Erweiterte Suche

Cybersecurity

NIS-Richtlinie

NIS-2 kommt – und nun?

Bis in den Freitagmorgen hinein diskutierten Vertreter:innen von EU-Parlament, Rat und Kommission über die überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS-2). Bereits vorher waren mehrere Knackpunkte absehbar. Wer hat sich durchgesetzt und was kommt auf EU-Mitgliedsländer nun zu?

Luca Bertozzi

von Luca Bertuzzi

veröffentlicht am 16.05.2022

aktualisiert am 14.06.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Um 1:55 Uhr war es soweit: „Wir haben eine Einigung über die neuen europäischen Rechtsvorschriften zur Cybersicherheit erzielt!“, vermeldete der Liberale Bart Groothuis (Alde), Berichterstatter des Europäischen Parlaments, auf Twitter. In den abschließenden Trilog-Verhandlungen (Tagesspiegel Background berichtete) wurde in der Nacht zu Freitag eine politische Einigung über die überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS-2) erzielt. Damit könnte die Richtlinie bis Herbst in Kraft treten. 

Das neue Cybersicherheitsgesetz wird die aktuelle NIS-Richtlinie aktualisieren, die vor vier Jahren in Kraft getreten ist. NIS-2 soll in der EU hohe Cybersicherheitsstandards einführen, das Risikomanagement straffen, die Reaktion auf Cyberangriffe und Störfälle verbessern und die praktische Zusammenarbeit zwischen wichtigen Diensten des öffentlichen und privaten Sektors fördern. Die neuen Anforderungen umfassen unter anderem die Reaktion auf Vorfälle, die Sicherheit der Lieferketten, die Verschlüsselung und die Offenlegung von Schwachstellen.

„Dies ist die beste Rechtsvorschrift, die dieser Kontinent im Bereich der Cybersicherheit je gesehen hat“, ist Groothuis überzeugt. Auch der Europaabgeordnete Rasmus Andresen, der als Schattenberichterstatter der Grünen/EFA Fraktion die Richtlinie mit verhandelt hat, betont, dass es bislang viel zu oft an grenzüberschreitender Kooperation im Cybersicherheitsbereich gemangelt habe. Die EU sorge nun für einen besseren Informationsaustausch zwischen nationalen Behörden und für flächendeckende Cybersicherheitsstandards, so Andresen: „In einem eng verknüpften Europa sind wir alle gemeinsam so anfällig wie unser schwächstes Glied. Die überarbeitete NIS-2 Richtlinie ist ein wichtiger Schritt in die richtige Richtung, um uns in der EU besser vor Cyberangriffen und ihrer Ausbreitung zu schützen.“

Auch die EU-Kommission begrüßte die Verhandlungsergebnisse: Margaritis Schinas, Vizepräsident der Kommission, hatte bis in die Nacht mit verhandelt. In einer offiziellen Stellungnahme verwies er auf den geopolitischen Kontext, der die Stärkung der Cybersicherheit in Europa noch dringender mache. „Wir verbessern die Abwehrbereitschaft, die Widerstandsfähigkeit und schützen unsere Demokratie“, schrieb er bei Twitter

Größenbegrenzung für betroffene Sektoren

NIS-2 sieht einen viel breiteren Anwendungsbereich als die vorige Richtlinie vor: Das betrifft insbesondere die Kriterien, die Betreiber als „wesentliche Dienste“ qualifizieren. Eingeführt wird zudem eine Größenbegrenzungsregel („Size-Cap-Rule“). Sie betrifft Organisationen, die den Schwellenwert für mittlere Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission erreichen oder überschreiten.

Die Kategorie der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) umfasst Unternehmen, die weniger als 250 Personen beschäftigen und einen Jahresumsatz von höchstens 50 Millionen Euro und/oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro generieren. Innerhalb der Kategorie KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz und/oder Jahresbilanzsumme zehn Millionen Euro nicht überschreitet. Für entsprechende Unternehmen oberhalb dieser Grenze soll dann die entsprechende Verordnung greifen.

Das wurde in der Vergangenheit kritisiert – so kritisierte etwa der Branchenverband Bitkom: Die vorgesehene Size-Cap-Rule, nach der Unternehmen nach ihrer Größe und weniger nach der Kritikalität der von ihnen erbrachten Versorgungsleistung in den Anwendungsbereich fielen, laufe dem bisherigen Verständnis Kritischer Infrastrukturen in Deutschland zuwider und werde vor allem die mittelstandsgeprägte deutsche Wirtschaft vor Herausforderungen stellen, hieß es in einer Stellungnahme Anfang diesen Jahres. Laut Informationen von Tagesspiegel Background bezieht sich die Größendeckelung nach wie vor auf die Definition in 2003/361/EC.

Ausnahmen für öffentliche Organisationen

Einrichtungen, die in den Bereichen Verteidigung, nationale Sicherheit, Innere Sicherheit, Strafverfolgung und Justiz tätig sind, werden von der Regelung jedoch ausgenommen, genauso wie Parlamente und Zentralbanken. Die Frage, welche Ebenen der öffentlichen Verwaltung abgedeckt werden sollten, war während der Verhandlungen besonders umstritten.

Die Abgeordneten des Europäischen Parlaments drängten auf einen ehrgeizigeren Geltungsbereich, Länder wie Deutschland wehrten sich gegen die Einbeziehung der regionalen Verwaltungen. Dabei bekamen die EU-Abgeordneten zum Beispiel auch Zuspruch von Wirtschaftsvertreter:innen wie dem Bundesverband der Deutschen Industrie (BDI) – der hatte in einem Positionspapier im Januar klar gestellt: „Öffentliche Verwaltung sollte im Sinne angemessener Cybersicherheitsmaßnahmen mit gutem Beispiel vorangehen.“

„Die regionalen Ebenen sind von Land zu Land sehr unterschiedlich. Jütland und die anderen nördlichen Teile Skandinaviens unterscheiden sich stark von Regionen wie Bayern, in denen Millionen von Menschen leben. Es muss risikobasiert sein“, erklärte Groothuis. Der gefundene Kompromiss besteht nun darin, dass Einheiten der öffentlichen Verwaltung auf zentraler Ebene einbezogen wurden. Dennoch werden die Mitgliedsstaaten mehr Spielraum für die regionale und lokale Ebene haben, so dass die Länder entscheiden können, welche Einrichtungen auf der Grundlage einer Risikobewertung erfasst werden sollen.

Schattenberichterstatter Andresen kritisiert hier das Verhalten der Mitgliedsstaaten: Diese hätten sich in den Verhandlungen in vielen Punkten sehr selbstgerecht gezeigt: „Auf der einen Seite befürworten sie strenge Sicherheitsvorgaben für private Unternehmen, aber wenn es um Verpflichtungen für ihre eigenen öffentlichen Behörden geht, mussten wir ihnen als Verhandlungsteam des Parlaments jedes noch so kleine Zugeständnis abringen. Und das, obwohl gerade die Sicherheit dieser Behörden mit sensiblen Daten von Bürger:innen eindeutig im öffentlichen Interesse liegt.“

Auch Unternehmer Timo Kob, Leiter der Bundesarbeitsgruppe Cybersicherheit des Wirtschaftsrates der CDU und Vorstandsmitglied des IT-Branchenverbandes Bitkom kritisiert: Dass nun der Gesetzgeber den öffentlichen Institutionen einen risikobasierten Ansatz gewähre, den die Wirtschaft dringend auch für sich gefordert und nicht erhalten hat, zeuge erneut vom ärgerlichen „Zweierlei Maß“, dass hier angelegt würde, so Kob: „Wenn Herr Groothuis erklärt, dass Regionen sehr unterschiedlich sein können und man Jütland nicht mit Bayern vergleichen kann, möchte man ihn gerne fragen, ob etwa ein mittelständischer Logistiker und die DHL so viel vergleichbarer sind, dass diese im Gegensatz zu den öffentlichen Institutionen gleich behandelt werden sollten“, kritisiert Kob.

Wesentliche und wichtige Einrichtungen

Unter die neue Richtlinie fallen Einrichtungen, die in den als wesentlich aufgeführten Sektoren tätig sind, darunter Energie, Verkehr, Banken, Finanzmärkte, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt.

Die Liste der wichtigen Dienstleistungen umfasst Postdienste, Abfallwirtschaft, die Herstellung von Lebensmitteln, Chemikalien, medizinischen Geräten, Elektronik und Transportmitteln. Auch Anbieter digitaler Dienstleistungen sowie Bildung und Forschung sind darin enthalten. Unternehmen müssen nun prüfen, ob sie unter eine dieser Kategorien fallen. Die Mitgliedstaaten werden allerdings aufgefordert, Unternehmen zu unterstützen, in die Verbesserung ihrer Cybersicherheit zu investieren und die neuen Anforderungen zu erfüllen.

Fristen für die Berichterstattung

In Bezug auf die Meldepflichten hat das Parlament einen abgestuften Ansatz durchgesetzt. Organisationen, die von einem Cyberangriff oder Ransomware betroffen sind, der die Verfügbarkeit eines wesentlichen Dienstes gefährdet, müssen innerhalb von 24 Stunden nach dem Vorfall eine „Frühwarnung“ an das zuständige Computer Security Incident Response Team (CSIRT) und die zuständige Behörde übermitteln.

Innerhalb von 72 Stunden müssen die betroffenen Einrichtungen einen Bericht vorlegen, in dem sie detailliert beschreiben, was der Angriff darstellt und wie er sich auf die Vertraulichkeit des Netzes und die Integrität der Informationen der Organisation auswirken kann. Wesentliche und wichtige Einrichtungen sollten die Nutzer:innen ihrer Dienste, die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über Maßnahmen informieren, die diese als Reaktion auf die Bedrohung ergreifen können, sowie gegebenenfalls über die Bedrohung selbst.

Darüber hinaus haben die Abgeordneten erreicht, dass ein Monat nach der offiziellen Meldung des Vorfalls ein Abschlussbericht vorgelegt werden muss. Sollte der Vorfall nach einem Monat immer noch andauern, müsste ein vorläufiger Bericht erstellt werden, der durch einen Abschlussbericht ergänzt wird, sobald der Vorfall beendet ist.

Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung hatte vor dem Verhandlungsabschluss gewarnt, dass die geplanten Berichts- und Meldepflichten die Wirtschaft vor immensen Bürokratieaufwand stellten – es brauche ein unbürokratisches Meldewesen, so Plöger: „Kommt es zu einem Cyberangriff, müssen sich Unternehmen auf die Behebung konzentrieren und schnellstmöglich wieder zur Produktion zurückkehren können. Das Bundesamt für Sicherheit in der Informationstechnik sollte Meldungen umgehend bearbeiten und Unternehmen tagesaktuell warnen.“

Unternehmer Kob begrüßt die gefundene Lösung: „Erfreulich ist, dass bei den Meldefristen hier eine etwas differenziertere und klarere Vorgabe erreicht wurde, auch wenn die Fristen immer noch – gerade für Mittelständler – sehr anspruchsvoll sind.“

Zertifizierung

Ein weiterer strittiger Punkt war die Befugnis der Kommission, die Sektoren zu bestimmen, in denen eine Cybersicherheitszertifizierung im Wege der Sekundärgesetzgebung vorgeschrieben werden soll. Groothuis betonte, dass derartige Regelungen auf einer Folgenabschätzung beruhen müssten, um die einschlägigen Expert:innen und Interessengruppen zu konsultieren und eine Politisierung zu vermeiden. Er bezog sich dabei auf das Enisa-Cybersicherheitssystem für Cloud-Dienste, das derzeit im EU-Rat blockiert ist, da Frankreich versucht, das Konzept der Datensouveränität in die Liste der Kriterien aufzunehmen.

Nun wurde erreicht, dass diese Zertifizierungen über delegierte Rechtsakte eingeführt werden, die der Kommission mehr Spielraum geben, im Gegensatz zu den vom Rat geforderten Durchführungsrechtsakten, die den Regierungen mehr Kontrolle geben.

Reaktion auf Vorfälle

Mit der Richtlinie wird auch das European Cyber Crises Liaison Organisation Network, EU-Cyclone, formell eingerichtet, das die koordinierte Bewältigung großflächiger Cybersicherheitsvorfälle unterstützen wird. An diesem Netzwerk werden die nationalen CSIRT und die Europäische Kommission beteiligt sein. Insbesondere müssen die Mitgliedstaaten eine einzige Anlaufstelle einrichten, um die Aufsplitterung in mehrere Meldesysteme zu vermeiden. Das Meldeverfahren wird auch für Datenschutzverletzungen stark vereinfacht. Zudem soll eine europäische Schwachstellendatenbank geschaffen werden.

Geldbußen und weitere Schritte

Organisationen, die die neuen Cybersicherheitsmaßnahmen nicht einhalten, müssen mit Geldstrafen rechnen, Geschäftsführer:innen werden persönlich haftbar gemacht. Bei wichtigen Unternehmen kann die Strafe bis zu 1,4 Prozent des Jahresumsatzes beziehungsweise sieben Millionen Euro betragen, während sie bei wesentlichen Unternehmen maximal 2 Prozent beziehungsweise zehn Millionen Euro beträgt.

Der Entwurf zu den Verhandlungsergebnissen vom Freitag befindet sich in Arbeit. Es wird erwartet, dass der Rat und das Parlament den Text in den kommenden Wochen formell annehmen werden. Nach dem Inkrafttreten soll die Gesetzgebung innerhalb von 21 Monaten in Kraft treten. Da es sich um eine Richtlinie handelt, muss sie in nationales Recht umgesetzt werden.

Dabei dürfte auch in Deutschland die Debatte jetzt erst beginnen, ist Unternehmer Kob überzeugt: „Alles in allem gilt Meine Lösung – Euer Problem. Wie gerade kleinere Unternehmen angesichts des dramatischen Fachkräftemangels diese Anforderungen fristgerecht umsetzen sollen bleibt ein Rätsel. In jedem Fall muss jedes betroffene Unternehmen ab sofort mit Hochdruck daran arbeiten, um eine Chance zur pünktlichen Umsetzung zu haben.“

Mit Johannes Steger

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen