EU-Regulierung der Cybersicherheit Forderungen und Kritik zur NIS-2-Richtlinie

Anbieter zum Thema

Aus Sicht der EU-Kommission wird NIS 2 (Richtlinie zur Netz- und Informationssicherheit 2) zu einer Stärkung der EU-weiten Cybersicherheit und Resilienz führen. Doch Wirtschaftsverbände üben Kritik an der geplanten Richtlinie und fordern Anpassungen bei den Meldepflichten. Man brauche ein unbürokratisches Meldewesen bei IT-Sicherheitsvorfällen. Doch ist die Kritik berechtigt?

Die europäische NIS-2-Richtlinie verschärft die Sicherheitsanforderungen an die Unternehmen und befasst sich auch mit der Sicherheit von Lieferketten und den Beziehungen zwischen Anbietern.
Die europäische NIS-2-Richtlinie verschärft die Sicherheitsanforderungen an die Unternehmen und befasst sich auch mit der Sicherheit von Lieferketten und den Beziehungen zwischen Anbietern.
(Bild: finecki - stock.adobe.com )

Die EU-Kommission hat die zwischen dem Europäischen Parlament und den EU-Mitgliedstaaten erzielte politische Einigung auf die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) begrüßt.

Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin, sagte: „Das ist ein weiterer großer Durchbruch bei der Verwirklichung unserer europäischen Digitalstrategie, diesmal, um dafür zu sorgen, dass Bürger und Unternehmen geschützt werden und grundlegenden Diensten vertrauen können.“

Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton fügte hinzu: „Cyberbedrohungen sind größer und komplexer geworden. Damit unsere Bürgerinnen und Bürger und unsere Infrastrukturen geschützt bleiben, müssen wir immer ein paar Schritte voraus sein. In der heutigen Cybersicherheitslage kommt es ganz entscheidend auf die Zusammenarbeit und einen raschen Informationsaustausch an. Die modernisierten Vorschriften zur Sicherung der für unsere Gesellschaft und Wirtschaft kritischen Dienste sind ein weiterer Schritt in diese Richtung.“

Von NIS zu NIS 2

Die bestehenden Vorschriften über die Sicherheit von Netz- und Informationssystemen (NIS) waren der erste EU-weite Rechtsakt auf dem Gebiet der Cybersicherheit. Wegen der zunehmenden Digitalisierung und Vernetzung der Gesellschaft und der steigenden Zahl böswilliger Cyberaktivitäten weltweit ist eine Überarbeitung nötig geworden.

Die NIS-2-Richtlinie soll auch mittlere und große Einrichtungen aus einer größeren Anzahl von Sektoren erfassen, die für die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, darunter Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, die Herstellung kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung.

Die Ausweitung des Anwendungsbereichs der neuen Vorschriften, durch die mehr Einrichtungen und Sektoren dazu verpflichtet werden, Maßnahmen zu ergreifen, soll mittel- und langfristig dazu beitragen, das Cybersicherheitsniveau in Europa zu erhöhen.

Die NIS-2-Richtlinie verschärft die Sicherheitsanforderungen an die Unternehmen und befasst sich auch mit der Sicherheit von Lieferketten und den Beziehungen zwischen Anbietern, so die EU-Kommission. Mit dem Vorschlag sollen die Meldepflichten gestrafft, strengere Aufsichtsmaßnahmen für die nationalen Behörden festgelegt sowie strengere Durchsetzungsvorschriften und eine Harmonisierung der Sanktionsregelungen in den Mitgliedstaaten eingeführt werden. Die Richtlinie soll zu einem größeren Informationsaustausch und einer besseren Zusammenarbeit bei der Bewältigung von Cyberkrisen auf nationaler und EU-Ebene beitragen.

Was NIS 2 konkret verbessern soll

Mit NIS 2 möchte die EU-Kommission folgende Hauptprobleme in der Cybersicherheit angehen: die unzureichende Cyberabwehrfähigkeit von Unternehmen, die in der EU tätig sind, die uneinheitliche Widerstandsfähigkeit in Mitgliedstaaten und Sektoren und ein unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen unter den Mitgliedstaaten und das Fehlen einer gemeinsamen Krisenreaktion.

Betrachtet man konkret die Meldepflichten der Betreiber, die in Artikel 20 von NIS 2 zu finden sind, lassen sich diese so beschreiben (gemäß „Entwurf einer Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – allgemeine Ausrichtung des Rates“):

Wesentliche und wichtige Einrichtungen melden den zuständigen Behörden oder dem CSIRT unverzüglich jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat. Gegebenenfalls unterrichten diese Einrichtungen die Empfänger ihrer Dienste unverzüglich über diese Sicherheitsvorfälle, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten.

Die betreffenden Einrichtungen übermitteln den zuständigen Behörden oder dem CSIRT für die Zwecke der Meldung:

  • a) unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls, eine erste Meldung als Frühwarnung, in der gegebenenfalls angegeben wird, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist;
  • b) auf Ersuchen einer zuständigen Behörde oder eines CSIRT einen Zwischenbericht über relevante Statusaktualisierungen;
  • c) spätestens einen Monat nach Übermittlung der ersten Meldung [...] einen Abschlussbericht, der mindestens Folgendes enthält:
  • 1. eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen;
  • 2. Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die den Sicherheitsvorfall wahrscheinlich ausgelöst hat;
  • 3. Angaben zu den getroffenen und laufenden Abhilfemaßnahmen.

Wirtschaft übt Kritik an dem geplanten Meldewesen

Verbände wie der Digitalverband Bitkom weisen auf Probleme bei der Umsetzung zum Beispiel der Meldepflichten hin. „Flaschenhals für Cybersicherheit bleibt der Fachkräftemangel“, erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Es braucht fachkundiges Personal in den Unternehmen und Behörden, die die Zeit und das Wissen haben, sicherheitssteigernde Maßnahmen vor Ort umzusetzen. Ein zusätzlicher bürokratischer Überbau mit Meldepflichten von nur 24 Stunden ist hierfür kaum zuträglich.“

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Der Verband DIGITALEUROPE sieht ebenfalls Änderungsbedarf zum Beispiel an bei den Meldepflichten.

„Wegen der deutlichen Zunahme schwerwiegender Cyberattacken ist es absolut sinnvoll, die Cyberresilienz europäischer Unternehmen und Einrichtungen zu stärken. Die geplanten Berichts- und Meldepflichten stellen die deutsche Wirtschaft vor einen immensen Bürokratieaufwand. Sie müssen praxistauglicher ausgestaltet sein. Der massive IT-Fachkräftemangel in Deutschland und Europa erschwert die Umsetzung zusätzlich“, so auch Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. „Es braucht ein unbürokratisches Meldewesen. Kommt es zu einem Cyberangriff, müssen sich Unternehmen auf die Behebung konzentrieren und schnellstmöglich wieder zur Produktion zurückkehren können. Das Bundesamt für Sicherheit in der Informationstechnik sollte Meldungen umgehend bearbeiten und Unternehmen tagesaktuell warnen“, so Iris Plöger weiter.

Das Ziel sollten aber Echtzeit-Informationen sein

Zweifellos stellen die erhöhten Anforderungen aus NIS 2, darunter die Meldepflichten, eine große Herausforderung dar, denn bei dem vorherrschenden Fachkräftemangel könnte zum einen die Qualität der Vorfallsmeldungen betroffen sind, zum anderen möchte man im Notfall alle Kräfte auf die Vorfallsreaktion konzentrieren, wie dies auch der BDI sagt.

Allerdings gehört eine Meldung immer auch zur Reaktion auf Sicherheitsvorfälle dazu, nicht nur aus Compliance-Sicht. Zu Recht hatte der Digitalverband Bitkom an anderer Stelle gefordert: „Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann. Dazu müssen wir Echtzeit-Informationen nutzen und EU-weit in einem zentralen Dashboard sammeln – ähnlich dem Corona-Dashboard des Robert-Koch-Instituts. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt werden, können wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.“

Allerdings sind Echtzeit-Informationen zur Bedrohungslage kaum ohne sehr schnelle Meldungen denkbar. Es sollte also weniger darum gehen, die Meldepflicht zu entschärfen als vielmehr darum, die Meldungen so weit wie nur möglich zu automatisieren, so dass Sicherheitsfachkräfte die von einer KI (Künstliche Intelligenz) vorbereitete Meldung im Idealfall nur noch freigeben müssten. Meldepflichten und kurze Meldefristen sind richtig und wichtig, die Umsetzung jedoch muss vereinfacht werden, nicht aber der Inhalt.

(ID:48482588)