Die ARTUS GRUPPE berät Kunden bereits seit langem hinsichtlich der Gefahren aus dem virtuellen Raum, eine Stärke, die künftig an Bedeutung zunehmen dürfte. Trotzdem kann man das Thema nicht auf die leichte Schulter nehmen. Was es mit der neuen Richtlinie auf sich hat:

Als Vorgänger von NIS2 wurde die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) vom 6. Juli 2016 bis zum 9. Mai 2018 in nationales Recht umgewandelt. Speziell regelt sie An- forderungen hinsichtlich der IT-Sicherheit und Meldeverpflichtungen sogenannter Betreiber wesentlicher Dienste und Anbieter digitaler Dienste. Wesentliche Dienste entsprechen dabei der kritischen Infrastruktur (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung- und Versorgung, Digitale Infrastruktur). Mit der Richtlinie NIS2 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union vom 14. Dezember 2022, die zum Oktober 2024 in nationales Recht umgesetzt werden muss, werden die Anforderungen und der Kreis der Betroffenen nun noch einmal erheblich erweitert.

Die Regelungen der NIS-Richtlinie wurden als zu gering angesehen, zumal fehlende Offenlegungsverpflichtungen von IT-Sicherheitsmängeln eine Kontrolle schwierig machten. Umfasst sind fortan 18 kritische Sektoren, davon elf hochkritische Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinf- rastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKTDiensten/B2B, öffentliche Verwaltung und Weltraum – weitere Untergliederung nach Anhang I NIS2-Richtlinie) sowie sieben sonstige kritische Sektoren (Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Anbieter digitaler Dienste, – weitere Untergliederung nach Anhang II NIS2-Richtlinie).

Verfahren, Inhalte und Fristen zur Meldung von Cybersicherheitsvorfällen werden durch die Richtlinie klar definiert. Sie hat zum Zweck, EU-weite Sicherheitsstandards zu etablieren, die auch die Industrie nunmehr weitreichend umsetzen muss. Folgende Anforderungen sind hierfür u. a. durch die Mitgliedsstaaten umzusetzen:

• Jeder Mitgliedstaat erlässt eine nationale Cybersicherheitsstrategie, die die strategischen Ziele, die zur Erreichung dieser Ziele erforderlichen Ressourcen sowie angemessene politische und regulatorische Maßnahmen zur Erreichung und Aufrecht- erhaltung eines hohen Cybersicherheitsniveaus enthält.

• Jeder Mitgliedstaat benennt eine oder mehrere für die Cybersicherheit und Aufsichtsaufgaben zuständige Behörden oder richtet sie ein.

• Jeder Mitgliedstaat benennt eine oder mehrere für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen zuständige Behörden (Behörden für das Cyberkrisenmanagement) oder richtet sie ein.

• Jeder Mitgliedstaat benennt ein oder mehrere CSIRTs (Computer-Notfallteams) oder richtet sie ein. Die CSIRTs können innerhalb einer zuständigen Behörde benannt oder eingerichtet werden.

Eine Parallelität zur DSGVO, mit weitreichenden Meldeverpflichtungen, Kontrollbehörden und Sanktionen ist nicht von der Hand zu weisen und wird die Industrie in den nächsten Jahren beschäftigen. Es besteht fortan beim Umgang mit dem Grad des IT-Sicherheitsniveaus keine Wahl mehr, dies wird in jedem Fall ein umfassendes Risikomanagementkonzept inkl. Penetrationstest, eines Business Continuity Management und Meldeverpflichtungen erforderlich machen. Wenngleich sich die Verordnung an mittlere und große Unternehmen richtet, wird sie durch die Notwenigkeit der Prüfung von Cyberrisiken innerhalb der Lieferketten auch kleinere Betriebe treffen. Ent- sprechende Dienstleister sind heute schon rar, diese Situation wird sich in den nächsten Jahren drastisch verschärfen.

Dieser Beitrag ist Teil der ARTUS Markttrends 2023.