Erhöhung der Informationssicherheit

Die Einführung der Network and Information Systems Directive 2 (NIS-2) soll den Schutz der kritischen Infrastrukturen erhöhen. Seit dem Beginn des Ukrainekriegs 2022 haben Angriffe auf Stromversorger, Atomkraftwerke und weitere Betriebe zugenommen. In der Richtlinie steht als erster Punkt «Das Ziel der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.»

Dir Richtlinie definiert im Wesentlichen die folgenden Punkte:

• Nationale Cybersicherheitsstrategie
• Rolle der Behörden bei Cybersicherheitsvorfällen
• Cybersecurity Incident Response Team (CSIRT)
• Europäische Schwachstellendatenbank
• Verpflichtung der Leitung
• Risikomanagement
• Meldung von Vorfällen
• Sanktionen und Bussgelder

Die Richtlinie unterscheidet zwischen Sektoren mit hoher Kritikalität (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Dienste (B2B), öffentliche Verwaltung sowie Weltraum) und sonstige kritische Sektoren (Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschung). Es ist ersichtlich, dass es sehr viele Unternehmen betrifft. Allein in Deutschland sind schätzungsweise zwischen 29’000 bis 40’000 Unternehmen von der NIS 2 betroffen und müssen in der Folge ein Informationssicherheitsmanagementsystem (ISMS) implementieren.
Die Richtlinie unterscheidet weiter zwischen wesentlichen und wichtigen Einrichtungen (Artikel 3). Dies ist vor allem für die Haftung wichtig, die verschärft wurde. Für wesentliche Einrichtungen können Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag massgeblich ist. Bei wichtigen Einrichtungen belaufen sich die Bussgelder auf bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes, wobei auch hier der höhere Betrag entscheidend ist. Im deutschen Entwurf haften die Leitungsorgane für die Einhaltung der Risikomanagementmassnahmen mit ihrem Privatvermögen bis zur Obergrenze von 2 Prozent des globalen Jahresumsatzes des Unternehmens.
In Artikel 20 verlangt die Richtlinie, «dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitenden regelmässig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.»
Ein wesentlicher Artikel ist die 21: Risikomanagementmassnahmen im Bereich der Cybersicherheit. Unternehmen müssen geeignete und verhältnismässige technische, operative und organisatorische Massnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

In Artikel 23 werden die Berichtspflichten aufgeführt. Die Grenzen sind sehr eng gefasst. Für schwerwiegende Vorfälle gelten folgende Fristen:
23.4 a) § 31 (1) 1
unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;

23.4 b) § 31 (1) 2
unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschliesslich seines Schweregrads und seiner Auswirkungen sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;

23.4 b) § 31 (1) 3
auf Ersuchen eines CSIRT oder gegebenenfalls der zuständigen Behörde einen Zwischenbericht über relevante Statusaktualisierungen;

23.4 d) § 31 (1) 4
spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls einen Abschlussbericht zustellen
Da es sich um eine Richtlinie handelt, müssen die Mitgliedstaaten diese in nationales Recht umwandeln. Die Deadline für die Umsetzung als Gesetz ist der 17. Oktober 2024. Nach Artikel 40 der Richtlinie prüft die EU-Kommission bis zum 17. Oktober 2027 die Einhaltung dieser Richtlinie und dann alle 36 Monate wieder. Bis dahin sollten auch alle Unternehmen die Anforderungen umgesetzt haben.

Die NIS 2 kann unter https://eur-lex.europa.eu/eli/dir/2022/2555 in verschiedenen Sprachen heruntergeladen werden.