In den letzten Monaten haben Cyberangriffe auf kritische Infrastrukturen (KRITIS) in der EU alarmierend zugenommen. Laut dem „Cybersecurity Report H1 2024“ von Myra Security waren im vergangenen Jahr drei Viertel aller Cyberattacken auf KRITIS wie Energie- und Wasserversorgung, medizinische Einrichtungen und Finanzinstitute gerichtet. Allein im ersten Quartal 2024 wurden bereits über 180 Angriffe auf kritische Infrastrukturen gemeldet. Diese Angriffe gefährden das Funktionieren der Gesellschaft, der Wirtschaft und der öffentlichen Sicherheit erheblich. Die EU-Richtlinie NIS2 soll diesen Bedrohungen entgegenwirken, indem sie gezielt den Schutz kritischer Infrastrukturen stärkt. Was NIS2 beinhaltet, welche Sektoren betroffen sind und warum der Digitalverband Bitkom mit Verzögerungen rechnet, erfahren Sie hier.
Einheitliche Cybersicherheitsstandards in der EU
Die NIS2-Richtlinie (Network and Information Security 2) ist die Weiterentwicklung der ursprünglichen NIS1-Richtlinie. Diese hatte das Ziel, ein einheitliches Cybersicherheitsniveau in der EU zu etablieren und kritische Infrastrukturen vor Cyberangriffen zu schützen. Die Umsetzung von NIS1 war jedoch uneinheitlich, da jedes Land eigene Definitionen und Interpretationen hatte. NIS2 soll diese Lücken schließen, die Widerstandsfähigkeit der EU gegenüber digitalen Bedrohungen erhöhen und den sicheren Zugang zu vernetzten Systemen und wesentlichen Infrastrukturen für Bürger und Unternehmen gewährleisten.
Diese Sektoren und Unternehmen sind betroffen
Die Richtlinie erweitert die Definition von KRITIS und unterteilt die betroffenen Sektoren in „wesentliche“ und „wichtige“ Einrichtungen. Dadurch umfasst NIS2 eine breitere Palette an Sektoren und Unternehmen als NIS1.
Zu den wesentlichen Einrichtungen zählen:
- Energieversorger
- Verkehrseinrichtungen
- Banken und Finanzmarktinfrastrukturen
- Gesundheitseinrichtungen
- Trinkwasserversorger
- Abwasserentsorgungsunternehmen
- Digitale Infrastrukturen wie Rechenzentren und Cloud-Dienste
- Öffentliche Verwaltung
- Raumfahrtorganisationen
Wichtige Einrichtungen laut NIS2 sind unter anderem:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemikalienhersteller und -händler
- Lebensmittelhersteller und -händler
- Verarbeitendes Gewerbe
- Betreiber digitaler Dienste
- Forschungseinrichtungen
Unternehmen in diesen Sektoren, die in der EU tätig sind oder ihre Dienstleistungen dort anbieten, sind von NIS2 betroffen. Voraussetzung ist, dass sie mindestens 50 Angestellte beschäftigen oder einen Jahresumsatz von 10 Millionen EUR oder mehr erwirtschaften. Sie müssen gewährleisten, dass ihr Geschäftsbetrieb auch bei Cyberattacken aufrechterhalten bleibt und dass sie rasch auf digitale Bedrohungen reagieren können. Dazu müssen sie unter anderem Risikoanalysen durchführen, einen Krisenmanagementplan erstellen und spezielle Kollaborations-Tools für den sicheren Datenaustausch einführen. Auch regelmäßige Updates und Backups ihrer IT-Systeme sowie Sicherheitsschulungen der Angestellten gehören zu den notwendigen Maßnahmen für betroffene Unternehmen. Außerdem sind Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Bitkom erwartet Verzögerungen bei der Umsetzung von NIS2
NIS2 ist seit dem 16. Januar 2023 in Kraft. Nun haben die EU-Mitgliedsstaaten bis 17. Oktober 2024 Zeit, diese EU-Richtlinie in nationales Recht umsetzen. Die notwendige deutsche Umsetzung – das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – hat das Bundeskabinett Ende Juli 2024 noch kurz vor seiner Sommerpause auf den Weg gebracht. Trotzdem geht der Digitalverband Bitkom von Verzögerungen bei der Umsetzung aus. Es sei bereits jetzt klar, dass die Umsetzungsfrist nicht eingehalten werden könne, so Bitkom-Präsident Dr. Ralf Wintergerst laut einer Pressemeldung. Zu viele Details müssten noch angepasst werden, außerdem fehle es an einer Harmonisierung mit dem KRITIS-Dachgesetz, dessen Umsetzungsprozess ebenfalls stocke. Umso wichtiger sei es, NIS2 zügig umzusetzen und ein Inkrafttreten zumindest bis Anfang 2025 sicherzustellen.
Mehr Informationen zu NIS2 und zu idgard finden Sie unter www.idgard.com.
Weitere Informationen zu idguard sind im Lösungskatalog verfügbar.