EU-Cybersecurity Version 2.0 : Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen? Eine Analyse
Zum Ende des vergangenen Jahres haben die Gremien der Europäischen Union die Aktualisierung der Richtlinie zur Netz- und Informationssicherheit (NIS) verabschiedet. Unsere Rechtsrubrik beleuchtet ausführlich die zentralen Neuerungen von NIS-2.
Auf die Mitgliedstaaten der EU – und damit auch die Unternehmen – rollt in Sachen Cybersecurity seit Ende Dezember 2022 eine neue Welle zu: Bereits seit geraumer Zeit wurde die NIS-2-Richtlinie „… über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau …“ [1] erwartet, die als neuester europäischer Cybersecurity-Rechtsakt die EU-NIS-Richtlinie von 2016 ablöst, welche den digitalen Schutz sogenannter „wesentlicher Dienste“ bezweckt.
NIS-2 wurde durch das Europäische Parlament am 10. November 2022 in der ersten Lesung beschlossen und am 28. November vergangenen Jahres durch den Rat angenommen. NIS-2 ist durch die EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationalstaatliches Recht umzusetzen und soll die regulatorischen Anforderungen an die Cybersicherheit zum Schutz des Binnenmarkts EU-weit stärken, ausweiten und modernisieren. Dementsprechend geht die neue Richtlinie inhaltlich weit über die bisherigen Anforderungen von NIS-1 hinaus.
Erweiterter Anwendungsbereich:
Bereits im Gesetzgebungsverfahren wurde deutlich, dass NIS-2 nicht nur den gesetzgeberischen Pflichtenkatalog ausdehnen, sondern überdies bisherige Schutzlücken in der Cybersicherheit durch eine erhebliche Erweiterung des Anwendungsbereichs der Regelungen schließen will – dies kann mit Blick auf das deutsche Recht teilweise mit den inhaltlichen Erweiterungen durch das IT-SiG 2.0 aus dem Jahr 2021 verglichen werden. Die Anforderungen aus NIS-2 sind grundsätzlich auf alle öffentlichen oder privaten Einrichtungen anwendbar, die ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben und die in den Anhängen I und II des EU-Rechtsakts beschrieben werden.
Anhang I enthält Sektoren mit „hoher Kritikalität“, hierunter fallen:
- Energie (inkl. Wasserstofferzeugung, -speicherung und -fernleitung)/li>
- Verkehr (inkl. der Betreiber intelligenter Verkehrssysteme)/li>
- Bankwesen/li>
- Finanzmarktinfrastrukturen/li>
- Gesundheitswesen/li>
- Trinkwasser/li>
- Abwasser/li>
- digitale Infrastruktur (Betreiber von Internetknoten, DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste)/li>
- Verwaltung von IKT-Diensten (Business-to-Business)
- öffentliche Verwaltung (Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht, Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht)
- Weltraum (Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen)
Der Anhang II enthält „sonstige kritische Sektoren“:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln im Großhandel sowie in der industriellen Produktion und Verarbeitung
- verarbeitendes Gewerbe/Herstellung von Waren (betroffen sind die Teilsektoren Medizinprodukte und In-vitro-Diagnostika, Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse, elektronische Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteile sowie sonstiger Fahrzeugbau)
- Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke)
- Forschungseinrichtungen (laut Legaldefinition Einrichtungen, deren primäres Ziel es ist, angewandte Forschung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungseinrichtungen nicht einschließt)
Dieser generelle Anwendungsbereich anhand der Anhänge I und II wird spezifiziert durch verhältnismäßig komplexe Konkretisierungsbestimmungen. Zuvorderst gilt dabei als „Grundsatz“, dass NIS-2 für mittlere Unternehmen gemäß der Empfehlung 2003/361/EG (min. 50 Personen werden beschäftigt und der Jahresumsatz bzw. die Jahresbilanz übersteigt 10 Mio. EUR) sowie für Unternehmen einschlägig ist, welche die Schwellenwerte für mittlere Unternehmen nach europäischem Recht überschreiten (min. 250 Beschäftigte und entweder einen Jahresumsatz von mehr als 50 Mio. EUR oder Jahresbilanzsumme von mehr als 43 Mio. EUR).
Darüber hinaus gilt NIS-2 auch unabhängig von der Größe eines Unternehmens oder einer Einrichtung, soweit bestimmte qualifizierende Voraussetzungen erfüllt sind. Beispiele in dem Zusammenhang sind:
- Es handelt sich bei der Einrichtung in einem Mitgliedstaat um den einzigen Anbieter eines Dienstes, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist.
- Eine Störung des von der Einrichtung erbrachten Dienstes könnte sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken.
- Eine Störung des von der Einrichtung erbrachten Dienstes könnte zu einem wesentlichen Systemrisiko führen, allem voran in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte.
Betroffene Verwaltungseinrichtungen
Im Hinblick auf den Anwendungsbereich gesetzlicher Infrastrukturregelungen zur Cybersicherheit wurde in der Vergangenheit immer wieder kritisiert, dass bei gleichzeitig erheblichem Ausbau der Pflichten für Wirtschaftsunternehmen öffentliche Einrichtungen und Behörden vom Anwendungsbereich größtenteils unbehelligt bleiben. Auch mit NIS-2 steht nicht zu „befürchten“, dass sich daran etwas erheblich ändern würde – obwohl dieser europäische Rechtsakt erste zaghafte Schritte in eine stärkere Regulierung des öffentlichen Sektors macht. Gleichwohl dürften die aktuell durch NIS-2 vorgeschlagenen Regelungen für die Cybersicherheit des öffentlichen Sektors als nicht ausreichend erachtet werden, denn gerade die drastisch erhöhte Zahl der Cybersecurity-Vorfälle im Bereich der öffentlichen Hand seit Beginn des Russland-Ukraine-Kriegs im Jahr 2022 hat deutlich gezeigt, dass nicht nur bei mittelständischen Unternehmen, sondern sogar besonders auch im öffentlichen Dienst Vollzugsdefizite vorhanden sind.
Die Regelungen zum Anwendungsbereich für die öffentliche Verwaltung in NIS-2 stellen dennoch nach wie vor im Wesentlichen auf die mitgliedstaatliche Verantwortlichkeit ab und sind dementsprechend unkonkret. Erfasst sind demgemäß Einrichtungen der öffentlichen Verwaltung der in Anhang I und II genannten Art, die von einem Mitgliedstaat gemäß nationalem Recht definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder von einem Mitgliedstaat gemäß nationalem Recht definierte Einrichtung der öffentlichen Verwaltung auf regionaler Ebene sind und die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte.
Weitere Besonderheiten im komplexen Anwendungsbereich von NIS-2 ergeben sich durch den Verweis auf die ebenfalls neue EU-“Resilienz-Richtlinie“ [2]. Hiernach hat jeder EU-Mitgliedstaat bis zum 17. Juli 2026 die kritischen Einrichtungen für folgende Sektoren und Teilsektoren zu ermitteln:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheit
- Trinkwasser
- Abwasser
- digitale Infrastruktur
- öffentliche Verwaltung (Beschränkung auf die Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der jeweiligen Definition der Mitgliedstaaten gemäß nationalem Recht)
- Weltraum
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Durch diese Verzahnung des Anwendungsbereichs von NIS-2 wird deutlich, dass dem EU-Gesetzgeber nicht nur an einer Vereinheitlichung umzusetzender inhaltlicher Cybersecurity-Pflichten gelegen ist, sondern auf europäischer Ebene ein Gleichlauf im kritischen Infrastrukturverständnis erzielt werden soll, der bislang in dieser konkreten Form gefehlt hat.
Ausnahmen von der Regel
Ausnahmetatbestände des NIS-2-Anwendungsbereichs sind grundsätzlich vorgesehen für Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung ausüben.
Im Übrigen verweist NIS-2 im Rahmen ihres Anwendungsbereichs auf sektorspezifische Vorschriften, die unbeschadet hiervon gelten, soweit diese den in NIS-2 niedergelegten Rechtspflichten gleichwertig sind. Für den Umgang mit personenbezogenen Daten zu Zwecken der Cybersecurity wird auf die DSGVO (EU-Verordnung 2016/679) und auf die EU-Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) verwiesen. Zur Klarstellung und Abgrenzung verschiedener EU-Rechtsakte will die Europäische Kommission in Zusammenarbeit mit der ENISA bis zum 17. Juli 2023 entsprechende Leitlinien erstellen – dies dürfte bei der NIS-2-Implementierung sicherlich hilfreich sein.
Für NIS-2 gilt im Übrigen ebenfalls der Grundsatz der Mindestharmonisierung. Das bedeutet, dass die Mitgliedstaaten auch strengere Maßnahmen mit einem höheren Cybersicherheitsniveau realisieren können, soweit dies nicht gegen europäisches Recht verstößt.
„Wesentliche“ und „wichtige“ Einrichtungen
Eine weitere europäisch überformte zusätzliche Konkretisierung nimmt NIS-2 vor, indem die Richtlinie im Hinblick auf ihren zuvor skizzierten Anwendungsbereich zwischen „wesentlichen“ und „wichtigen“ Einrichtungen unterscheidet. Wesentliche Einrichtungen sind beispielsweise solche der in NIS-2 Anhang I aufgeführten Art (hohe Kritikalität), welche die europäischen Schwellenwerte für mittlere Unternehmen überschreiten, oder solche, die mitgliedstaatlich entsprechend eingestuft wurden. Wesentliche Einrichtungen können ebenso solche sein, die von einem EU-Mitgliedstaat vor dem 16. Januar 2023 gemäß der ersten NIS-Richtlinie 2016/1148 oder nach nationalem Recht als Betreiber wesentlicher Dienste eingestuft wurden. Wichtige Einrichtungen sind hingegen solche, die sowohl NIS-2 Anhang I und II zugehörig sein können, aber nicht als wesentliche Einrichtungen gelten – das schließt ebenfalls Einrichtungen ein, die von den Mitgliedstaaten als wichtig eingestuft wurden.
Diese Differenzierung zwischen wesentlichen und wichtigen Einrichtungen nach NIS-2 ist besonders auch für Aufsichts- und Durchsetzungsmaßnahmen der Pflichten aus der Richtlinie sowie bei der Ahndung von gesetzlichen Verstößen relevant. Deutlich wird hier einerseits die abgestufte Relevanz vorgenannter Kategorien, aber auch deren unterschiedliche wirtschaftliche Leistungsfähigkeit zur Etablierung von Cybersecurity-Maßnahmen.
Die Mitgliedstaaten sind in der Pflicht, bis zum 17. April 2025 eine Liste unter anderem der wesentlichen und wichtigen Einrichtungen zu erstellen und diese mindestens alle zwei Jahre zu überprüfen und gegebenenfalls zu aktualisieren. Zur Erstellung dieser Liste trifft die betroffenen Einrichtungen eine Mitwirkungspflicht zum Vorhalten der entsprechenden Informationen, beispielsweise relevanter Kontaktdaten. Dazu werden ebenfalls in Zusammenarbeit mit der ENISA Leitlinien und Vorlagen erstellt. Und auch nationale Registrierungsmechanismen können vorgesehen werden.
Koordinierter Rahmen für Cybersicherheit
Der gesamteuropäische Ansatz von NIS-2 wird noch stärker als bislang durch einen europäisch koordinierten Rahmen für die Cybersicherheit wiedergegeben. So hat jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie zu entwickeln, die unter anderem den Steuerungsrahmen für die Umsetzung der NIS-2-Richtlinie enthält. Explizit einbezogen werden dabei auch die Cybersicherheit in der Lieferkette für IKT-Produkte und -Dienste, die von Einrichtungen für die Diensteerbringung genutzt werden, sowie die koordinierte Offenlegung von Schwachstellen.
Mindestens alle fünf Jahre sind die mitgliedstaatlichen Cybersicherheitsstrategien anhand wesentlicher Leistungsindikatoren zu bewerten und gegebenenfalls zu aktualisieren. Jeder Mitgliedstaat benennt nicht nur zuständige zentrale Cybersicherheitsbehörden, die zugleich Aufsichtsfunktionen zur Einhaltung von NIS-2 wahrnehmen und für die Koordination der Cybersicherheit im europäischen Raum in Zusammenarbeit mit der ENISA zuständig sind, sondern ebenfalls Behörden für das Management von Cybersicherheitsvorfällen großen Ausmaßes sowie von Krisen (Cyber-Krisen-Management). In diesem Zusammenhang ist durch die Mitgliedstaaten ebenso ein nationaler Reaktionsplan für groß angelegte Cybersicherheitsvorfälle zu verabschieden. Die hierin enthaltenen Informationen sind von den Mitgliedstaaten unter anderem an das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe [3]) zu übermitteln.
Der neue mitgliedstaatliche Handlungsrahmen zur Cybersicherheit in NIS-2 wird durch die Pflicht zur Einrichtung von mit angemessenen Ressourcen ausgestatteten Computer-Notfallteams (CSIRTs) ergänzt, deren Aufgaben und Anforderungen ebenso durch den europarechtlichen Rahmen beschrieben werden. Die CSIRTs sind auch als Koordinator für das Schwachstellenmanagement zuständig – in diesem Sinne kommt ihnen unter anderem eine Rolle als vertrauenswürdiger Vermittler zwischen Meldendem und betroffenem Anbieter beziehungsweise Hersteller zu. Anonyme Meldungen an CSIRTs sollen ebenfalls möglich sein.
Neu ist mit NIS-2 ebenso die Entwicklung einer europäischen Schwachstellendatenbank, für deren Errichtung und Instandhaltung die ENISA verantwortlich ist. Diese Datenbank wird Informationen zur Beschreibung von Schwachstellen, betroffene Produkte und Dienste, das mit der Schwachstelle verbundene Ausmaß sowie Patches und Abhilfemaßnahmen zur Risikominderung enthalten. ENISA trägt die Verantwortung für die Sicherheit und Integrität dieser Datenbank, deren Zugang allen „Interessenträgern“ offen stehen soll.
Nationale, europäische und internationale Zusammenarbeit sowie Kooperation im CSIRT-Verbund und innerhalb von EU-CyCLONe
NIS-2 will nicht nur sicherstellen, dass nationale Prozesse zu Informationsaustausch und Kooperation funktionsfähig sind, sondern dies ebenso im europäischen und internationalen Rahmen gewährleisten. Angestrebt wird dabei eine umfassende Zusammenarbeit, die auch die Strafverfolgungs- und Datenschutzbehörden sowie sektorspezifisch und spezialgesetzlich geregelte Stellen umfasst.
Da gegenseitiges Vertrauen in der Cybersicherheit ein essenzielles Element ist, besagt die Richtlinie: „Zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten und zur Stärkung des Vertrauens wird eine Kooperationsgruppe eingesetzt.“ Eine entsprechende Gruppe [4] wurde auch bereits mit NIS-1 ins Leben gerufen. Diese setzt sich aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA zusammen – der Europäische Auswärtige Dienst nimmt als Beobachter teil. Die Kooperationsgruppe erstellt bis spätestens 1. Februar 2024 und danach alle zwei Jahre ein Arbeitsprogramm.
Ebenso sollen die CSIRTs über die einzelnen Mitgliedstaaten hinweg miteinander vernetzt sowie die operative Zusammenarbeit gefördert werden, indem man ein Netzwerk der nationalen CSIRTs errichtet hat (https://csirtsnetwork.eu). Neben dem Informationsaustausch ist die Sicherstellung der Interoperabilität in Bezug auf Spezifikationen und Protokolle erklärtes Ziel. Darüber hinaus will man hierdurch grenzüberschreitende Cybersicherheitsvorfälle besser bewältigen können, indem koordinierte Reaktionen möglich sind. Außerdem werden im CSIRTs-Netzwerk neue operative Formen der Zusammenarbeit eruiert.
Gemeinsam mit dem CSIRTs-Netzwerk erarbeiten die EU-Kommission, die ENISA und die vorgenannte Kooperationsgruppe zudem den Ablauf und die Methodik eines gemeinsamen und freiwilligen mitgliedstaatlichen Cybersecurity-Peer-Reviews. Darin werden unter anderem der Stand der Umsetzung des Cybersicherheitsrisikomanagements und die operativen Kapazitäten der CSIRTs überprüft. Die Methode und die organisatorischen Aspekte dieser Peer-Reviews sind bis zum 17. Januar 2025 festzulegen – davor können die Mitgliedstaaten eine Selbstbewertung der eigenen Cybersecurity-Kapazitäten durchführen.
Das bereits angesprochene Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EUCyCLONe) ist ein weiteres neues und zentrales Element, das an verschiedenen Stellen Schnittpunkte zu Aktivitäten und Akteuren der Richtlinie aufweist. Erklärtes Ziel dieser Organisation ist die verbesserte Bewältigung von Cybersicherheitsvorfällen großen Ausmaßes und von Cybersicherheitskrisen. Hierzu unterstützt das Netzwerk durch ein koordiniertes Management auf operativer Ebene, durch die Erstellung von Lagebildern und durch den regelmäßigen Austausch relevanter Informationen zwischen Mitgliedstaaten und EU-Einrichtungen.
EU-CyCLONe setzt sich aus mitgliedstaatlichen Vertretern der nationalen Behörden für das Cyber-Krisenmanagement und bei besonders schwerwiegenden Cybersicherheits-Vorfällen auch aus Vertretern der EU-Kommission zusammen. Die ENISA führt die Sekretariatsgeschäfte des Netzwerks, das sich eine Geschäftsordnung gibt und ab dem 17. Juli 2024 und regelmäßige Berichte erstellen muss. NIS-2 sieht zudem internationale Kooperationsmöglichkeiten explizit vor. Hervorzuheben ist außerdem, dass die ENISA in Zusammenarbeit mit der EU-Kommission einen zweijährlichen, auch maschinenlesbaren Bericht über den Stand der Cybersicherheit in der Union erstellen muss.
Risikomanagement-Maßnahmen
Cybersecurity-Governance nimmt für NIS-2 eine stärkere Rolle als noch für NIS ein. So haben „wesentliche“ und „wichtige“ Einrichtungen verschiedene Risikomanagement-Maßnahmen zu treffen und Berichtspflichten für die Cybersicherheit zu erfüllen. Explizit vorgeschrieben ist, dass die Leitungsorgane der wesentlichen und wichtigen Einrichtungen Maßnahmen zur Cybersicherheit nicht nur billigen müssen, sondern die Umsetzung auch zu überwachen haben und für eventuelle Verstöße der Einrichtungen verantwortlich gemacht werden können. Daneben gilt freilich nach wie vor die Haftbarkeit nach nationalen Rechtsvorschriften.
NIS-2 trägt außerdem der Tatsache Rechnung, dass betriebliche Leitungsorgane nicht nur eine Vorbildfunktion in der Cybersicherheit haben, sondern dass dort nicht selten das Wissen und Verständnis für Cyberbedrohungen und deren Abwehr fehlen. Deshalb geht mit den Pflichten für wesentliche und wichtige Einrichtungen ebenfalls einher, dass Leitungsorgane sowie Mitarbeiter an Schulungen teilnehmen müssen, um ausreichende Kenntnisse, Fähigkeiten und Managementpraktiken zu erwerben.
Grundsätzlich gilt (wie schon durch die NIS), dass Cybersecurity-Prävention im Mittelpunkt der betrieblichen Bemühungen stehen muss. Deshalb werden die vom Anwendungsbereich der NIS2-Richtlinie erfassten wesentlichen und wichtigen Einrichtungen durch die Mitgliedstaaten verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Cybersicherheits-Risiken zu minimieren. Dabei wird auf den bereits bekannten „Stand der Technik“ verwiesen, aber auch einschlägige europäische und internationale Normen der Informationssicherheit referenziert, die in einem Kosten-Nutzen-Verhältnis unter Berücksichtigung der individuellen Risikoexposition stehen.
NIS-2 bezieht deutlich auch den hybriden Faktor der neuen Cyber-Bedrohungslage ein, indem es nicht ausschließlich um den Schutz der Systeme selbst geht, sondern auch das Einwirken auf die physische Umwelt der IT-Systeme eine Rolle spielen kann. Beispielhaft werden im Gesetzeswortlaut verschiedene technische, operative und organisatorische Maßnahmen zur Cybersicherheit im Sinne eines „Minimalkonsens“ vorgeschlagen, der unter anderem die folgenden Punkte umfasst:
- Risikoanalysen
- Bewältigung von Sicherheitsvorfällen
- Backup- und Krisenmanagement
- Wartungsmaßnahmen
- Offenlegung von Schwachstellen
- Cyber-Hygiene
- Schulungen
- Kryptografie
- Personalsicherheit
- Berechtigungsmanagement
- Authentifizierungstechnologie
- Notfallkommunikation
Für verschiedene Anbietertypen erlässt die EU-Kommission bis zum 17. Oktober 2024 konkretisierende Durchführungsrechtsakte zur Umsetzung der Maßnahmen. Hierbei orientiert sie sich weitestgehend an europäischen und internationalen Normen sowie einschlägigen technischen Spezifikationen.
Aspekte der Supply-Chain-Security
Die neue Richtlinie legt zusätzlich ein besonderes Augenmerk auf die Lieferkettensicherheit, also die Beziehungen zwischen einzelnen Einrichtungen und ihren Anbietern, die in der Cybersecurity-Risikobewertung zu berücksichtigen sind. Hierzu sieht NIS-2 unter anderem koordinierte Risikobewertungen der bereits vorgestellten Kooperationsgruppe in Zusammenarbeit mit EU-Kommission und ENISA vor, die technische und nichttechnische Risikofaktoren enthalten können. In diesem Zusammenhang lässt sich ebenfalls bestimmen, welche spezifischen kritischen IKT-Dienste, -Systeme oder -Produkte einer koordinierten Risikobewertung unterzogen werden können. Durch die Lieferkettenregulierung von NIS-2 können somit durchaus auch Unternehmen indirekt zu Cybersecurity-Maßnahmen angehalten werden.
Berichtspflichten
Zur operativen Cybersicherheit gehören nicht nur technische und organisatorische Maßnahmen (TOM), sondern zu Zwecken des Informationsaustauschs und zur Erstellung eines Lagebilds auch Berichtspflichten. NIS-2 sieht hierzu ein komplexes Meldesystem vor: Erhebliche Sicherheitsvorfälle sind demgemäß von wesentlichen und wichtigen Einrichtungen unverzüglich an die zuständige nationalstaatliche Stelle zu melden – unter Umständen sind die Diensteempfänger ebenso in die Meldewege einzubeziehen. Eine spezielle Haftungsrelevanz besitzt die Meldung hingegen nicht.
Ein Sicherheitsvorfall gilt dann als erheblich, wenn
- er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder
- er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann.
Für bestimmte Diensttypen erlässt die EU-Kommission bis zum 17. Oktober 2024 zur Konkretisierung des Erheblichkeitskriteriums Durchführungsrechtsakte. Für die grundsätzlich unverzüglich zu erfolgenden Meldungen gelten maximale Meldefristen von 24 und 72 Stunden im Hinblick auf die mitzuteilenden Inhalte:
- 24 Stunden: Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte
- 72 Stunden: gegebenenfalls Aktualisierung der in der Frühwarnung enthaltenen Informationen und erste Bewertung des erheblichen Sicherheitsvorfalls – einschließlich seines Schweregrads und seiner Auswirkungen – sowie gegebenenfalls Angabe der Kompromittierungsindikatoren
Das CSIRT oder die zuständige Behörde übermitteln der meldenden Einrichtung unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung eine Antwort. Überdies bestehen nach individueller Bedarfslage behördliche Weiterleitungs- und Veröffentlichungsbefugnisse, die auf europäischer Ebene die ENISA federführend koordiniert.
Spätestens einen Monat nach Übermittlung der Cybersecurity-Meldung ist ein Abschlussbericht mit folgenden Informationen vorzulegen (falls der Vorfall noch andauert, ist der Bericht entsprechend als Fortschrittsbericht zu qualifizieren). Dieser muss die folgenden Punkte umfassen:
- ausführliche Beschreibung des Sicherheitsvorfalls einschließlich seines Schweregrads und seiner Auswirkungen
- Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat
- Angabe zu den getroffenen und laufenden Abhilfemaßnahmen
- falls vorhanden: grenzüberschreitende Auswirkungen des Sicherheitsvorfalls
Im Rahmen der technischen und organisatorischen Maßnahmen zur Cybersicherheit verweist NIS-2 auf die europäischen Schemata für die Cybersicherheits-Zertifizierung nach EU Cybersecurity Act (CSA [5]) sowie auf die einschlägigen europäischen und internationalen Normen und technischen Spezifikationen.
Zuständigkeit, Registrierung und Territorialität
Grundsätzlich gelten Einrichtungen, die in den Anwendungsbereich von NIS-2 fallen, als der Zuständigkeit des Mitgliedstaats unterliegend, in dem sie niedergelassen sind. Die Richtlinie sieht hiervon für verschiedene Anbietertypen eine Reihe von Ausnahmen vor. Bestimmte Diensteanbieter wie Online-Marktplätze, -Suchmaschinen und soziale Netzwerke müssen einen in der EU belegenen Vertreter benennen, soweit sie keine Niederlassung in der Europäischen Union haben, dort jedoch ihre Dienste anbieten.
Bestimmte in den Geltungsbereich von NIS-2 fallende Einrichtungen, so Domain-Name-System-(DNS)-Diensteanbieter, Top-Level-Domain-(TLD)-Namenregister, Domänennamen-Registrierungsdienste, Cloud-Computing-Anbieter, Anbieter von Rechenzentrums-(RZ)-Diensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten (Managed Services), Anbieter von verwalteten Sicherheitsdiensten (MSS) sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke müssen demnach den zuständigen Behörden bis zum 17. Januar 2025 gesetzlich festgelegte Informationen übermitteln. Die ENISA führt über diese Dienste ein Register, das den zuständigen Behörden bedarfsweise zur Verfügung gestellt werden kann.
Neben dieser Datenbank wird auch die anonyme Registrierung von Top-Level-Domänen (TLD) erschwert: Aus Sicherheits-, Stabilitäts- und Resilienzgründen müssen TLD-Namensregistrare und Domänennamen-Registrierungsdienste nun genaue und vollständige Registrierungsdaten im Einklang mit dem EU-Datenschutzrecht erheben. Diese Informationen müssen so erfasst werden, dass der Inhaber der Domäne identifiziert und gegebenenfalls kontaktiert werden kann.
Informationsaustausch
Im Übrigen soll auch unter NIS-2 weiterhin die Möglichkeit zu einem erleichterten freiwilligen Austausch cybersecurityrelevanter Informationen bestehen – dies betrifft vor allem solche Einrichtungen, die nicht unter die Richtlinie fallen. Dabei sollen auch freiwillige Meldungen – über die gesetzliche Verpflichtung hinaus – durch wesentliche oder wichtige Einrichtungen an die zuständigen Behörden beziehungsweise CSIRTs ermöglicht werden.
Aufsicht und Durchsetzung
Erheblichen praktischen Einfluss haben die neuen in NIS-2 postulierten behördlichen Aufsichts- und Durchsetzungsbefugnisse. So haben die Mitgliedstaaten die Ausführung von NIS-2 nicht nur sicherzustellen, sondern diese auch wirksam und risikobasiert zu beaufsichtigen. Sie müssen zudem die Kooperation mit anderen zuständigen Behörden, beispielsweise im Bereich des Datenschutzes, gewährleisten. Im Hinblick auf die Aufsichts- und Durchsetzungsmaßnahmen unterscheidet NIS-2 erneut zwischen wesentlichen und wichtigen Einrichtungen:
- Für „wesentliche“ Einrichtungen müssen die in den Mitgliedstaaten regulierten Aufsichts- und Durchsetzungsmaßnahmen „wirksam, verhältnismäßig und abschreckend“ sein. Hierzu räumt die Richtlinie den zuständigen Behörden umfassende Kompetenzen wie unter anderem Vor-Ort-Kontrollen, Stichprobenüberprüfungen, regelmäßige Sicherheitsprüfungen und Anforderungen des Informations- und Datenzugangs ein. Die Behörden können in Wahrnehmung ihrer Durchsetzungsbefugnisse unter anderem Warnungen publizieren, verbindliche Anweisungen erlassen, Geldbußen verhängen und als Ultima Ratio auch Leitungspersonen der betroffenen Einrichtungen vorübergehend von ihren Aufgaben ausschließen. Ebenso können verantwortliche natürliche Personen für die Einhaltung von NIS-2 haftbar gemacht werden.
- Werden in Bezug auf „wichtige“ Einrichtungen Feststellungen getroffen, dass Vorgaben aus NIS-2 nicht erfüllt sind, werden mitgliedstaatlich zuständige Behörden im Wege nachträglicher Aufsichtsmaßnahmen tätig – auch hier ist die Effektivität dieser Maßnahmen sicherzustellen. Bei wichtigen Einrichtungen sind ebenfalls unter anderem Vor-Ort-Kontrollen, gezielte Sicherheits-Prüfungen und -Scans möglich – entsprechende Informationen und Daten können angefordert werden. Ebenso können auch gegen wichtige Einrichtungen verschiedene Anweisungen ausgesprochen und Sanktionen verhängt werden.
Mit NIS-2 werden in Anlehnung an die DSGVO europäisch vereinheitlichte Bußgeldschwellen für Verstöße bestimmt: Die maximale Geldbuße für „wesentliche“ Einrichtungen beträgt entweder 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für „wichtige“ Unternehmen beträgt die maximale Geldbuße entweder 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Ebenso sieht die Richtlinie generell die Möglichkeit zur Verhängung von Zwangsgeldern vor. Eine Sonderregelung gilt für Einrichtungen der öffentlichen Verwaltung: Hier kann jeder Mitgliedstaat selbst bestimmen, ob eine Bebußung möglich sein soll.
Sollte im Rahmen der Aufsicht oder Durchsetzung von NIS-2 ein möglicher DSGVO-Verstoß der Einrichtungen festgestellt werden, der auch datenschutzrechtlich meldepflichtig ist, so informiert die Cybersecurity-Aufsichtsbehörde die für den Datenschutz zuständige Behörde. Eine Doppelbebußung für denselben Rechtsverstoß sowohl nach Datenschutz- als auch nach IT-Sicherheitsrecht ist jedoch ausgeschlossen.
Fazit und Ausblick
NIS-2 liegt vor und wartet nun auf die Umsetzung durch die Mitgliedstaaten, die bis zum 17. Oktober 2024 stattzufinden hat. Bis zum 17. Oktober 2027 muss die Richtlinie in ihrer Anwendung erstmals überprüft und gegebenenfalls angepasst werden. NIS-1 von 2016 wird mit Wirkung zum 18. Oktober 2024 aufgehoben. Das Impact-Assessment der EU-Kommission zu NIS-2 hat ergeben, dass Einrichtungen, die unter die neue Richtlinie fallen, mit einer Erhöhung ihres Cybersicherheitsbudgets um circa 22 % zu rechnen haben, wohingegen Unternehmen, die bereits Compliance-Maßnahmen aufgrund von NIS-1 haben treffen müssen, lediglich mit einem Kostenanstieg von rund 12 % rechnen müssten.
Wer sich bereits intensiv mit dem deutschen IT-SiG 2.0 beschäftigt hat, wird den neuen europäischen Regelungskatalog zu kritischer Cybersicherheit nur wenig überraschend finden, denn NIS-2 zeichnet sich in erster Linie durch seine erhebliche Ausdehnung des Anwendungsbereichs, durch die europäische Vereinheitlichung und verbesserte EU-weite Vernetzung aus – außerdem wird das Sanktions- und Durchsetzungsregime weiter verschärft. Über viele der Aspekte, die letztlich auch NIS-2 betreffen, wurden hierzulande in den letzten Jahren schon erschöpfende rechtspolitische Debatten geführt: Der politische Ansatz, Cybersecurity-Governance rechtlich möglichst breitenwirksam zu gestalten, ist jedoch sinnvoll und gibt die aktuelle globale Bedrohungslage treffend wieder. Insoweit fügt sich NIS-2 inhaltlich gut in das stetig wachsende EU-Regelungsgefüge zur Cybersicherheit ein und erscheint auf den ersten Blick mit bereichsspezifischen Regelungen gut abgestimmt. Auch den Entwurf des EU Cyber-Resilience-Act (CRA), der für dieses Jahr im finalen Stadium erwartet wird, hat NIS-2 bereits im Blick.
Trotz allem Positiven fällt jedoch auch bei NIS-2 weiterhin auf, dass einem strengen Umgang mit privatwirtschaftlichen Anbietern ein eher zaghafter Ansatz zur Regulierung des öffentlichen Sektors (vgl. S. 27) gegenübersteht – obwohl sich gerade dort in der Vergangenheit regelmäßig erhebliche Schwächen der Cybersicherheits-Praxis gezeigt haben und nach wie vor zeigen. Eine europäisch vereinheitlichte Regulierung zur Cybersecurity, die ein flächendeckendes und hohes Maß an Cybersicherheit gewährleisten will, sieht zumindest unter diesem Gesichtspunkt anders aus.
Dipl.-Jur. Dario Scholz ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht, Haftungsrecht und Recht der Digitalisierung der Universität Augsburg, Doktorand an der Universität Bremen und Gründer von Scholz Consulting. Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).
<h2Literatur
[1] Europäische Union, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
[2] Europäische Union, Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, in: Amtsblatt der Europäischen Union L 333, S. 164, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557
[3] European Union Agency for Cybersecurity (ENISA), European Cyber Crisis Liaison Organisation Network (CyCLONe), www.enisa.europa.eu/topics/incident-response/cyclone
[4] European Commission, NIS Cooperation Group, https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group
[5] Europäische Union, Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), in: Amtsblatt der Europäischen Union L 151, S. 15, Juni 2019, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019R0881