Der Europäische Rat hat die Rechtsvorschriften zur Sicherung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union angenommen, und das Ganze wurde als Richtlinie am 27. Dezember im Amtsblatt der EU veröffentlicht. Die Richtlinie NIS-2 soll die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter zu verbessern. NIS 2 wird die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren bilden, die unter die Richtlinie fallen.
Das BSI weist hier darauf hin, dass die NIS-2-Richtlinie am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht wurde. Das Kürzel NIS steht für Netz- und Informationssicherheit. Die Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. Die Richtlinie mit NIS 2 ersetzt die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie).
NIS 2 bildet künftig die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Während nach der alten NIS-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der neuen NIS 2-Richtlinie ein Schwellenwert für die Größe eingeführt, der als allgemeine Regel für die Ermittlung beaufsichtigter Einrichtungen dient. Das bedeutet, dass alle mittleren und großen Einrichtungen, die in den von der Richtlinie erfassten Sektoren tätig sind oder unter die Richtlinie fallende Dienste erbringen, in den Anwendungsbereich der Richtlinie fallen.
heise hat es hier in Zahlen ausgedrückt: Betriebe mit über 250 Mitarbeitern und über zehn Millionen Euro Jahresumsatz aus den genannten Bereichen fallen dann unter die NIS-2-Richtlinie. Betroffen sind dann laut heise nicht nur KRITS-Unternehmen, sondern auch Anbieter öffentlicher elektronischer Kommunikationsservices und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte wie medizinischer Geräte, Maschinen und Kfz, Post- und Kurierdienste sowie die öffentliche Verwaltung auf zentraler und regionaler Ebene ein. In der EU betrifft dies geschätzt 160.000 Einrichtungen, während es in Deutschland ca. 20.000 Betriebe und Einrichtungen sein könnten. Auf betroffene Unternehmen und Einrichtungen kommen dann neue Verpflichtungen zu.
- Es müssen künftig gemeinsame Cybersicherheitsstandards etwa für Audits, Risikoabschätzungen, das zeitnahe Einspielen von Updates und Zertifizierungen beachtet werden.
- Zuständige Behörden sind innerhalb von 24 Stunden zunächst grob über Cybersicherheitsvorfälle zu informieren. Innerhalb von drei Tagen muss ein ausführlicher Bericht mit Details folgen.
Relevant ist wohl die Aussage, dass Führungskräfte künftig für Verstöße haften, wenn essentielle Risikoabwägungen nicht getroffen, vernachlässigt oder ignoriert wurden. heise weist hier auch darauf hin, dass mit der Richtlinie auch eine Pflicht zur Identifizierung von Domain-Inhabern kommt. Anonyme Webseiten, auf denen beispielsweise Leaks veröffentlicht werden könnten, gehören dann der Vergangenheit an. Das Ganze muss bis 17. Oktober 2024 in ein nationales Gesetz umgesetzt werden. Die Bundesregierung ist laut diesem heise-Artikel von Anfang Dezember 2022 an einem Kritis-Dachgesetz dran.
[…]
Anonyme Webseiten, auf denen beispielsweise Leaks veröffentlicht werden könnten, gehören dann der Vergangenheit an.
[…]
Den Punkt finde ich interessant und erachte ihn als nicht wirklich zielführend. Warum sollte man nicht annonym auf einen Leak hinweisen dürfen? Das schützt einen in gewissenmaßen auch und andere wären informiert.