Beitrag teilen
HOME
/
blog
/
NIS2 Cybersecurity – was bedeutet die neue EU-Richtlinie für die Cybersicherheit in Europa?

NIS2 Cybersecurity – was bedeutet die neue EU-Richtlinie für die Cybersicherheit in Europa?

March 7, 2024

7 min

Key Takeaways

Die NIS2 ist eine EU-Richtlinie, die durch klare Anforderungen für Unternehmen und den Ausbau der Zusammenarbeit zwischen den Mitgliedstaaten die Cybersicherheit stärkt.

Eine Reihe von schweren Cybersecurity-Vorfällen hat die Notwendigkeit einer verbesserten und koordinierten Cybersicherheitsstrategie in der EU hervorgehoben.

Die NIS2 Richtlinie hat erhebliche Auswirkungen auf die Cybersicherheit in kritischen Sektoren in Europa und fordert strenge Sicherheitsmaßnahmen von Unternehmen.

Trotz der NIS2 Richtlinie bleiben Herausforderungen in der europäischen Cybersicherheit bestehen, wie sich ändernde Bedrohungen und finanzielle Belastungen für Unternehmen.

Das EU-Parlament unternahm einen bedeutenden Schritt in Richtung einer umfassenderen und effektiveren Cybersicherheit, als es am 10. November 2022 den Entwurf der NIS2 Richtlinie billigte. Angesichts der anhaltenden Bedrohung durch Cyberangriffe hat die Europäische Union einen klaren Handlungsbedarf bei der europäischen Cybersicherheit erkannt.  

Der federführende Europaabgeordnete Bart Groothuis betonte die Dringlichkeit dieser Maßnahme:

„Ransomware und andere Cyber-Bedrohungen haben Europa schon viel zu lange heimgesucht. Wir müssen handeln, um unsere Unternehmen, Regierungen und die Gesellschaft widerstandsfähiger gegen feindliche Cyberoperationen zu machen“, erklärte Bart Groothuis.

NIS2 ist seit Anfang 2023 in der EU in Kraft. Deutschland und die anderen EU-Staaten stehen nun vor der Herausforderung, diese Richtlinie bis Oktober 2024 in nationales Recht umzusetzen.

NIS2 Cybersecurity: Eine neue Dimension für den Schutz Europas    

Die NIS2 Richtlinie ist eine Reaktion auf die zunehmenden Bedenken der EU bezüglich der Cybersicherheit, die vor allem durch die zunehmende Digitalisierung der öffentlichen Einrichtungen und europäischen Unternehmen ausgelöst wurden.

Die zunehmende Raffinesse der Bedrohungsmöglichkeiten, die seit 2019 beobachtet wird, fordert die Sicherheitsexperten weltweit heraus. Angreifer setzen vermehrt auf Exploits, den Diebstahl von Zugangsdaten und mehrstufige Angriffe, was zu einem anhaltend hohen Niveau von Datenschutzverletzungen führt.  

Die Menge gestohlener Finanzdaten und Benutzeranmeldeinformationen nimmt stetig zu, und in einigen Fällen können bekannte Sicherheitslücken, die nicht rechtzeitig geschlossen werden, schwerwiegende Konsequenzen haben.

Die COVID-19-Pandemie hat die Dringlichkeit weiter verstärkt, insbesondere im Gesundheitswesen, das zu einem der kritischsten Sektoren für den Schutz vor Cyberangriffen geworden ist, da die Anzahl der Ransomware-Angriffe auf den Gesundheitssektor während der Pandemie erheblich zugenommen hat.

NIS2 Cybersecurity: Die Bedeutung der NIS2 Richtlinie für Europa

Im Jahr 2016 führte die Europäische Union die Network and Information Security Directive (NIS1) ein, um Vorschriften zur Cybersicherheit zu etablieren. NIS1 verlangte von den EU-Mitgliedsstaaten, Betreiber von „kritischen Diensten“ zu identifizieren und spezifische Verfahren zur Cybersicherheit sowie Meldepflichten für Sicherheitsvorfälle einzuführen. Die jeweilige nationale Umsetzung dieser Vorgaben war jedoch uneinheitlich und stark variabel.

Mit der Überarbeitung der NIS-Richtlinie (NIS2) schafft die EU nun Klarheit und präzisiert, welche Unternehmen als Anbieter kritischer Dienste gelten und welche Anforderungen für sie gelten.  

Diese Unternehmen sind nun verpflichtet, ihre Bemühungen zur Abwehr von Cyberangriffen zu verstärken, strengere Sicherheitsstandards einzuführen und ihre IT-Systeme kontinuierlich auf dem neuesten Stand zu halten.

Die Einführung der NIS2 Richtlinie erweitert den Anwendungsbereich der betroffenen Branchen erheblich, und zwar auf insgesamt elf „wesentliche“ und sieben „wichtige“ Sektoren.  

Bis spätestens Ende 2024 unterliegen Unternehmen im Industriesektor, darunter Medizingeräte, Computer, Elektronik, Optik, Elektrik, Maschinenbau, Automobile und Transport, die mehr als 49 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 10 Millionen EUR erzielen, einer Vielzahl von Cybersecurity-Verpflichtungen.

„Um große Cybersicherheitsbedrohungen wirksam erkennen, darauf reagieren und uns davon erholen zu können, müssen wir unbedingt und dringend beträchtliche Investitionen in Cybersicherheitskapazitäten tätigen“, sagt EU-Kommissar Thierry Breton, der zuständig für den Binnenmarkt der EU ist.

Hier kommt die NIS2 Richtlinie ins Spiel. Ihr Hauptziel ist, ein hohes gemeinsames Niveau der Cybersicherheit in den Mitgliedstaaten zu schaffen, indem sie klare Vorschriften für kritische Dienstanbieter und digitale Dienste einführt.  

Indem sie genau festlegt, welche Unternehmen als Betreiber kritischer Dienste gelten und welche Anforderungen an sie gestellt werden, schafft die NIS2 Richtlinie Transparenz und Standardisierung in der Cybersicherheit.  

Sie verpflichtet Unternehmen, ihre Sicherheitsmaßnahmen zu verstärken und auf dem neuesten Stand zu halten, um die Risiken von Cyberangriffen zu minimieren. Cybersicherheit stellt heute einen zentralen Aspekt des Schutzes von Wirtschaft, Gesellschaft und öffentlichen Diensten dar, und eine koordinierte europäische Herangehensweise stärkt die Resilienz gegenüber den zunehmenden Bedrohungen.

NIS2 Cybersecurity: Bedeutende Cybersecurity-Vorfälle in den letzten Jahren mit Auswirkungen auf Europa

In den letzten Jahren gab es in der EU mehrere bemerkenswerte historische Cybersecurity-Vorfälle, die die dringende Notwendigkeit einer effektiven digitalen Abwehrstrategie verdeutlichten.

Einer der spektakulärsten Fälle war der Ransomware-Angriff namens Wannacry. Dieser Epidemie-artige Cyberangriff legte innerhalb von nur vier Tagen mehr als 200.000 Computer in 150 Ländern lahm. Neben zahlreichen Unternehmen und Fabriken waren auch kritische Infrastrukturen wie Krankenhäuser betroffen, wo selbst medizinische Geräte durch die Verschlüsselung außer Betrieb gesetzt wurden. Die Angreifer forderten Lösegeld in Bitcoin, um die Systeme wieder freizugeben, was zu einer weltweiten Debatte über Ransomware und Computer-Malware führte.

Ein weiterer Vorfall, der erhebliche Aufmerksamkeit erregte, war der „Banking-Trojaner“ Emotet. Dieser Trojaner, der erstmals 2014 entdeckt wurde, entwickelte sich ständig weiter und zielte zunächst auf das Abfangen von Online-Banking-Zugangsdaten ab. Später konnte Emotet eine breite Palette schädlicher Funktionen ausführen und richtete sich vor allem gegen Behörden und Unternehmen. Aufgrund seiner schnellen Verbreitung und den schwerwiegenden Auswirkungen auf öffentliche Einrichtungen und Unternehmen war Emotet äußerst besorgniserregend.

 

Ein weiterer schwerwiegender Vorfall betrifft die Winnti-Gruppe, die aus Hackern besteht, die seit Jahren Unternehmen weltweit ausspionieren. Insbesondere Deutschland und seine Dax-Konzerne gerieten ins Visier, darunter Thyssen-Krupp und Bayer. Winnti nutzte ausgefeilte Schadsoftware und digitalen Söldnertruppen-Techniken, um sensible Informationen über Unternehmen zu sammeln, einschließlich Geschäftsgeheimnisse.

Schließlich gab es auch Fälle von Datenpannen, wie die Lücke im Mastercard-Kundenbindungsprogramm, bei der die Daten von 90.000 Deutschen betroffen waren. Dieser Vorfall führte zu Datenschutzverletzungen und verdeutlichte die Dringlichkeit eines effektiven Schutzes sensibler Informationen in der digitalen Welt.  

Zugleich sind viele Sicherheitssysteme immer noch nicht in der Lage, die Bedrohung von Malware effektiv zu erkennen. In den letzten zehn Jahren hat Malware zwar verstärkt die ENISA-Liste der 15 größten Bedrohungen erreicht, dennoch bleiben Sicherheitssysteme oft blind für diese Gefahr.  

Während Technologieunternehmen und E-Mail-Anbieter in der Vergangenheit in Spamfilter und die Erkennung bösartiger Anhänge investierten, haben Angreifer neue Taktiken entwickelt, um ihre potenziellen Opfer zu erreichen.

NIS2 Cybersecurity: Die wichtigsten Lehren aus den Cybersecurity-Vorfällen

Diese Vorfälle haben die Notwendigkeit einer verbesserten Cybersicherheit und präventiven Maßnahmen für die Sicherheit der digitalen Infrastruktur in der gesamten EU und darüber hinaus unterstrichen.  

Sie haben etwa gezeigt, dass es in vielen Branchen an einheitlichen Sicherheitsstandards mangelt. Die Vorfälle haben betont, wie wichtig es ist, klare und verbindliche Vorschriften für Unternehmen und Organisationen festzulegen, um deren Cybersicherheit zu verbessern und zudem die Dringlichkeit und den globalen Charakter der Cyberbedrohungen verdeutlicht.  

Sie haben Unternehmen, Regierungen und die Gesellschaft insgesamt für die Gefahren und die Notwendigkeit eines effektiven Cyberschutzes sensibilisiert.

Die Angriffe auf kritische Infrastrukturen wie Krankenhäuser und Fabriken verdeutlichen zudem die Notwendigkeit eines besonderen Schutzes dieser Einrichtungen. Cybersicherheit sollte nicht nur auf Unternehmensebene betrachtet werden, sondern auch auf sektor- und branchenübergreifender Ebene.

Die Ransomware-Angriffe haben gezeigt, dass Erpressung ein lukratives Ziel für Cyberkriminelle ist. Unternehmen müssen daher besser darauf vorbereitet sein, mit Ransomware-Angriffen umzugehen und Präventionsmaßnahmen zu ergreifen.

Die NIS2 Richtlinie ist als Reaktion auf diese Erfahrungen und Lehren entstanden. Sie zielt darauf ab, die Cybersicherheit in der EU zu stärken, indem sie klare Anforderungen für kritische Dienstanbieter und digitale Dienste festlegt.  

Die Richtlinie erweitert daher den Anwendungsbereich auf eine breitere Palette von Sektoren und schärft die Anforderungen an Unternehmen, um sicherzustellen, dass sie angemessene Schutzmaßnahmen ergreifen.  

Sie fördert zudem den Informationsaustausch und die Zusammenarbeit zwischen den Mitgliedstaaten, um die Reaktionsfähigkeit auf Cyberbedrohungen zu verbessern.

Insgesamt ist die NIS2 Richtlinie ein Schritt in Richtung einer besseren Vorbereitung und Prävention von Cyberangriffen in Europa.

NIS2 Cybersecurity: Die Auswirkungen der NIS2 Richtlinie auf die Cybersecurity in kritischen Sektoren in Europa  

Die Einführung NIS 2 durch die EU hat ihren Grund in der steigenden Verwundbarkeit kritischer Infrastrukturen. Besonders seit dem Beginn des Ukrainekriegs 2022 haben mögliche digitale Angriffe auf wichtige Einrichtungen wie Dammanlagen, Stromversorger und Atomkraftwerke die Aufmerksamkeit von Politik und Öffentlichkeit auf sich gezogen.  

Mit der NIS 2 und der Umsetzung der darin geforderten Standards möchte die EU also verhindern, dass Angriffe auf kritische Infrastruktur und damit verbundene potenziell katastrophale Folgen zur Realität werden können.

NIS2 Cybersecurity: Die Bedeutung der Cybersicherheit für die europäische Wirtschaft und Gesellschaft

Ein Schlüsselelement der NIS 2 ist die Forderung nach enger Zusammenarbeit und Überwachung der Cybersicherheit zwischen den Mitgliedstaaten. Dieser ganzheitliche Ansatz erkennt die grenzüberschreitende Natur von Cyberbedrohungen an und fordert eine koordinierte Reaktion auf diese Gefahren.  

Unternehmen werden daher verstärkt zusammenarbeiten müssen, um ihre Systeme abzusichern, mögliche Angriffe abzuwehren und ihre Netzwerke und Informationen zu schützen. Die Einhaltung der NIS2 Richtlinie wird so zu einer Priorität für Unternehmen in ganz Europa, um sicherzustellen, dass ihre Sicherheitsvorkehrungen den strengen Anforderungen entsprechen.

Ein erfolgreicher Angriff auf kritische Infrastrukturen wie Transport, Energie, Gesundheit und Finanzwesen könnte nicht nur erhebliche wirtschaftliche Schäden verursachen, sondern auch die Gesundheit und Sicherheit der Bürger gefährden. Daher bedarf es der Sicherung dieser Sektoren, um die Stabilität der europäischen Gesellschaft zu gewährleisten.

„Dies ist die beste Cybersicherheitsgesetzgebung, die dieser Kontinent je gesehen hat, denn sie wird Europa in die Position bringen, proaktiv und dienstleistungsorientiert mit Cybervorfällen umzugehen.“ – Europaabgeordneter Bart Groothuis

Die Einführung der NIS2 Richtlinie kann dazu beitragen, potenzielle Schwachstellen zu minimieren und die Resilienz gegenüber Cyberangriffen zu erhöhen.  

NIS2 Cybersecurity: Herausforderungen und Chancen für die Digitalisierung Europas

Die Umsetzung der NIS2 Richtlinie erfordert einerseits erhebliche Investitionen in die Cybersecurity, was Unternehmen und Behörden vor finanzielle Herausforderungen stellen kann.  

Andererseits bietet sie die Möglichkeit, europaweit einheitliche Standards und Praktiken für Cybersecurity zu etablieren, was die Kooperation und den Datenaustausch erleichtert und die EU insgesamt widerstandsfähiger gegenüber digitalen Bedrohungen macht.  

„Diese europäische Richtlinie wird rund 160.000 Unternehmen dabei helfen, ihre Sicherheit zu erhöhen und Europa zu einem sicheren Ort zum Leben und Arbeiten zu machen. Sie wird auch den Informationsaustausch mit dem privaten Sektor und Partnern in der ganzen Welt ermöglichen. Wenn wir im industriellen Maße angegriffen werden, müssen wir auch im industriellen Maße reagieren.“ – Europaabgeordneter Bart Groothuis

Die Digitalisierung Europas kann somit letztlich sowohl von den Herausforderungen als auch den Chancen profitieren, die die Umsetzung der NIS2 Richtlinie mit sich bringt.

Fazit: Die europäische Cybersecurity bleibt trotz NIS2 herausfordernd  

Angesichts der anhaltenden Bedrohung durch Cyberangriffe hat die Europäische Union erkannt, dass dringender Handlungsbedarf besteht, um die europäische Cybersicherheit zu verbessern. Die NIS2 Richtlinie schafft Klarheit und präzisiert die Anforderungen für kritische Dienstanbieter und digitale Dienste, was zu einer erheblichen Stärkung der Cybersicherheit führt.

Die Qualität dieser Richtlinie für Europa liegt in ihrer Fähigkeit, klare Vorschriften für Unternehmen festzulegen, um deren Cybersicherheit zu verbessern. Sie erweitert den Anwendungsbereich auf eine breitere Palette von Sektoren und schärft die Anforderungen an Unternehmen, um sicherzustellen, dass sie angemessene Schutzmaßnahmen ergreifen. Die NIS2 Richtlinie fördert zudem den Informationsaustausch und die Zusammenarbeit zwischen den Mitgliedstaaten, um die Reaktionsfähigkeit auf Cyberbedrohungen zu verbessern.

Die Zukunft der EU im Bereich der Cybersecurity hängt dabei stark von der erfolgreichen Umsetzung und Anpassung der NIS2 Richtlinie ab. Um sich an die ständig an Umfang und Raffinesse gewinnenden Bedrohungen durch Cyberangriffe anzupassen, ist es die Aufgabe der EU, weiterhin in die Stärkung von Cybersicherheit zu reagieren.

„Wir müssen sicherstellen, dass wir über ausreichende technische Fähigkeiten, Kenntnisse und Ressourcen verfügen, um den immer ausgefeilteren Bedrohungen der Cybersicherheit wirksam begegnen zu können.“ – EU-Parlamentsabgeordnete Henna Virkkunen

Dabei bedarf es kontinuierlicher Anpassungen und Verstärkungen, um die europäische Cybersicherheit in dieser volatilen Zeit effektiv zu schützen.

Immer mehr Unternehmen sind sich der Herausforderung bewusst, dem wachsenden Umfang der Compliance-Anforderungen aus dem Kontext der NIS2 Cybersecurity gerecht zu werden und suchen nach dafür nach einer effizienten und effektiven automatisierten Lösung.  

Ein solides Informationssicherheitsmanagementsystem (ISMS) stellt einen wesentlichen Schritt dar, um die Cybersecurity in Unternehmen zu gewährleisten. In dieser Hinsicht können Sie sich auf die zertifizierte Expertise von SECJUR verlassen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 2, 2023
5 min
Externer Datenschutzbeauftragter: Kann man auf ihn verzichten?

In vielen Fällen gilt der Datenschutzbeauftragte im Unternehmen als lähmender Bedenkenträger. Nur sehr guten Datenschutzbeauftragten gelingt es, sowohl auf die Einhaltung der datenschutzrechtlichen Regeln hinzuwirken und gleichzeitig das Business pragmatisch und unternehmerisch denkend zu unterstützen.

Lesen
June 2, 2023
10 min
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz.

Lesen
August 25, 2023
12 min
Datenschutzgesetz Schweiz: Was Unternehmen jetzt tun müssen

Mit dem kürzlich überarbeiteten Datenschutzgesetz (DSG) steht die Schweizer Geschäftswelt vor neuen Herausforderungen. In diesem informativen Artikel werfen wir einen Blick auf die sich ergebenden Verpflichtungen und beleuchten die wesentlichen Unterschiede zwischen dem revidierten DSG und der DSGVO. Besonders markant ist die Einführung der persönlichen strafrechtlichen Haftung, die zur Folge hat, dass nicht nur Unternehmen, sondern auch Privatpersonen bei Verstößen gegen das DSG zur Rechenschaft gezogen werden können. Unser Rechtsexperte Simon Pentzien gibt wertvolle Empfehlungen zur reibungslosen Umsetzung.

Lesen
TO TOP