Trotz der verbesserten Cyber-Resilienz in der EU bleiben die rechtlichen Rahmenbedingungen für Cybersicherheit in den Mitgliedstaaten unterschiedlich. Die Europäische Union hat eine neue EU-Strategie für Cybersicherheit sowie neue Vorschriften angekündigt, um physische und digitale kritische Infrastrukturen widerstandsfähiger zu machen (NIS2). Die Angriffsfläche hat sich seit 2016 dramatisch verändert, einschließlich der Auswirkungen von COVID-19 und der veränderten Taktiken von Cyber-Gegnern.

Erwähnenswert ist auch, dass sich die allgemeine Angriffsfläche seit 2016 dramatisch verändert hat - einschließlich, aber nicht beschränkt auf COVID-19 und das veränderte Verhalten und die Taktiken von Cyber-Gegnern. Die Kommission hat eine umfassende Konsultation der Interessenträger durchgeführt, um die Auswirkungen und Schwachstellen der NIS-Richtlinie zu ermitteln. Die Kommission hat die folgenden Hauptprobleme ermittelt

• unzureichendes Niveau der Cyber-Resilienz der in der EU tätigen Unternehmen
• uneinheitliche Resilienz in den Mitgliedstaaten und Sektoren
• unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen unter den Mitgliedstaaten
• fehlende gemeinsame Krisenreaktion

NIS2

Am 16. Januar 2023 wurde die NIS2-Richtlinie (EU 2022/2555) wirksam, um die Cybersicherheitsmaßnahmen in der gesamten Region zu verbessern, indem ein gemeinsamer Rahmen von Cybersicherheitsanforderungen für Unternehmen und Mitgliedstaaten festgelegt wird. Die Mitgliedstaaten sind verpflichtet, die Richtlinie bis zum 17. Oktober 2024 umzusetzen. Im Vergleich zur ursprünglichen NIS-Richtlinie führt NIS2 zusätzliche Maßnahmen und Anforderungen im Bereich der Cybersicherheit ein:

• Die Sicherheit der Lieferkette rückt in den Fokus.
• Es wird ein verpflichtendes Cyber-Risikomanagement eingeführt.
• Unternehmen sind verpflichtet, ihre Mitarbeiter zu schulen und regelmäßige Audits zur Cybersicherheit durchzuführen.
• Bei Verstößen wird die Unternehmensleitung persönlich zur Verantwortung gezogen.
• Verstöße können empfindliche Strafen nach sich ziehen.
• Es werden formalisierte Meldefristen für die Reaktion auf Vorfälle eingeführt.

NIS2 erweitert auch den Anwendungsbereich auf eine größere Anzahl von Sektoren und senkt die Schwelle für betroffene Einrichtungen:

• Eine größere Bandbreite an Sektoren/Industrien fällt nun unter die Vorschriften.
• Die Auswahlkriterien für erfasste Einrichtungen wurden angepasst, was zu einer größeren Anzahl von betroffenen Einrichtungen führt.

Neue Sektoren

NIS2 führt zahlreiche neue Sektoren und Teilsektoren ein. Der Sektor „Verkehr“ hat sich, abgesehen von der Erweiterung um den öffentlichen Personenverkehr, der allerdings mit vielen zusätzlichen Einschränkungen verbunden ist, kaum verändert. Anders verhält es sich mit dem Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“. Dieser völlig neue Sektor enthält Teilsektoren wie „Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen“, „Herstellung von elektrischen Ausrüstungen“, „Maschinenbau“, „Herstellung von Kraftwagen und Kraftwagenteilen“ oder auch „Sonstiger Fahrzeugbau“. Alle diese Teilsektoren werden durch Bezüge zur NACE Rev. 2 näher spezifiziert. Im konkreten Fall Abschnitt C Abteilungen 26-30. Betrachtet man die dort aufgeführten Wirtschaftszweige, so fallen zwei Dinge auf: Zum einen sind eine Vielzahl von Wirtschaftszweigen erfasst, die zum zweitens auch bei näherer Betrachtung nicht „kritisch“ sind. An dieser Stelle zeigt sich, dass NIS2 nicht als Richtlinie nur für „kritische“ Branchen fehlinterpretiert und somit vernachlässigt werden darf. Als Unternehmensleitung ist man gut damit beraten, hier ausdrücklich zu prüfen, ob man von NIS2 tangiert ist - und zwar ungeachtet dessen, was einem das eigene Bauchgefühl sagt. Ebenso tut man gut daran, das Resultat der Prüfung auch im Negativ-Fall entsprechend zu belegen.

Einheitliche Kriterien

Im Gegensatz zur ursprünglichen NIS-Richtlinie führt NIS2 klare, EU-weit geltende Kriterien ein, anhand derer Einrichtungen entweder reguliert oder nicht reguliert werden. Einerseits erweitert NIS2 die regulierten Sektoren erheblich, auch in Bereiche, die nicht sofort als „kritisch“ betrachtet würden. Andererseits ersetzt NIS2 die Begriffe „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ durch „Wesentliche Einrichtungen“ und „Wichtige Einrichtungen“, was den erweiterten Fokus von NIS2 über die ursprüngliche „kritische Infrastruktur“ hinaus verdeutlicht.

Ein weiterer Aspekt betrifft die Unternehmensgröße. NIS2 richtet sich nach der „Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen“ (EU 32003H0361) und setzt einen sogenannten „Size-Cap“-Schwellenwert fest. Unternehmen mit mehr als 50 Beschäftigten in einem Sektor fallen unter NIS2. In einigen Sektoren bzw. Ausnahmen können jedoch auch kleinere Unternehmen von NIS2 betroffen sein.

Ein häufig übersehener Aspekt betrifft die Selbstregistrierung. Während Unternehmen unter NIS (bzw. den entsprechenden nationalen Umsetzungen) von staatlicher Seite informiert wurden, dass sie die jeweiligen regulatorischen Anforderungen erfüllen müssen, besteht unter NIS2 eine Verpflichtung zur Selbstregistrierung. Gemäß NIS2 müssen die Mitgliedstaaten eine (Online-)Plattform bereitstellen, auf der Unternehmen sich registrieren können. Es obliegt jedoch den Unternehmen selbst, zu prüfen, ob sie nun unter NIS2 fallen oder nicht.

Lieferkette

Ein weiterer wichtiger Aspekt der NIS2-Richtlinie betrifft die Sicherung der Lieferkette. Unternehmen, die von NIS2 betroffen sind, müssen die Risiken entlang ihrer Lieferkette bewerten und gegebenenfalls durch Maßnahmen, aber auch durch Diversifizierung oder Wechsel der Lieferanten, mindern. Es ist daher anzunehmen, dass die Anforderungen von NIS2 zukünftig auch vertraglich in der Lieferkette weitergegeben werden. Selbst Unternehmen, die nicht unmittelbar von NIS2 betroffen sind, könnten zur Einhaltung verpflichtet sein - nicht aufgrund rechtlicher Vorgaben, sondern aufgrund der vertragsrechtlichen Anforderungen, um ihre Lieferbeziehungen nicht zu gefährden.

„Bin ich schon KRITIS oder was?“

Es gibt böse Stimmen, die behaupten, dass NIS2 auch einige Bereiche regelt, die nicht kritisch sind. Tatsächlich ist es ein Trugschluss zu glauben, dass sich NIS2 auf kritische Bereiche konzentriert. Tatsächlich befasst sich NIS2 mit der Resilienz in der EU - und zwar viel umfassender als NIS! NIS2 hat den Fokus von NIS übernommen - aber das Verständnis von Resilienz ist viel weiter gefasst (vor allem ökonomisch) und inkludiert auch nachgelagerte Unternehmen in der zweiten, dritten, vierten ... Reihe der Zulieferkette mit einbezieht.

Aus ökonomischer Sicht könnte man sagen, dass heute praktisch jedes Unternehmen in einer Wertschöpfungsbeziehung zum Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ steht. Dementsprechend ist dies für die Unternehmen dieses Sektors aus ökonomischer Sicht sehr vorteilhaft. Genau diese Verflechtung bedingt aber auch, dass dieser Sektor entsprechend im Blickpunkt steht und mit NIS2 regulatorisch erfasst wird!

Neue betroffene Unternehmen

Im Unterschied zu anderen Sektoren, bei denen lediglich die Teilsektoren erweitert wurden, ist der Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ in der NIS2 ein Novum. Infolgedessen gab es bisher wenig Regulierungsdruck, sich mit den Anforderungen zu befassen. Dies ändert sich mit NIS2 schlagartig! Und unabhängig von der Branche darf nicht unterschätzt werden, dass Unternehmen ab einer Größe von 50 Mitarbeitern möglicherweise von den Anforderungen betroffen sind! NIS2 ist somit keineswegs nur ein Thema für „die Großen“.

Sofern diese Unternehmen derzeit kein Informationssicherheitsmanagementsystem (ISMS) betreiben, könnten sie bis zur Umsetzung der lokalen Vorschriften möglicherweise ihren gesamten IT-Betrieb überdenken müssen. Das reaktive Handeln auf Anforderungen, Vorfälle und Angriffe müsste einem strukturierten, risikobasierten und dokumentierten IT-Betrieb weichen. Dies stellt eine Herausforderung dar, insbesondere wenn erst jetzt damit begonnen wird. NIS2 behandelt Cybersecurity ähnlich wie andere Unternehmensbereiche. Während es beispielsweise im Finanzwesen üblich ist, betriebswirtschaftliche Kennzahlen in Echtzeit zur Verfügung zu haben, erweitert NIS2 diesen Ansatz auf die Cybersecurity. Status, Risiken und betriebliche Kennzahlen müssen jederzeit verfügbar sein - nicht nur im Falle eines Vorfalls. Mit einer unstrukturierten Vorgehensweise, dem Glauben an schnelle Lösungen und dem Aufschieben der Dokumentation ist es unmöglich, solche Kennzahlen zeitnah zu erhalten. Dies bedeutet, dass gerade für kleinere Unternehmen erhebliche Veränderungen in Prozessen, Organisation, IT-Betrieb und der Wahrnehmung der IT bevorstehen.

Wettbewerb im Binnenmarkt

Im Rahmen der Mindestharmonisierung legt NIS2 die Cybersicherheitsanforderungen und -pflichten deutlich umfassender fest als die ursprüngliche NIS-Richtlinie. Ein ausdrückliches Ziel dieser Neuregelung ist der Abbau von Wettbewerbsverzerrungen im Binnenmarkt, die durch unterschiedliche Umsetzungen der NIS-Richtlinie entstanden sind. Die ursprüngliche deutsche Umsetzung war bereits sehr umfassend, was in einigen Fällen zu höheren Kosten für deutsche Unternehmen und entsprechenden Nachteilen im europäischen Wettbewerb führte. NIS2 gleicht somit das Spielfeld aus und schafft einheitliche Anforderungen für alle. Ob dies für deutsche Unternehmen nur eine geringfügige Änderung oder für Unternehmen in anderen Ländern eine massive Veränderung darstellt, ist zunächst unerheblich. Entscheidend ist vielmehr, dass gleiche Regeln für alle gelten, was letztlich eine Ausprägung des wirtschaftlichen Binnenmarktgedankens der EU ist.

Standards und Implementation

Angesichts der ursprünglichen NIS-Richtlinie im Kontext kritischer Infrastrukturen mag es überraschend sein, dass das (Cyber-)Risikomanagement in NIS2 eher IT-lastig erscheint. Während die ENISA für NIS nicht nur Mappings auf IT-Standards wie die ISO/IEC27001-Reihe und das NIST CSF erstellt hat, sondern auch auf OT-Standards wie die ISO/IEC62443, erwähnt die NIS2-Richtlinie bisher ausschließlich die ISO27000:

[...] Maßnahmen zum Schutz dieser Systeme [...] in Übereinstimmung mit europäischen und internationalen Normen wie denen der ISO/IEC 27000er Reihe [...].

Umso bedauerlicher ist es, dass andere Normen wie z.B. die ISO/IEC62443 im OT-Bereich deutlich spezifischere Umsetzungshinweise geben. Es existieren leider noch keine branchenspezifischen Sicherheitsstandards (B3S) des BSI für den Bereich „Verarbeitendes Gewerbe/Herstellung von Waren“. Allerdings ist damit zu rechnen, dass das BSI bis zum Inkrafttreten der NIS2-Umsetzung in Deutschland hierzu zumindest Handlungsempfehlungen herausgeben wird. Es empfiehlt sich jedoch nicht, mit der Einführung bis zu deren Veröffentlichung zu warten. Dies umso mehr, als 80% der notwendigen Maßnahmen seit Jahren „Standard“ und entsprechend beschrieben sind. D.h. es wird in jedem Fall geraten, sich frühzeitig mit den Basisanforderungen zu beschäftigen, um dann, wenn branchenspezifische Anforderungen vorliegen, die restlichen 20% auf dieser Grundlage umzusetzen.

Zusammenfassung

Generell ist anzuerkennen, dass die Europäische Kommission mit der NIS2-Richtlinie eine sinnvolle Regelung geschaffen hat, die viele Schwachstellen der ursprünglichen NIS-Richtlinie adressiert. Zum einen erweitert sie den Rahmen des Risikomanagements und konkretisiert Anforderungen, Berichtspflichten sowie potenzielle Sanktionen deutlich umfassender, sowohl für betroffene Unternehmen als auch indirekt für ihre Lieferketten. Zum anderen gleichen diese Vorgaben den verzerrten Wettbewerb in der Europäischen Union aus, was letztlich einer der Hauptgründe für den europäischen Binnenmarkt und somit auch der Grundgedanke der Europäischen Union ist.

Unternehmen, die neu von NIS2 betroffen sind, sei es durch erweiterte Sektoren oder aufgrund ihrer Größe, stehen möglicherweise vor erheblichen Herausforderungen. Falls sie ihren IT-Betrieb bisher nicht strukturiert betreiben (z.B. ohne ISMS), stehen sie vor der Aufgabe, nicht nur den IT-Betrieb zu strukturieren, sondern auch das Risikomanagement und technische Maßnahmen umzusetzen sowie prozessuale und organisatorische Veränderungen einzuleiten, bis zur Umsetzung der deutschen Regelung in knapp einem Jahr.

In beiden Fällen steigt die Anzahl der direkt betroffenen Unternehmen sowie indirekt betroffenen Unternehmen (über die Lieferkette) aufgrund des erweiterten Geltungsbereichs von NIS2 erheblich an. Als direkt von NIS2 betroffenes Unternehmen ist es daher nun und in Zukunft einfacher, entsprechende Waren und Dienstleistungen „NIS2-konform“ zu beschaffen. Selbst wenn der Lieferant selbst nicht von NIS2 betroffen ist, liegt es oft in seinem eigenen wirtschaftlichen Interesse, für Konformität zu sorgen.