Erweiterte Suche

Cybersecurity

Kolumne

NIS-2 ist da: Ein Einblick in den neuen EU-Regelungsrahmen zur Cybersicherheit

Vor dem Hintergrund einer sich rapide verschärfenden Sicherheitslage im Cyberraum, will die Europäische Union Cybersicherheit endlich zur Chefsache machen. Kann das mit der NIS-2-Direktive gelingen? Dennis-Kenji Kipker gibt einen Überblick, was sich konkret ändern wird.

image

von Dennis-Kenji Kipker

veröffentlicht am 05.01.2023

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

2022 war das Jahr, in dem die bestehende nationale Cybersicherheitsarchitektur auf den Prüfstand gestellt wurde – und das nicht nur, weil das Bundesinnenministerium eine neue Cybersicherheitsagenda vorgestellt hat, sondern vor allem auch deshalb, weil der Russland-Ukraine-Krieg gezeigt hat, wie vulnerabel nicht nur die Kritische Infrastruktur in Deutschland ist. Daneben scheint mit der „hybriden Bedrohungslage“, also der Sabotage und Manipulation physischer (IT-)Infrastruktur, ein neuer Faktor hinzugetreten, der bislang zumindest in der rechtlichen Betrachtung der Cybersicherheit bislang weitgehend unberücksichtigt blieb – auch wenn ähnliche Gefahrenlagen schon 2001 mit den Anschlägen auf das World Trade Center auch hierzulande beobachtet werden konnten.

Es gibt aktuell somit mehr als genügend politische Gründe für die Bundesregierung, zum Jahresende 2022 die Eckpunkte für ein sogenanntes „KRITIS-Dachgesetz“ vorgelegt zu haben. Doch damit nicht genug: Am 25. Januar wird im Bundestag im Ausschuss für Digitales eine öffentliche Anhörung stattfinden, die die „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“ zum Gegenstand hat und sich dabei auch intensiv mit dem IT-sicherheitsrechtlichen Fragen auseinandersetzen wird, welche die Grundlage für die aktuelle und künftige nationale Cybersicherheitsarchitektur bilden, die immer stärker auch europarechtlich überformt wird.

NIS-2 als strategisches Merkmal für den Schutz des digitalen EU-Binnenmarktes

Umso besser passt es in das aktuelle Bild, dass die Europäische Union in ihrem Amtsblatt am 27. Dezember 2022 die bereits seit geraumer Zeit erwartete „Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union […] sowie zur Aufhebung der Richtlinie 2016/1148“ – oder kurz: NIS-2-Richtlinie – veröffentlicht hat, nachdem diese am 28. November vergangenen Jahres durch den Rat angenommen wurde. Das regulatorische Ziel von NIS-2: Nichts anderes als die Vertiefung und inhaltliche Erweiterung der Anforderungen an die Cybersicherheit zum verbesserten und an die aktuelle Bedrohungslage angepassten Schutz des EU-Binnenmarktes im Sinne einer Stärkung, Modernisierung und Ausweitung zentraler Vorgaben. Da es sich um eine Richtlinie und nicht um eine Verordnung handelt, müssen die europäischen Mitgliedstaaten den neuen Rechtsakt bis zum 17. Oktober 2024 in nationalstaatliches Recht umsetzen.

Komplexe Regelungen zum deutlich erweiterten Anwendungsbereich

Schon beim Anwendungsbereich von NIS-2 wird schnell klar: Die EU will Cybersicherheit nun endgültig zur „Chefsache“ machen. NIS-2 ist sowohl auf private wie auf öffentliche Einrichtungen anwendbar – wobei für letztere aber erhebliche und nicht immer nachvollziehbare Ausnahmen vom Anwendungsbereich gelten. In den Anhängen I und II werden diese Einrichtungen für Sektoren „hoher Kritikalität“ und „sonstige kritische Sektoren“ weiter konkretisiert. Dabei lassen sich inhaltlich einige Parallelen zum nationalen IT-SiG 2.0 ausmachen. Klassischerweise finden sich hier in teils leicht abgewandelter Form die bereits bekannten Kritischen Infrastrukturen wieder. Aber auch die digitale Infrastruktur, die Verwaltung von IKT-Diensten, in Teilen wie vorgenannt die öffentliche Verwaltung sowie der Weltraumsektor gehören künftig zu den Sektoren mit hoher Kritikalität. Der Sektor „Weltraum“ betrifft Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen.

„Sonstige kritische Sektoren“ in Anhang II sind Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln im Großhandel sowie in der industriellen Produktion und Verarbeitung, verarbeitendes Gewerbe/Herstellung von Waren (hierunter wiederum fallen Medizinprodukte, In-vitro-Diagnostika, Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse, elektronische Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau), die schon aus NIS-1 bekannten Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Betreiber sozialer Netzwerke) sowie Forschungseinrichtungen. Dieser generelle Anwendungsbereich wird durch verhältnismäßig komplexe und vielschichtige Konkretisierungsbestimmungen weiter aufgegliedert. Zuvorderst gilt dabei als „Grundsatz“, dass NIS-2 für mittlere Unternehmen gemäß der Empfehlung 2003/361/EG gilt (mindestens 50 Personen werden beschäftigt und der Jahresumsatz beziehungsweise die Jahresbilanz übersteigt zehn Millionen Euro) sowie für Unternehmen gilt, die die Schwellenwerte für mittlere Unternehmen nach europäischem Recht überschreiten (mindestens 250 Beschäftigte und entweder einen Jahresumsatz von mehr als 50 oder Jahresbilanzsumme von mehr als 43 Millionen Euro).

Darüberhinausgehend gilt NIS-2 auch unabhängig von der Größe eines Unternehmens oder einer Einrichtung, soweit bestimmte qualifizierende Voraussetzungen erfüllt sind. Weitere Besonderheiten im Anwendungsbereich von NIS-2 ergeben sich durch den Verweis auf die ebenfalls neue Richtlinie (EU) 2022/2557 vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG. Zusätzlich gelten bereits bestehende sektorspezifische Vorschriften fort.

Wesentliche und wichtige Einrichtungen

Die bereits festgestellte erhebliche Komplexität des NIS-2-Anwendungsbereiches endet hier jedoch nicht, denn die Richtlinie differenziert im Hinblick darauf zwischen sogenannten „wesentlichen“ und „wichtigen“ Einrichtungen – eine Unterscheidung, die sich durch den gesamten EU-Rechtsakt zieht. Wesentliche Einrichtungen sind beispielsweise solche der in NIS-2 Anhang I aufgeführten Art, die die europäischen Schwellenwerte für mittlere Unternehmen überschreiten oder solche, die mitgliedstaatlich entsprechend eingestuft wurden.

Wesentliche Einrichtungen können ebenso solche sein, die von einem EU-Mitgliedstaat vor dem 16. Januar 2023 gemäß der ersten NIS-Richtlinie 2016/1148 beziehungsweise nach nationalem Recht als Betreiber wesentlicher Dienste eingestuft wurden. Wichtige Einrichtungen hingegen sind solche, die sowohl NIS-2 Anhang I und II zugehörig sein können, aber nicht als wesentliche Einrichtungen gelten. Dies schließt ebenfalls Einrichtungen ein, die von den Mitgliedstaaten als wichtige Einrichtungen eingestuft wurden. Bis spätestens zum 17. April 2025 muss durch die Mitgliedstaaten eine Liste dieser wesentlichen und wichtigen Einrichtungen erstellt werden. Teils sieht NIS-2 überdies Registrierungspflichten für bestimmte Einrichtungen vor, so beispielsweise für Cloud Computing-Provider.

Koordinierte europäische Cybersicherheit und Cyberkrisenmanagement

Mit NIS-2 ergeben sich umfassende und teils neue Pflichten sowohl für die Mitgliedstaaten als auch für die durch die Regelung adressierten Einrichtungen. Die EU-Staaten müssen nicht nur eine nationale Cybersicherheitsstrategie entwickeln, sondern auch den Lieferkettenschutz stärker als bislang einbeziehen. Die koordinierte Offenlegung von Schwachstellen soll ebenso adressiert werden. Die mitgliedstaatlichen Cybersicherheitsstrategien müssen anhand von Leistungsindikatoren überprüfbar sein. Das Cyberkrisenmanagement spielt in NIS-2 eine ganz erhebliche Rolle und erfordert den Informationsaustausch zwischen Mitgliedstaaten etwa durch eine „Kooperationsgruppe“ und dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe). Soweit bislang noch nicht vorhanden, müssen staatlicherseits künftig Computer-Notfallteams (CSIRTs) vorgehalten werden.

Ebenfalls neu und auf den ersten Blick ungewöhnlich mutet der Ansatz zur Entwicklung einer „europäischen Schwachstellendatenbank“ an, für deren Verwaltung die Enisa verantwortlich ist. Gesammelt werden darin Informationen zur Beschreibung von Schwachstellen, betroffene Produkte und Dienste und das damit verbundene Ausmaß der Schwachstelle sowie Patches und Abhilfemaßnahmen zur Risikominderung. Last but not least sieht NIS-2 die Durchführung von mitgliedstaatlichen „Cybersecurity Peer Reviews“ vor. Hier werden unter anderem der Stand der Umsetzung des nationalstaatlichen Cybersicherheitsrisikomanagements und die operativen Kapazitäten der CSIRTs überprüft.

Risikomanagement und Berichtspflichten für betroffene Einrichtungen

Cybersecurity Governance nimmt für NIS-2 eine stärkere Rolle als noch für NIS ein, so haben wesentliche und wichtige Einrichtungen verschiedene Risikomanagementmaßnahmen zu treffen und Berichtspflichten für die Cybersicherheit zu erfüllen. Explizit vorgeschrieben ist, dass die Leitungsorgane der wesentlichen und wichtigen Einrichtungen Maßnahmen zur Cybersicherheit nicht nur billigen müssen, sondern die Umsetzung auch zu überwachen haben und für eventuelle Verstöße der Einrichtungen neben der Haftung nach nationalstaatlichem Recht verantwortlich gemacht werden können.

Ebenso wie für NIS ist Cybersecurity-Prävention ein entscheidendes Element der rechtlichen Strategie – entsprechenderweise sieht auch NIS-2 einen Reigen an technischen und organisatorischen Maßnahmen (TOM) nach dem „Stand der Technik“ vor, die zu realisieren sind. Referenzpunkte können europäische und internationale Normen zur Informationssicherheit sein, aber auch die Beurteilung der Angemessenheit von Maßnahmen anhand der individuellen Risikoexposition einer Einrichtung. Hierzu schlägt der Gesetzeswortlaut als „EU-Minimalkonsens“ verschiedene Maßnahmen beispielhaft vor, so Backups, der richtige Umgang mit Schwachstellen, Einsatz von Kryptografie, Cyberhygiene und Maßnahmen der Notfallkommunikation.

Die EU-Kommission behält sich vor, für unterschiedliche Anwendertypen bis zum 17. Oktober 2024 konkretisierende Durchführungsrechtsakte zur Umsetzung der Maßnahmen zu erlassen. Darüber hinaus soll auch die Lieferkettensicherheit in die Risikobewertung zur Cybersicherheit einbezogen werden. Die TOM werden durch ein abgestuftes Meldesystem zu „erheblichen Sicherheitsvorfällen“ mit Fristen von 24 und 72 Stunden ergänzt. Erheblich kann ein Sicherheitsvorfall dann sein, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung zur Folge haben kann oder natürliche/juristische Personen durch erhebliche materielle/immaterielle Schäden beeinträchtigt werden können.

Strenger Aufsichts- und Durchsetzungsrahmen

Insbesondere bei den Aufsichts- und Durchsetzungsmaßnahmen unterscheidet NIS-2 zwischen den wesentlichen und wichtigen Einrichtungen. Dabei müssen die Mitgliedstaaten die Ausführung der Richtlinie nicht nur sicherstellen, sondern diese wirksam und risikobasiert beaufsichtigen und die Kooperation mit anderen zuständigen Behörden, beispielsweise im Bereich des Datenschutzes, gewährleisten. Der Aufsicht werden umfassende Kompetenzen wie etwa Vor-Ort-Kontrollen, Stichprobenüberprüfungen, regelmäßige Sicherheitsprüfungen und Anforderungen des Informations- und Datenzugangs eingeräumt.

Die Behörden können in Wahrnehmung ihrer Durchsetzungsbefugnisse unter anderem Warnungen publizieren, verbindliche Anweisungen erlassen, Geldbußen verhängen und als ultima ratio auch Leitungspersonen der betroffenen Einrichtungen vorübergehend von ihren Aufgaben ausschließen. Die maximale Geldbuße für wesentliche Einrichtungen beträgt entweder zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Unternehmen beträgt die maximale Geldbuße entweder sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zwangsgelder können ebenfalls verhängt werden.

Fazit und Ausblick

NIS-2 ist da und wartet nun auf die Umsetzung durch die Mitgliedstaaten, die bis zum 17. Oktober 2024 stattgefunden haben muss. Bis zum 17. Oktober 2027 muss die Richtlinie in ihrer Anwendung erstmals überprüft und gegebenenfalls angepasst werden. NIS-1 aus 2016 wird mit Wirkung zum 18. Oktober 2024 aufgehoben. Das Impact-Assessment der EU-Kommission zu NIS-2 hat ergeben, dass Einrichtungen, die unter die neue Richtlinie fallen, mit einer Erhöhung ihres Cybersicherheitsbudgets um circa 22 Prozent zu rechnen haben werden, wohingegen Unternehmen, die bereits Compliance-Maßnahmen aufgrund von NIS-1 haben treffen müssen, lediglich mit einem Kostenanstieg von rund zwölf Prozent zu rechnen brauchen.

Wer sich bereits intensiv mit dem deutschen IT-SiG 2.0 beschäftigt hat, wird den neuen europäischen Regelungskatalog zu kritischer Cybersicherheit nur wenig überraschend finden, denn die NIS-2-Richtlinie zeichnet sich in erster Linie durch ihre erhebliche Ausdehnung des Anwendungsbereichs, durch die europäische Vereinheitlichung und verbesserte EU-weite Vernetzung aus, außerdem wird das Sanktions- und Durchsetzungsregime erwartbar weiter verschärft. Über viele der Aspekte, die letztlich auch NIS-2 betreffen, wurden hierzulande in den vergangenen Jahren schon erschöpfende rechtspolitische Debatten geführt. Der generelle politische Ansatz jedoch, Cybersecurity-Governance rechtlich möglichst breitenwirksam zu gestalten, ist sinnvoll und gibt die aktuelle globale Bedrohungslage zutreffend wieder.

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Staat, bleib‘ bei deinen Befugnissen: Der Fall Encrochat

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen