsempfänger über die Art und Schwere des Risikos zu informieren, das sich aus der Nichteinhaltung der Vorschriften ergibt.

Höhere Anforderungen an die Cyber-Resilienz

Um die NIS2-Richtlinie zu erfüllen, müssen die Organisationen daher sicherstellen, dass sie einen guten Überblick über die Cybersicherheitsleistung haben und über wirksame Kontrollen und Überwachungen verfügen, die den Führungskräften die nötige Sicherheit geben.

Unter dem Gesichtspunkt der Unternehmensführung verlangt die NIS2-Richtlinie auch, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen in Cybersicherheit geschult werden, damit sie Cybersicherheitsrisiken erkennen und priorisieren können und über ausreichende Erfahrung in diesem Bereich verfügen, um ihre Aufgabe des Risikomanagements wirksam zu erfüllen.

Über die unmittelbare Organisation hinaus wird ein verbessertes Risikomanagement für Dritte unerlässlich sein, um Cybersicherheitsrisiken bei wichtigen Unternehmen in der Lieferkette zu erkennen und zu bewältigen und um sicherzustellen, dass die Lieferkette geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergriffen hat, um die Risiken für die Sicherheit ihrer Netze und Informationssysteme zu bewältigen.

Wie kann Diligent helfen?

Um die vielfältigen Anforderungen der NIS2-Richtlinie zu erfüllen, ist ein einheitlicher Ansatz für Governance, Risiko und Compliance erforderlich. Unternehmen benötigen Transparenz in den verschiedenen Bereichen der Cybersicherheitsrisiken und der Risiken Dritter, um die von den Führungsgremien benötigte Sicherheit zu gewährleisten.

Die Diligent One Platform kann dabei helfen, diese Sicherheit zu schaffen. Diligent bietet integrierte Tools für interne Kontrollen, Unternehmens- und Drittanbieterrisiken sowie Compliance, die Risikopraktiker und Managementgremien unterstützen, indem sie eine einzige Quelle der Wahrheit bieten. Diese Daten sind entscheidend für eine genaue Entscheidungsfindung, Planung und schnelle Maßnahmen, wenn ein bedeutender Cybersecurity-Vorfall eintritt.