AUTlook:Fokus : NIS2: Die neue Cybersecurity-Richtlinie der EU im Überblick

17.06.2022
Lesezeit: ca. 2 Minuten
Die EU verspricht sich mit ihrer neuen Cybersecurity-Richtlinie NIS2 mehr Resilienz für die gesamte Infrastruktur. Bisher wurde die Industrie von solchen Konzepten weitgehend verschont. Doch nun kommt es anders. Industrieunternehmen, die nicht mitmachen, sollen mit hohen Strafgeldern auf Linie gebracht werden. Ob das funktioniert oder zu einem Fehlschlag verurteilt ist, haben wir uns im AUTlook:Fokus genau angeschaut.

Themenüberblick:

1. Die Ausgangslage: Cybersecurity ist Trumpf
2. Die bisherige Gesetzeslage war unzureichend
3. Der mühsame Verhandlungsweg der Europäischen Union
4. Verhandlungen abgeschlossen: Was kommt auf die Industrie zu?
5. Umsetzung von NIS2 in den EU-Mitgliedsstaaten
6. FAQs: Die wichtigsten Antworten auf Ihre Fragen

Im Mai 2022 war es soweit: Die Verhandlungen zwischen Kommission, Rat und Parlament wurden abgeschlossen, die Gesetzwerdung ist nur noch ein Formalakt. Sobald das Gesetz abgesegnet wird, müssen die EU-Mitgliedsstaaten die Richtlinie national umsetzen. Vor allem in der Industrie sträubt man sich vor den Auflagen, die für den Mittelstand teilweise unüberbrückbare finanzielle Hürden bedeuten könnten. Doch wie es bereits beim Vorgänger der Richtlinie der Fall war, könnte die Richtlinie aufgrund nicht vorhandener Kontrolle zum Rohkrepier werden. Im AUTlook:Fokus erfahren Sie alles, über den aktuellen Stand der Dinge.



Die Ausgangslage: Cybersecurity ist Trumpf


Die Vernetzung in der Industrie hat zwar den Vorteil, dass sie die Produktivität steigert, Qualitätsmängel schneller erkennt und behebt und die Zusammenarbeit zwischen verschiedenen Funktionsbereichen verbessert, sie kann aber auch die potenziellen Schwachstellen einer intelligenten Fertigungsanlage vervielfachen. Es gibt einige Gründe, warum wir vermehrt Cyberangriffe auf Steuersysteme im Fertigungssektor beobachten. Mittlerweile gehören Cyberattacken auf die produzierende Industrie zu den gängigsten - der Trend zeigt klar nach oben.

Erstens hat sich die Absicht hinter Cyberangriffen von einem relativ harmlosen Testen der Cyberabwehr hin zur Gewinnerzielung durch Ransomware verlagert. Ransomware hat sich zu einer ausgereiften Strategie entwickelt und ist ein wirksames Instrument, das Cyberkriminellen große Gewinne bei vergleichsweise geringem Risiko verspricht. Branchenberichten zufolge war Ransomware für 23 Prozent der Cyberangriffe auf Industrieunternehmen verantwortlich. Zweitens ist die Fertigungskette stärker denn je verwoben. Fabrikautomatisierungssysteme steuern heute die Produktion in Echtzeit, planen die Ressourcenzuweisung und diagnostizieren und minimieren Produktionsfehler. Ein anfälliges Ziel also für Attacken.




Die zunehmende Komplexität der Steuerungssysteme und die Zunahme der externen Kontrollmöglichkeiten haben dazu geführt, dass die Fertigung genauso vernetzt ist wie jedes andere IT-System. Gleichzeitig setzt die Integration neuer Produkte und Dienstleistungen in den Fertigungsprozess im Rahmen der Automatisierung diesen Schwachstellen aus, die es Hackern erleichtern, in die Abwehrsysteme einzudringen.


Viele Unternehmen setzen nur symbolische Maßnahmen im Bereich der Cybersicherheit ein und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Systeme. Angesichts der zunehmenden Abhängigkeit von Operationstechnologien und der Tatsache, dass die Instrumente zur Beeinträchtigung der Cybersicherheit immer ausgefeilter werden, müssen automatisierte Produktionseinheiten mit einem hohen Maß an Cybersicherheit ausgerüstet werden.



So schützen sich Unternehmen vor Angriffen:

  • Ähnliche Systeme innerhalb eines Netzwerks gruppieren, um sich nach einer Kompromittierung vor einer Ausbreitung des Angreifers auf benachbarte Systeme zu schützen.

  • Backdoor-Verbindungen zwischen Geräten im Netzwerk entfernen, strenge Perimeter-Zugriffskontrolllisten verwenden und eine Netzwerkzugriffskontrolle (NAC) implementieren, die einzelne mit dem Netzwerk verbundene Geräte authentifiziert.

  • Bei VPNs Deaktivierung aller nicht benötigten Funktionen und strenge Verkehrsfilterregeln implementieren. Zudem werden im Dokument die Algorithmen spezifiziert, die für den Schlüsselaustausch in IPSec-VPN-Konfigurationen verwendet werden sollten.

  • Lokale Administratorkonten sollten mit einem eindeutigen und komplexen Passwort geschützt werden.

* Die US-Behörde National Security Agency (NSA) hat einen Leitfaden für die Sicherung von IT-Netzwerken vor Cyberangriffen veröffentlicht.


Eben diese Diversität in der Abwehr von Cyberattacken, die durch die Coronapandemie und den Ukrainekrieg zum heißen Eisen der europäischen Sicherheitsstrategie geworden sind, will die EU mit der neuen NIS2-Richtlinie eindämmen. Es sollen EU-weite Standards für die Cybersecurity definiert werden, die nun auch die Industrie verpflichtend umsetzen muss. Dadurch soll die gesamte Infrastruktur resilienter werden. So werden Unternehmen nicht mehr vor die Wahl gestellt, sie müssen einen Mindeststandard an Sicherheit erfüllen.

Studie

TÜV Rheinland und Fortinet zeigen, wie Industrieunternehmen ihre OT effektiv schützen können.

Zum Artikel

Die bisherige Gesetzeslage war unzureichend


Im Jahr 2016 legte die EU-Kommission ein neues Cybersicherheitspaket vor, das die zunehmende Dringlichkeit des Cyberschutzes widerspiegeln sollte. Dazu gehörte eine überarbeitete Fassung der Strategie für Cybersicherheit aus dem Jahr 2013, ein Konzept für eine rasche und koordinierte Reaktion auf einen größeren Angriff und für die rasche Umsetzung der Richtlinie über die Sicherheit von Netz- und Informationssystemen. Doch NIS1 war zu unkonkret und die Überwachung der Umsetzung wurde vollkommen ignoriert. Die Richtlinien enthalten auch keine spezifischen Anforderungen an die Offenlegung von Cyberrisiken.

Das Fehlen eines kohärenten internationalen Ordnungsrahmens für die Cybersicherheit beeinträchtigt die Fähigkeit der internationalen Gemeinschaft, auf Cyberangriffe zu reagieren und sie zu begrenzen. Insofern sollte mit NIS2 ein neuer Anlauf versucht werden, um eine europäische Cybersecurity-Strategie durchzusetzen.




Die nun als "NIS2" bezeichnete Gesetzgebung soll die Bedeutung der IKT in den Köpfen von Regierungen, großen Organisationen und nun auch dezidiert Industrieunternehmen verankern. Es zielt darauf ab, die Zusammenarbeit zu verstärken, den Informationsaustausch und die Meldung von Sicherheitsverletzungen zu erleichtern sowie bewährte Verfahren für die Cybersicherheit einzuführen. Bei Nichteinhaltung der Empfehlungen zum Risikomanagement können auch erhebliche Geldstrafen verhängt werden. Letztlich sollen diese Maßnahmen die Cybersicherheitsbemühungen sowohl des privaten als auch des öffentlichen Sektors in der Europäischen Union stärken.

Die Maßnahmen von NIS1:

  • Die Bereitschaft der Mitgliedstaaten auf Cyberattacken, indem sie verpflichtet werden, angemessen ausgerüstet zu sein. Zum Beispiel mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen NIS-Behörde.

  • Die Zusammenarbeit zwischen allen Mitgliedstaaten durch die Einrichtung einer Kooperationsgruppe, die die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten unterstützt und erleichtert.

  • Eine Sicherheitskultur in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und sich stark auf IKT stützen, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitale Infrastruktur.

Der mühsame Verhandlungsweg der Europäischen Union


Im Dezember 2020 veröffentlichte die Europäische Kommission einen Vorschlag zur Aufhebung der aktuellen NIS-Richtlinie und zu ihrer Ersetzung durch eine neue Richtlinie: die sogenannte NIS-2-Richtlinie. Der NIS-2-Vorschlag wurde von der Kommission als Vorzeigeinitiative der gleichzeitig vorgestellten Europäischen Cybersicherheitsstrategie angekündigt. Seitdem ist der Text in die komplexen Korridore der europäischen Gesetzgebung eingedrungen. Wir zeichnen den Hürdenlauf nach:



Die Verhandlungen für NIS2 waren seit 2020 im Gange, der Widerstand der Interessensvertreter aus der Industrie war groß. Der Gesetzesvorschlag sah umfassende Berichtspflichten für die Unternehmen, Strafzahlungen bis zu 10 Millionen Euro und eine größere Verantwortung der Geschäftsführungen sowie der Aufsichtsräte vor.

Im Endspurt wurde dieser Teil des Entwurfes entschärft, womit die Verhandlungen auch abgeschlossen werden konnten. Die neue Vorlage wurde noch nicht veröffentlicht, es sind jedoch einige Informationen über die Änderungen durchgesickert. Mit der überarbeiteten Richtlinie sollen Unterschiede bei den Anforderungen an die Cybersicherheit und bei der Umsetzung von Maßnahmen zwischen verschiedenen Mitgliedsstaaten beseitigt werden. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedsstaaten festgelegt. Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, wird aktualisiert und es werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten.

Die Gesetzwerdung im Überblick

Alle Schritte der Verhandlungen zum Nachlesen

Link folgen

Verhandlungen abgeschlossen: Was kommt auf die Industrie zu?


Der NIS2-Berichterstatter des EU-Parlaments, Bart Groothuis, verlautbarte Mitte Mai 2022, dass im Verhandlungstrilog eine Einigung über die NIS2-Richtlinie erzielt wurde. Laut ersten Informationen wurden die Berichtspflichten für die Unternehmen gelockert. Doch der novellierte Gesetzesentwurf wurde noch immer nicht veröffentlicht. In einer Erklärung hat der Ministerrat bestätigt, dass die "size-cap"-Regeln in dem überarbeiteten NIS2-Text, auf den sich die Verhandlungsführer mit den Abgeordneten vorläufig geeinigt haben, generell beibehalten wurden. Der Ministerrat erläutert jedoch, dass nicht alle mittelgroßen und großen Unternehmen notwendigerweise dem aktualisierten Rahmen unterliegen werden, da der vereinbarte Text "zusätzliche Bestimmungen enthält, um die Verhältnismäßigkeit, ein höheres Maß an Risikomanagement und eindeutige Kritikalitätskriterien für die Bestimmung der erfassten Unternehmen sicherzustellen".




Dem Rat zufolge enthält der aktualisierte NIS2-Entwurf auch "Mindestregeln für einen Rechtsrahmen und legt Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden in jedem Mitgliedstaat fest". Diese Maßnahmen sollen "Unterschiede bei den Cybersicherheitsanforderungen und bei der Umsetzung von Cybersicherheitsmaßnahmen in den verschiedenen Mitgliedstaaten beseitigen", so der Rat.

NIS2 - die wichtigsten Punkte:

  • Unternehmen wird ein Risikomanagementkonzept vorgeschrieben, das eine Mindestliste grundlegender Sicherheitselemente enthält.

  • Klare Bestimmungen über das Verfahren zur Meldung von Vorfällen, den Inhalt der Berichte und die Fristen.

  • Strenge Aufsichtsmaßnahmen für die nationalen Behörden und Durchsetzungsanforderungen.

  • Es ist ein Bußgeld bei Verstößen gegen Sicherungsmaßnahmen vorgesehen.

  • Ausgewählte Unternehmen werden verpflichtet, sich mit Cybersicherheitsrisiken in Lieferketten zu befassen.

Debatte um EU-Richtlinie

NIS 2 sorgt für heftige Kritik seitens der Industrie

Zum Artikel

Umsetzung von NIS2 in den EU-Mitgliedsstaaten


Die Herausforderung der Umsetzung besteht laut EU darin, sicherzustellen, dass der Informationsaustausch nicht nur sinnvoll ist, sondern auch einen vollständigen Überblick über das Gesamtbild ermöglicht. Das Erreichen eines gemeinsamen Verständnisses auf der Grundlage einer akzeptierten Terminologie ist in dieser Hinsicht ein wichtiger Faktor. Die Fähigkeit der EU, im Falle eines groß angelegten, grenzüberschreitenden Vorfalls auf Cyberangriffe zu reagieren, wurde von ihr selbst als "begrenzt" bezeichnet, was zum Teil darauf zurückzuführen ist, dass die Cybersicherheit noch nicht in die bestehenden Mechanismen zur Koordinierung der Krisenreaktion auf EU-Ebene integriert ist. Und das soll NIS2 nun beheben, indem neben kritischer Infrastruktur und politischen Institutionen jetzt auch die Industrie in die Verantwortung genommen werden soll.

Doch die Cybersecurity-Bestrebungen der EU existieren schon lange. Und wie Cybersecurity-Experte Herbert Andert attestiert: "Manche sehr große infrastrukturelle Dienstleister, wie zum Beispiel Krankenhäuser, haben NIS1 bis heute noch nicht umgesetzt. Insofern hege ich Zweifel, ob NIS2 in einer angemessenen Zeit flächendeckend zur Umsetzung kommen wird." Somit ist die Skepsis an der groß angelegten Cybersecurity-Aktion der EU mehr als berechtigt. Eben jene Punkte, die die Umsetzung in den Mitgliedsstaaten sicherstellen würden, waren nicht einmal im Erstentwurf vorgesehen. Wer soll also der Aufpasser sein und der Buhmann, der kleine Unternehmen, die sich diese Investitionen schlicht nicht leisten können, bestraft?

Auch nach mehr als zwei Jahren Diskussion und Verhandlung sind diese immens wichtigen Punkte der NIS2-Reform nicht klar. Intransparenz hat den Verlauf der Verhandlungen stets begleitet - ein schlechtes Vorzeichen für das Endresultat.

NIS2 kommt

Experte befürchtet Gleichgültigkeit in der Industrie

Zum Artikel

NIS2 tritt mit 16. Jänner 2013 in Kraft

Die neue Richtlinie wurde im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen, Ende Dezember wurde die NIS 2-Richtlinie im EU-Amtsblatt veröffentlicht und tritt zum 16.01.2023 in Kraft. Ab dann haben die Mitgliedstaaten 21 Monate zur Umsetzung in nationales Recht. Die erste Stufe der Harmonisierung besteht in einer Ausweitung der betroffenen Sektoren. Durch die Einbeziehung der Postdienste, der Abfallwirtschaft, der chemischen Produktion und des Vertriebs sowie der Agrar- und Ernährungswirtschaft wird sich die Zahl der von der NIS2-Richtlinie erfassten Sektoren von 19 auf 35 erhöhen.

Unterauftragnehmer und Dienstleister mit Zugang zu kritischen Infrastrukturen, die in der ersten Fassung der Richtlinie nicht berücksichtigt wurden, werden ebenfalls der NIS2 unterliegen. Das liegt daran, dass Schwachstellen in der Infrastruktur eines Anbieters die Sicherheit der OES, für die er arbeitet, gefährden könnten. So werden beispielsweise im Energiesektor die Sicherheitsmaßnahmen nicht mehr nur den Stromerzeugern, -transporteuren und -verteilern auferlegt. Auch alle Unterauftragnehmer für kritische Infrastrukturen werden davon betroffen sein. Vor allem Dienstleister und andere Unternehmen, die digitale Dienste anbieten, werden verpflichtet sein, jeden Sicherheitsvorfall innerhalb von 72 Stunden zu melden, um die Ausbreitung des Angriffs einzudämmen. Es ist daher zu erwarten, dass kleine und mittlere Unternehmen schnell einen CISO einstellen werden, um die Sicherheitsanforderungen zu erfüllen und weiterhin mit Großkunden zu arbeiten.

Als "wesentlich" eingestufte Sektoren gelten:

  • Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
  • Gesundheit (Versorger, Labore, F&E, Pharma)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Banken und Finanzmärkte
  • Wasser und Abwasser
  • Digital (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
  • ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung

Die "wichtigen" Sektoren sind:

  • Post und Kurier
  • Abfallwirtschaft
  • Chemie
  • Ernährung
  • Industrie (Technik und Ingenieurwesen)
  • Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, sozialer Netzwerke)
  • Forschung

FAQs: Die wichtigsten Antworten auf Ihre Fragen

Muss die NIS2-Richtlinie bereits umgesetzt werden?

Nein. Die Verhandlungen sind zwar abgeschlossen, aber das EU-Parlament muss den Gesetztesentwurf mit einem Mehrheitsvotum absegnen. Sobald das passiert, haben die EU-Mitgliedsstaaten 21 Monate Zeit, die Richtlinie umzusetzen. Die Umsetzung kann je nach Staat anders ausfallen und unterschiedliche Übergangsfristen vorsehen.

Was passiert, wenn ein Unternehmen die NIS2-Richtlinie nicht einhält?

In den Entwürfen, die verhandelt wurden, ist die Rede von Strafzahlungen von bis 10 Millionen Euro, wenn ein Unternehmen die Richtlinie nicht befolgt. Das kann der Fall sein, wenn Cyberattacken gemäß Vorschrift nicht gemeldet werden oder wenn das Unternehmen durch unzureichende Securitymaßnahmen ein Risiko für die gesamte Infrastruktur bedeuten. Was tatsächlich ausverhandelt wurde, ist noch nicht veröffentlicht worden.

Was sind die Kritikpunkte der Industrie?

Die deutsche Industrie kritisiert unter anderem die Höhe der Strafzahlungen, aber auch dass in Zukunft CEOs bzw. Aufsichtsräte für die Nichtumsetzung zur Verantwortung gezogen werden sollen. Kritikpunkt ist auch, dass öffentliche Stellen von Sanktionen ausgenommen werden sollen.

Wer soll die Umsetzung überwachen?

Die entsprechenden Überwachungsbehörden sind auf Ebene der Mitgliedsstaaten angesiedelt und es gibt auf EU-Ebene keine entsprechenden Stellen. Die Überwachung obliegt also den Mitgliedsstaaten. Ob dafür neue Institutionen geschaffen werden oder die zuständigen Ministerien die Überwachung übernehmen werden, ist derzeit unklar.

Wie sollte man sich auf die kommende Richtlinie vorbereiten?

Es droht ein ähnliches Szenario wie bei der Datenschutzverordnung DSGVO, wo Beratungsunternehmen prosperiert haben. Vor allem im industriellen Mittelstand ist davon auszugehen, dass die Expertise für die Umsetzung der Richtlinie im Haus nicht vorhanden ist und man von externen Beratern abhängig sein wird.

* Dieser Artikel wird ständig aktualisiert und beinhaltet die letzten Informationen über den Verhandlungsstand bzw. die Umsetzung der NIS2-Richtlinie.
Letzte Aktualisierung: 16.1.2023

Erstveröffentlichung
17.06.2022
Letzte Aktualisierung
21.03.2023
Peter Oslak

Entdecken Sie jetzt