EU NIS2: Die NIS2 Richtlinie verändert, wie wir in der EU über Cybersicherheit nachdenken
Volljurist und Compliance-Experte
March 7, 2024
8 min
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
Die EU NIS2 Richtlinie wurde eingeführt, um die Cybersicherheit in der EU im Angesicht steigender Cyberbedrohungen zu stärken.
Die NIS2 Richtlinie erweitert den Anwendungsbereich der Cybersicherheitsgesetzgebung um weitere Sektoren und verlangt von Unternehmen proaktive Sicherheitsmaßnahmen.
Die Umsetzung der Richtlinie stellt hohe Anforderungen an Unternehmen in Bezug auf finanzielle Investitionen in Infrastruktur, Technologien und Fachkräfte.
Trotz der NIS2 Richtlinie stehen in der EU weiterhin wichtige Cybersecurity-Herausforderungen an, die regelmäßige Strategieanpassungen erfordern.
Die EU-Agentur für Cybersicherheit hat von Juli 2021 bis 2022 Daten erhoben, die zeigen, dass die EU vor erheblichen Herausforderungen im Bereich der Cybersicherheit steht. Dabei stechen Lösegeld-Trojaner (Ransomware) und DDoS-Angriffe als einige der prominentesten Bedrohungen hervor.
Mit mehr als 10 Terabyte an monatlich gestohlenen Daten sind Ransomware-Angriffe eine der größten Cyberbedrohungen in der EU. Phishing gilt dabei als der häufigste Initialisierungsvektor solcher Angriffe. Zusätzlich zählen DDoS-Angriffe zu den größten Bedrohungen, wobei im Juli 2022 der größte jemals verzeichnete Angriff auf einen europäischen Kunden stattfand.
Die jährlichen Kosten der Cyberkriminalität für die Weltwirtschaft beliefen sich Ende 2020 auf schätzungsweise 5,5 Billionen Euro und waren damit im Vergleich zum Jahr 2015 doppelt so hoch.
Besorgniserregend ist auch die Veränderung der Bedrohungslage durch die militärische Aggression Russlands gegen die Ukraine im Jahr 2022, die eine verstärkte Aktivität von Hacktivisten, Cyberkriminellen und staatlich unterstützten Gruppen in der Region ausgelöst hat.
Diese Entwicklungen verdeutlichen die Notwendigkeit einer robusten und koordinierten Cybersicherheitsstrategie in der EU, um die Auswirkungen dieser vielfältigen Bedrohungen zu minimieren. Die Antwort auf diese Herausforderungen gibt die EU mit der Aktualisierung der NIS-Richtlinie, der EU NIS2.
EU NIS2: Eine europäische Antwort auf Cyberbedrohungen
Die EU NIS2 hat zum Ziel, entscheidende Veränderungen in der europäischen Cybersicherheit herbeizuführen. Sie steuert darauf hin, Unterschiede bei den Cybersicherheitsanforderungen und der Umsetzung von Cybersicherheitsmaßnahmen in den einzelnen EU-Mitgliedstaaten zu beseitigen.
Um dies zu erreichen, legt EU NIS2 Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen EU-Mitgliedsstaaten und den zuständigen Behörden in den jeweiligen Mitgliedstaaten fest. Sie aktualisiert die Liste der von der Richtlinie betroffenen Sektoren und Tätigkeiten und sieht Rechtsmittel und Sanktionen vor, um die Durchsetzung von EU NIS2 zu gewährleisten. Die von der EU NIS2 erfassten Sektoren sind beispielsweise Energie, Verkehr, Gesundheit und die digitale Infrastruktur.
Mit EU NIS2 wird zudem das European Cyber Crises Liaison Organisation Network, EU-CyCLONe, eingerichtet, das die koordinierte Bewältigung großflächiger Cybersicherheitsvorfälle unterstützen soll.
Die Cooperation Group (CG) innerhalb des Rahmens von EU NIS2 soll die Zusammenarbeit sowohl innerhalb der Europäischen Union als auch zwischen den Mitgliedstaaten koordinieren. In der CG tauschen sich Vertreter der Mitgliedstaaten, der Europäischen Agentur für Cybersicherheit (ENISA) und anderer Stakeholder über bewährte Verfahren, Methoden und Informationen aus.
EU NIS2: Eine Kooperation zwischen Kommission und Parlament
Die EU NIS2 (Network and Information Security Directive 2) entstand durch einen mehrstufigen Prozess. Der letzte Entwurf wurde von der Europäischen Kommission im Dezember 2020 vorgelegt. Im Oktober 2021 wurde dann ein leicht veränderter Kompromissvorschlag des Europäischen Parlaments präsentiert.
Im Mai 2022 erzielten Kommission und Parlament schließlich eine Einigung. Am 10. November 2022 stimmte das EU-Parlament dem NIS2 Entwurf zu (T9-0383/2022), daraufhin folgte die Zustimmung des Rates am 28. November 2022.
Damit trat EU NIS2 in Kraft. Die EU-Mitgliedstaaten haben 21 Monate, also bis Oktober 2024, Zeit, um die Vorschriften in ihre nationale Gesetzgebung umzusetzen.
EU NIS2: Schluss mit Nachlässigkeit
Die NIS2 Richtlinie plant, Unternehmen in die Verantwortung zu ziehen, indem sie klare Standards für Cybersicherheit setzt und die Einhaltung dieser Regeln durch verschiedene Mechanismen sicherstellt.
So verlangt die EU NIS2 von Unternehmen proaktive Maßnahmen und eine tiefgreifende Compliance, anstatt nur reaktiv auf Sicherheitsvorfälle zu reagieren.
Dazu gehört, dass Unternehmen eine Selbsteinschätzung und Meldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vornehmen müssen, um festzuhalten, ob sie zu einem der von der Richtlinie bestimmten „wesentlichen“ oder „wichtigen“ Sektoren gehören.
Unternehmen, die somit als wesentliche oder wichtige Einrichtungen klassifiziert sind, müssen verhältnismäßige technische, operative und organisatorische Maßnahmen implementieren, um die Sicherheitsrisiken ihrer Netz- und Informationssysteme zu kontrollieren und die Folgen von Sicherheitsvorfällen zu verhindern oder zu reduzieren.
Folglich schreibt die NIS2 Richtlinie die Umsetzung von technischen und organisatorischen Maßnahmen (TOM) entsprechend dem aktuellen „Stand der Technik“ vor.
EU NIS2: Cybersicherheit als Grundvoraussetzung für den digitalen Erfolg
Mit EU NIS2 setzt die Europäische Union klare Standards für die Sicherung des digitalen Erfolgs der europäischen Wirtschaft, der nur durch den Schutz vor Cyberattacken und deren Bewältigung aufrecht gehalten werden kann.
Unternehmen und die Gesellschaft insgesamt sind einem wachsenden Risiko durch Cyberangriffe ausgesetzt, deswegen hat nimmt Schutz vor Angriffen in der EU NIS2 eine zentrale Rolle ein. Denn nur eine robuste Cybersicherheit kann versuchen, diese Angriffe abzuwehren und sensible Informationen zu schützen, deren Verlust einen wirtschaftlichen Verlust für die betroffenen Unternehmen bedeuten würde.
Die Gewährleistung einer sicheren digitalen Umgebung schafft zudem Vertrauen bei Verbrauchern, Unternehmen und anderen Stakeholdern. Nur wenn die Menschen Vertrauen in die Sicherheit ihrer Daten und Kommunikation haben, werden sie digitale Dienste und Technologien nutzen und von den Vorteilen des digitalen Wandels profitieren und somit in die europäische Wirtschaft investieren.
Dazu können Unternehmen, die starke Cybersicherheitsmaßnahmen implementieren, ihre Wettbewerbsfähigkeit stärken. Durch den Schutz vor Datenverlust, Betriebsunterbrechungen und Reputationsverlusten können sie das Vertrauen ihrer Kunden und Geschäftspartner aufrechterhalten und ihre Geschäftsprozesse effizienter und widerstandsfähiger gestalten.
Die digitale Wirtschaft ist ein wesentlicher Motor für Innovation, Produktivität und Wachstum. Deren Sicherung durch die EU NIS2 kann Unternehmen vor Diebstahl geistigen Eigentums, Industriespionage und anderen Formen von Cyberkriminalität schützen, die die digitale Wirtschaft beeinträchtigen könnten.
Darüber hinaus stärkt die NIS2 die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten, um die Reaktion auf große Cybersicherheitsvorfälle zu verbessern. In der wirtschaftlichen und digitalen Zusammenarbeit der Mitgliedsstaaten liegt ein enormes Erfolgspotenzial für die Unternehmen, die sich dadurch andere nationale Märkte erschließen.
EU NIS2: Herausforderungen und Schwachstellen der Cybersicherheit in der EU
2016 wurde in der EU die erste NIS-Richtlinie vor dem Hintergrund einer sich verschärfenden Bedrohungslage und steigender Anforderungen an die IT-Sicherheit verabschiedet. Eine Schwäche der NIS1 Richtlinie war jedoch die fehlende Harmonisierung der Maßnahmen in den EU-Mitgliedstaaten.
Vor der Einführung der EU NIS2 gab es in den Mitgliedstaaten eine Vielzahl von unterschiedlichen Cybersicherheitsstandards und -ansätzen, die zu Fragmentierung und Inkonsistenzen führten. Diese Situation hatte erheblichen Risiken und Unsicherheiten für Unternehmen in der EU zur Folge und erschwerte eine koordinierte Reaktion auf grenzüberschreitende Cyberangriffe.
Des Weiteren besteht ein erheblicher Mangel an Fachkräften im Bereich der Cybersicherheit, zudem mangelt es an Bewusstsein für die Bedeutung von Cybersicherheit auf individueller und organisatorischer Ebene.
Dies erhöht das Risiko von menschlichen Fehlern und unzureichenden Sicherheitspraktiken, was etwa durch Cyberattacken durch „Social Engineering“ ausgenutzt wird. Beim Social Engineering versuchen Angreifer, menschliches Verhalten auszunutzen, um Zugang zu sensiblen und wertvollen Informationen zu erhalten. Laut der EU-Agentur für Cybersicherheit standen ganze 82 % aller Datenschutzverletzungen in Verbindung mit dem Faktor Mensch.
Eine weitere Herausforderung für die europäische Cybersicherheit stellt die zunehmende Digitalisierung der kritischen Infrastrukturen wie Energieversorgung, Verkehr und Gesundheitswesen dar. Ein erfolgreicher Angriff auf diese Bereiche hätte weitreichende Auswirkungen auf die Gesellschaft.
Sensible Daten wie Patientendaten sind dabei besonders gefährdet. Die EU-Agentur für Cybersicherheit sieht Angriffe, die darauf abzielen, unberechtigten Zugriff auf Daten zu erhalten und Daten zu manipulieren, als eine erhebliche Gefahr. Die häufigsten Ziele dieser Angriffe waren mit fast 90 % der Fälle Angriffe auf Server.
Die Herausforderungen in der Cybersicherheit der EU erfordern eine koordinierte und proaktive Herangehensweise auf europäischer Ebene, um robuste Verteidigungsmechanismen zu etablieren, die Sensibilisierung zu stärken und den Fachkräftemangel anzugehen.
EU NIS2: Die NIS2 Richtlinie als überfällige Erneuerung der Cybersicherheitsauflagen
Die EU NIS2 Richtlinie ist ein entscheidender Schritt in Richtung einer effektiveren Absicherung des digitalen europäischen Wirtschaftsraums, aber es bleibt eine fortlaufende Anstrengung, um die Cybersicherheit in der gesamten Union zu stärken.
Die Erweiterung des Geltungsbereichs der Cybersicherheitsvorschriften auf mittlere und große Unternehmen in verschiedenen Sektoren erreicht die EU NIS2 eine umfassendere Abdeckung. Damit trägt sie dazu bei, die Widerstands- und Reaktionsfähigkeiten von öffentlichen und privaten Organisationen sowie der EU als Ganzes weiter zu verbessern, wobei auch bisher weniger regulierte Bereiche in den Fokus der Cybersicherheit zu rücken.
Die EU NIS2 erwartet von den Mitgliedstaaten zudem eine effektive Vorbereitung, damit sie angemessen gegen Cyberangriffe gerüstet sind. So müssen die Mitgliedstaaten etwa ein Computer Security Incident Response Team (CSIRT) und eine zuständige nationale Behörde für Netzwerk- und Informationssysteme einrichten. Diese besteht in Deutschland mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit 1991.
Durch die Einsetzung der NIS Cooperation Group im Rahmen von EU NIS2 plant die EU noch dazu, die Zusammenarbeit zwischen allen Mitgliedstaaten zu intensivieren. Sie hat zum Ziel, die Zusammenarbeit und den Informationsaustausch zwischen den EU-Staaten zu erleichtern.
Die NIS-Kooperationsgruppe besteht aus Vertretern der EU-Mitgliedstaaten, der Europäischen Kommission und der EU-Agentur für Cybersicherheit (ENISA). Die Leitung der Gruppe liegt in den Händen des Mitgliedstaats, der momentan den Ratsvorsitz in der Europäischen Union (EU) innehat.
Unternehmen, die zu den Sektoren zählen, die die EU NIS2 beschreibt, müssen mit einer strengen Meldepflicht von 24 Stunden bei Cybervorfällen rechnen. Zudem sollen Unternehmen geeignete Maßnahmen zur Wiederherstellung der Dienste ergreifen. Die frühzeitige Erkennung und Reaktion auf Sicherheitsvorfälle sollen dazu führen, dass die entstandenen Schäden minimiert werden.
Durch Schulungen, Kampagnen und die Sensibilisierung der Unternehmen und der breiten Öffentlichkeit für Cybersicherheitsrisiken plant EU NIS2, das Bewusstsein für Cybersicherheit zu erhöhen und einen sicherheitsorientierten Denkansatz zu fördern.
Die EU NIS2 legt verbindliche Anforderungen für Unternehmen fest, um angemessene Sicherheitsvorkehrungen zu treffen. Entsprechen von der EU NIS2 betroffene Unternehmen den Vorgaben nicht und kommen damit ihren Verantwortungen nicht nach, müssen sie mit Sanktionen rechnen. Dies schafft Anreize für eine ernsthafte Auseinandersetzung mit Cybersicherheitsfragen.
EU NIS2: Die NIS2 Richtlinie bringt weitreichende Auswirkungen für Unternehmen mit sich
Die EU NIS2 hat weitreichende Auswirkungen auf Organisationen und Unternehmen in der EU, da sie eine grundlegende Veränderung in der Herangehensweise an Cybersicherheit und den Schutz von Informationssystemen darstellt.
Die finanziellen Investitionen, die auf Unternehmen zukommen, zählen zu den stärksten Auswirkungen der EU NIS2 auf Unternehmen. Die EU NIS2 legt Anforderungen an Unternehmen fest, um angemessene Sicherheitsvorkehrungen zu treffen. Dies kann Investitionen in die Infrastruktur, Technologien und Fachkräfte erfordern, um den geforderten Sicherheitsstandards gerecht zu werden.
So müssen Unternehmen möglicherweise in die Modernisierung und Aktualisierung ihrer bestehenden Netz- und Informationssysteme investieren, um den neuen Cybersicherheitsstandards zu entsprechen. Dies könnte Kosten für Hardware-, Software- und Systemupgrades mit sich bringen.
Der Fachkräftemangel in dem Bereich Cybersicherheit könnte noch dazu zu höheren Kosten für die Rekrutierung und Bindung von Cybersicherheitsexperten führen.
Zudem müssen sich Unternehmen regelmäßigen Compliance-Prüfungen unterziehen, um sicherzustellen, dass sie den Cybersicherheitsstandards entsprechen. Dies kann zusätzliche Kosten für interne oder externe Überprüfungen und Audits bedeuten.
Darüber hinaus können Folgekosten von Sicherheitsverletzungen auf Unternehmen kommen. Die EU NIS2 Richtlinie zielt darauf ab, Sicherheitsverletzungen zu verhindern. Dennoch könnten Unternehmen, die gegen die Bestimmungen verstoßen oder Opfer von Cyberangriffen werden, mit erheblichen Geldstrafen und finanziellen Verlusten konfrontiert sein. Die Investition in Präventionsmaßnahmen wird somit zu einem entscheidenden wirtschaftlichen Faktor.
All diese Faktoren führen dazu, dass das Statistische Bundesamt zu einer Kostenabschätzung der EU NIS2 von 1,65 Milliarden Euro jährlich für die deutsche Wirtschaft kommt. Zusätzlich rechnet das Statistische Bundesamt mit einem einmaligen Kostenaufwand von 1,37 Milliarden Euro, um die EU NIS2 Konformität in deutschen Unternehmen und Organisationen herzustellen.
Für mittlere und kleine Unternehmen können diese zusätzlichen Kosten erheblich sein. Gleichzeitig strebt die EU NIS2 an, Kosten dadurch einzusparen, dass durch sie Cyberattacken und -vorfälle und deren negativen wirtschaftlichen Folgen verhindert oder eingedämmt werden.
Insgesamt verändert EU NIS2 die Dynamik der Cybersicherheit in der EU grundlegend. Unternehmen sind nun gefordert, Cybersicherheit als integralen Bestandteil ihrer Geschäftsstrategie zu betrachten und die erforderlichen Schritte zu unternehmen, um den neuen Standards gerecht zu werden.
Fazit: EU NIS2 – eine Weichenstellung für die Cybersicherheit in der EU
Die EU NIS2 Richtlinie markiert einen wesentlichen Schritt in der Evolution der Cybersicherheit in der Europäischen Union. Die EU ist mit erheblichen Herausforderungen konfrontiert. Die Aktualisierung der NIS-Richtlinie ist eine Antwort auf diese vielfältigen Bedrohungen.
Mit klaren Standards und einem erweiterten Anwendungsbereich setzt die EU NIS2 auf eine umfassende Abdeckung von Sektoren und Einrichtungen, um Resilienz und Reaktionskapazitäten zu verbessern. Darüber hinaus fördert die EU NIS2 die Zusammenarbeit zwischen den EU-Mitgliedsstaaten und stärkt damit die Bewältigung großflächiger Cybersicherheitsvorfälle.
Die EU NIS2 Richtlinie setzt klare Erwartungen an Unternehmen, die als wesentlich oder wichtig eingestuft werden, und fördert einen proaktiven Ansatz zur Sicherheitsgewährleistung. Sie zielt darauf ab, Vertrauen zu schaffen, Innovation zu fördern und Unternehmen widerstandsfähiger gegenüber Cyberbedrohungen zu machen. Dies ist besonders relevant, da Cyberangriffe zunehmend die digitale Wirtschaft bedrohen.
Trotz dieser Fortschritte bleibt die EU mit Herausforderungen konfrontiert, darunter die Fragmentierung von Cybersicherheitsstandards, Fachkräftemangel und die Digitalisierung kritischer Infrastrukturen. Die EU NIS2 stellt jedoch einen wichtigen Schritt dar, um diese Schwächen anzugehen und eine koordinierte, proaktive Herangehensweise auf europäischer Ebene zu fördern.
Über die EU NIS2 hinaus wird die EU ihre Cybersicherheitsstrategien regelmäßig überprüfen und aktualisieren müssen, um auf neue Bedrohungen und Technologien zu reagieren. Die Flexibilität und Anpassungsfähigkeit der von der EU getroffenen Strategien sind entscheidend, um den sich wandelnden Cybergefahren effektiv zu begegnen.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office