InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Die EU will mit ihrer neuen Cyber-Security-Richtlinie NIS 2 mehr Resilienz in die gesamte Infrastruktur bringen. Bisher wurden viele Branchen von solchen Konzepten weitgehend verschont – nun gilt es ernst. Unternehmen, die nicht mitziehen, sollen mit hohen Bussen belegt werden. In diesem Artikel nehmen wir die NIS 2 etwas genauer unter die Lupe und zeigen, weshalb die neue EU-Richtlinie auch für Sie als Schweizer Unternehmen durchaus relevant ist.
Im Mai 2022 einigten sich die EU-Mitgliedstaaten und das EU-Parlament nach langen Verhandlungen auf die NIS-2-Richtlinie (Directive on measures for a high common level of cybersecurity across the Union). Der Anwendungsbereich der Richtlinie wird im Vergleich zur NIS-Richtlinie von 2016 deutlich erweitert. Künftig sollen bereits Unternehmen einbezogen werden, die mehr als 50 Mitarbeitende beschäftigen, einen Jahresumsatz oder eine Jahresbilanz von mehr als 10 Millionen Euro haben und zu einem kritischen oder wichtigen Sektor gehören. Auch die Liste der betroffenen Sektoren soll deutlich erweitert werden. Darüber hinaus soll es neue Verpflichtungen in Bezug auf Risikomanagement und Berichte sowie deutlich höhere Geldbussen geben, die nun etwa halb so hoch sind wie die der DSGVO. Die Mitgliedstaaten haben rund 18 bis 24 Monate Zeit, um die neuen Elemente der Richtlinie in nationales Recht umzusetzen. Somit ist davon auszugehen, dass die neuen umfassenden Regelungen für Cyber-Sicherheit für EU-Unternehmen ab Herbst 2024 gelten.Im Jahr 2016 legte die Europäische Kommission ein neues Cyber-Sicherheitspaket vor, das auf einer überarbeiteten Fassung der Strategie zur Cyber-Sicherheit aus dem Jahr 2013 beruhte. Zentrale Massnahme der Europäischen Cyber-Sicherheits-Strategie bildet dabei die «NIS-Richtlinie» (Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Massnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union). Diese zielt darauf ab, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der EU zu erreichen und ist die erste umfassende EU-weite Gesetzgebung im Bereich Cyber-Sicherheit. Nebst Behörden und Einrichtung von Computer-Notfallteams werden unternehmensseitig Betreiber wesentlicher Dienste und Anbieter digitaler Dienste verpflichtet, IT-Sicherheitsmassnahmen einzuführen und schwerwiegende Störfälle zu melden. NIS 1 war aber zu unkonkret und die Überwachung der Umsetzung wurde gänzlich ignoriert. Die Richtlinie enthielt auch keine spezifischen Anforderungen an die Offenlegung von Cyber-Risiken.
Im Zuge der rasanten Entwicklungen im Bereich der Cyber-Sicherheit zeigten sich bald Schwächen von NIS 1 und die Notwendigkeit die Regelungen an die aktuellen Risken anzupassen. Denn insbesondere die Vernetzung in der Industrie kann die potenziellen Schwachstellen einer intelligenten Fertigungsanlage vervielfachen, und mittlerweile gehören Cyber-Attacken auf die produzierende Industrie zu den gängigsten – der Trend zeigt klar nach oben. Im Dezember 2020 veröffentlichte deshalb die Europäische Kommission einen Vorschlag zur Aufhebung der aktuellen NIS-Richtlinie sowie zur NIS-2-Richtlinie und Mitte Mai 2022 wurden die Verhandlungen über die neue Richtlinie zwischen Kommission, Rat und Parlament abgeschlossen. Ziel war es, einen EU-weiten Standard für die Cyber-Sicherheit zu definieren, welchen auch die Industrie verpflichtend umsetzen muss. Dadurch soll die gesamte Infrastruktur resilienter werden.
NIS 2 ist deutlich umfassender als NIS 1. Unternehmen und Organisationen benötigen insbesondere einen verbesserten Risikomanagementansatz. Dabei müssen auch Lieferketten und Abhängigkeiten von Partnerunternehmen (und dies kann durchaus auch Sie als Schweizer Unternehmen betreffen) betrachtet und inkludiert werden. Die neue Richtlinie umfasst zudem wesentlich mehr Unternehmen und sieht mehr Pflichten sowie strengere Sanktionen vor, um die Cyber-Sicherheit in der EU zu stärken. Die bisherigen acht Sektoren von NIS 1 werden auf die folgenden 16 Sektoren ausgeweitet:
Ausgenommen sind kleine Unternehmen, also Unternehmen, die weniger als 50 Mitarbeitende beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Millionen Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Millionen Euro beläuft. Aber Achtung: Einige Unternehmen fallen unabhängig von ihrer Grösse in den Anwendungsbereich und zwar, wenn ein Unternehmen alleiniger Anbieter eines Services in einem Mitgliedstaat ist, welcher essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist. So werden Unternehmen nicht mehr vor die Wahl gestellt. Sie müssen einen Mindeststandard an Sicherheit erfüllen – wie dies analog auch in der Schweiz anhand des IKT-Minimalstandards für die Betreiber von kritischen Infrastrukturen gilt. Aber gerade für die KMU ist der Kostenfaktor enorm, da die Anforderungen durch die NIS 2 im Verhältnis nahezu dieselben sind wie für Grossunternehmen.
Analog der DSGVO gilt auch bei NIS 2, dass signifikante Sicherheitsvorfälle binnen 24 Stunden Frühwarnung und innerhalb von 72 Stunden eine Einschätzung an die Behörde erfolgen muss. Bei Nichterfüllung drohen Sanktionen bis zu 10 Millionen Euro und 2 Prozent des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Millionen Euro und 1,4 Prozent des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen. Dies ist einer der grössten Kritikpunkte der Industrie; aber auch, dass in Zukunft CEOs bzw. Verwaltungsräte für die Nichtumsetzung zur Verantwortung gezogen werden und öffentliche Stellen von Sanktionen ausgenommen werden sollen.
Damit Sie als CEO oder Verwaltungsratsmitglied gar nicht erst zur Verantwortung gezogen werden können, haben wir Ihnen einen hilfreichen Leitfaden erarbeitet. Er bietet Ihnen eine perfekte Basis für eine unabhängige Selbsteinschätzung Ihrer Cyber-Resilienz.
Die EU NIS-2-Direktive legt für Betreiber Mindestanforderungen an die Cyber-Sicherheit fest. Die nationale Gesetzgebung muss diese Massnahmen anschliessend verpflichtend machen und durch nationale Behörden überwachen. Betreiber in der EU müssen mindestens folgende Cyber-Sicherheitsmassnahmen umsetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen (Art. 17 & Art. 18):
Diese Cyber-Sicherheitsmassnahmen sollen sich an internationalen und europäischen Standards orientieren, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitgliedsstaaten Betreibern dabei die Nutzung von EU-Cyber-Sicherheitszertifizierungen vorschreiben (Art. 21 & Art. 22).
Die neuen Regelungen betreffen das aktive Risikomanagement und die Ausweitung auf weitere Unternehmen, um die Cyber-Sicherheit EU-weit zu verbessern. Diese beiden Bereiche sind aber nicht nur für Unternehmen in der EU relevant, sondern zählen heute zu den Grundpfeilern einer Cyber-Sicherheitsstrategie, wie wir Ihnen auch schon in einem früheren Blogbeitrag aufgezeigt haben. Unternehmen sollten sich schon jetzt aktiv vorbereiten und die entsprechenden Massnahmen in ihrem Unternehmen implementieren. Cyber-Sicherheit ist aber kein reines IT-Thema, sondern betrifft auch OT (Operational Technology). Für die Umsetzung solcher Massnahmen müssen also auch Aspekte aus der Anlagenplanung und Know-how aus der Automatisierung berücksichtigt werden. Die IT-Abteilung eines Unternehmens hat dieses Wissen oftmals nicht und sollte deswegen nicht zusätzlich für die OT-Sicherheit verantwortlich sein. IT und OT sind eng verknüpft, aber beide müssen ihre Perspektive bewahren und kritisch auf den anderen Bereich schauen. Fehlt dieses Know-how aus Engineering und Automation in einem Unternehmen, sollte unbedingt ein externer Partner eingebunden werden. Wir empfehlen Ihnen deshalb rechtzeitig Kontakt mit einem Sicherheitsexperten aufzunehmen.
Sie benötigen Unterstützung? Wir bieten ein breites Portfolio an Risk Management und Compliance Services an, um Sie professionell bei den Herausforderungen aufgrund von NIS 2 zu unterstützen. Nehmen Sie Kontakt mit uns auf – unsere Cyber-Sicherheitsexpert*innen helfen Ihnen gerne.