ESET begrüßt die Entscheidung der EU-Gesetzgeber, die zweite Richtlinie zur Netz- und Informationssicherheit (NIS2) zu verabschieden. Diese zielt darauf ab, die Cyber-Resilienz in der gesamten Union zu stärken. Die neue Rechtsvorschrift ist eine Reaktion auf die zunehmende Abhängigkeit kritischer Sektoren von der Digitalisierung und deren höhere Anfälligkeit durch Cyber-Bedrohungen. Die jetzt verabschiedete Richtlinie ersetzt den 2016 eingeführten Vorgänger, der die erste EU-weite Gesetzgebung zur Cybersicherheit darstellt. NIS2 führt einen breiteren Anwendungsbereich ein, der sich auf mehr Einrichtungen in „hochkritischen“ Sektoren auswirkt. Dazu gehören im öffentlichen und privaten Sektor neben anderer Kritischer Infrastruktur auch: Energie, Verkehr, Banken, Wasser und Abwasser. Auch für Unternehmen in kritischen Sektoren wie der verarbeitenden Industrie, der Lebensmittelindustrie, der chemischen Industrie, der Abfallwirtschaft sowie den Post- und Kurierdiensten werden ebenfalls neue Verpflichtungen eingeführt.
Unternehmen, die als hochkritisch eingestuft werden, müssen nach NIS2 sowohl technische als auch betriebliche Maßnahmen ergreifen. Dazu gehören die Reaktion auf Vorfälle, die Sicherheit der Lieferkette, die Verschlüsselung, die Offenlegung von Schwachstellen, eine angemessene Risikoanalyse, das Testen und Überprüfen von Cybersicherheitsstrategien sowie die Planung des Krisenmanagements zur Aufrechterhaltung der Geschäftskontinuität. Im Falle eines Cybervorfalls müssen diese Stellen außerdem innerhalb von 24 Stunden eine erste Meldung und innerhalb von 72 Stunden ausführlichere Informationen übermitteln.
NIS2 führt auch Geldstrafen für die Nichteinhaltung der Vorschriften ein. Dazu gehören unter anderem die Aussetzung der Zertifizierung und die persönliche Haftung für Führungskräfte (in Übereinstimmung mit nationalem Recht). Schließlich wird mit der Richtlinie das European Cyber Crises Liaison Organization Network (EU-CyCLONe) eingerichtet, um die Zusammenarbeit zwischen den nationalen Agenturen und Behörden zu ermöglichen, die für Cybersicherheit zuständig sind. Jeder Mitgliedstaat ist verpflichtet, eine einzige Kontaktstelle für die Meldung von Sicherheitsvorfällen zu benennen.
Sind auch KMU zur Einhaltung der Vorschriften verpflichtet?
Die NIS2 sieht „die Anwendung der Größenbegrenzungsregel vor, wonach alle mittleren und großen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission, die in den von dieser Richtlinie erfassten Sektoren tätig sind oder die Art von Dienstleistungen erbringen, in ihren Anwendungsbereich fallen“. In allen 18 regulierten Sektoren werden mittlere Unternehmen (ab 50 Beschäftigten und zehn Millionen Euro Umsatz) und große Unternehmen (ab 250 Beschäftigten und 50 Millionen Euro Umsatz bzw. 43 Millionen Euro Bilanzsumme) von NIS2 erfasst und müssen alle Mindestanforderungen erfüllen. Darüber hinaus gibt es „qualifizierende Faktoren“, die Unternehmen unabhängig von Größe und Umsatz erfassen.
Kleine und mittlere Unternehmen geraten zunehmend ins Visier von Hackern. Dies liegt zum einen an ihren begrenzten Sicherheitsressourcen und zum anderen daran, dass sie als Teil der Lieferkette für Betreiber wesentliche Dienste erbringen. Die Mitgliedstaaten sollten KMU im Rahmen ihrer nationalen Cybersicherheitsstrategien bei der Bewältigung dieser Herausforderungen unterstützen. Sie sollten auf nationaler oder regionaler Ebene eine Kontaktstelle für kleine und mittlere Unternehmen einrichten, die diese berät, unterstützt oder an geeignete Stellen verweist. Hier hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits durch das IT-Sicherheitsgesetz 2.0 verschiedene zusätzliche Aufgaben erhalten. Seitdem gehört auch die Beratung und die Erstellung von Empfehlungen für KMU zu den Aufgaben des BSI.
Im März letzten Jahres veröffentlichte die European DIGITAL SME Alliance, das größte KMU-Netzwerk der EU im IKT-Bereich, ihr Positionspapier zu NIS2. Auch sie begrüßt die neue Richtlinie, warnt aber gleichzeitig vor den indirekten Auswirkungen von NIS2 auf Unternehmen.
James Philpot, Projektmanager bei DIGITAL SME, weist im Gespräch mit ESET darauf hin, dass KMU zunächst „die spezifischen Bedürfnisse verstehen müssen, um ihre Cybersicherheitspraktiken zu verbessern“. Dazu gehört auch, die Leitfäden und Empfehlungen des nationalen Cybersicherheitszentrums und der ENISA zu prüfen. Je nach Mitgliedstaat kann es jedoch einfacher oder schwieriger sein, die richtigen Informationen zu erhalten – abhängig von den zur Verfügung stehenden Ressourcen. „Nichtsdestotrotz verlangt die NIS2, dass die Staaten Unterstützung und Ressourcen bereitstellen sollten. Insbesondere, wenn es darum geht, ein detailliertes Verständnis des Geltungsbereichs dieser Gesetzgebung zu erlangen. Und zu erfahren, ob ihre Kunden davon betroffen sein werden. Denn das wird für die Vorausplanung wichtig sein.“
Herausforderungen in Chancen verwandeln
„Nachgelagerte Zulieferer werden wahrscheinlich am stärksten betroffen sein. Und für einige Unternehmen kann es eine Herausforderung sein, über die erforderlichen technischen Fähigkeiten zu verfügen. Vor allem aber zu verstehen, welche Meldepflichten bestehen und wie NIS2 mit anderen Gesetzen zusammenspielt“, erklärt Philpot.
„Insgesamt müssen wir der Sache aber positiv gegenüberstehen. Die Bemühungen zur Verbesserung der Cybersicherheit werden von den europäischen Unternehmen im Allgemeinen begrüßt“. Der einzige Vorbehalt, so Philpot, sei der Grad der Umsetzung und Unterstützung sowie die Art und Weise, wie dies gehandhabt werde. Dies werde letztlich den Unterschied ausmachen zwischen Rechtsvorschriften, die den KMU helfen, und solchen, die zu einer Überbelastung durch Vorschriften führen.
Darüber hinaus sind ESET und DIGITAL SME davon überzeugt, dass dieser neue Rahmen eine Chance darstellen kann. „Ja, es kann eine Chance sein. Denn in Europa gibt es technische Lösungen, die das erforderliche Maß an Cybersicherheit bieten. Aber die Unternehmen müssen vermeiden, nach dem größten Namen oder dem billigsten Angebot zu suchen - das in der Regel von außerhalb Europas kommt. Deshalb ist es so wichtig, Unterstützung und Ressourcen zu bündeln, um diese Gesetzgebung zu nutzen und die europäische Innovation zu stärken“. KMU können sich auch an ihre lokalen CSIRTS wenden, um einige der Lücken zu schließen, die andere nationale Einrichtungen aufweisen. Sie können auch auf Ressourcen wie den DIGITAL SME/SBS-Leitfaden, den DIGITAL SME Guide on Information Security Controls oder Cybersicherheitszertifikate zurückgreifen.
Auf dem Weg zu sichereren Unternehmen
Der erst im vergangenen Monat veröffentlichte SMB Digital Security Sentiment Report von ESET ergab, dass 83 Prozent der befragten KMU den Cyberkrieg als eine sehr reale Bedrohung ansehen. 71 Prozent der Unternehmen besitzen nach eigenen Angaben ein mäßiges bis hohes Vertrauen in ihre Fähigkeit, die Ursache von Cyberangriffen zu untersuchen. Fast die Hälfte gibt jedoch an (43 %), dass das mangelnde Bewusstsein der Mitarbeiter der Hauptgrund für ihre Besorgnis ist. Die tatsächliche Akzeptanz von EDR-Lösungen (Endpoint Detection and Response), die speziell in diesem Bereich helfen, liegt dagegen nur bei 32 Prozent liegt.
Wie Philpot im Gespräch mit ESET betont, sind die Auswirkungen von Cybervorfällen den KMUs durchaus bekannt: Datenlecks, erhebliche finanzielle Auswirkungen und Verlust des Kundenvertrauens. Zumindest wird diese Richtlinie eine wichtige Rolle bei der Sensibilisierung spielen – auch für Unternehmen, die nicht zur Einhaltung der Richtlinie verpflichtet sind.
NIS2 gilt ab dem Zeitpunkt, zu dem die EU-Mitgliedstaaten die Richtlinie in ihr nationales Recht umgesetzt haben: bis zum 17. September 2024. Dennoch sollten Unternehmen eher früher als später bereit sein. Nicht nur um rechtzeitig mit der Umsetzung zu beginnen, sondern auch um verschiedene Best Practices für den Umgang mit Vorfällen, Kontrollrichtlinien und Berichterstattungen zu testen. Am wichtigsten ist jedoch, dass die NIS2 ein gemeinsames Mindestniveau für die Cybersicherheit in Europa definiert, das nicht als Decke, sondern als Boden unter den Füßen betrachtet werden sollte.