Mit der Richtlinie NIS 2 will die Europäische Union ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedsländern gewährleisten. Die EU-Staaten müssen die Direktive bis Mitte Oktober 2024 umsetzen. Dieser Praxisleitfaden hilft betroffenen Unternehmen bei der Vorbereitung und Durchführung der geforderten Maßnahmen.
Inhalt:
Im Dezember 2020 hat die Europäische Union eine neue Cybersicherheitsstrategie vorgestellt. Sie soll die Abwehrfähigkeit Europas gegen Cyberbedrohungen stärken und dazu beitragen, dass alle Bürger und Unternehmen in der EU vertrauenswürdige und zuverlässige digitale Dienste und Tools nutzen können.
Im Zuge dieser Strategie legte die Kommission auch Vorschläge zur Überarbeitung der Richtlinie „Network and Information Security (NIS) vor. NIS 2 soll unter anderem ein breiteres Spektrum an Sektoren abdecken, das Cybersicherheitsniveau in Europa vereinheitlichen und einen risikobasierten Ansatz zur Abwehr und Bekämpfung von Cyberangriffen etablieren. Im Januar 2023 ist NIS 2 in Kraft getreten. Die Richtlinie muss bis Mitte Oktober 2024 in nationales Recht umgesetzt werden.
Doch was bedeutet das für betroffene Unternehmen in der Praxis? Wie können sie sich effektiv auf die Umsetzung der Vorgaben vorbereiten? Antworten gibt der vorliegende Leitfaden. Er wurde von Prof. Dr. Dennis-Kenji Kipker verfasst, der als Professor für IT-Sicherheitsrecht an der Universität Bremen lehrt.
Er zeigt Ihnen unter anderem:
- Wie Sie NIS 2 von anderen Rechtsakten wie dem Cyber Resilience Act (CRA) abgrenzen.
- Was der geforderte „Stand der Technik“ bedeutet.
- Wie Sie die „Angemessenheit“ von Maßnahmen bestimmen.
- Warum NIS 2 auch physische Sicherheitsmaßnahmen wie Zugangskontrollen verlangt.
Originalauszug aus dem Dokument:
Maßnahmen zur Cybersicherheit müssen verhältnismäßig und wirtschaftlich sein – auch NIS2 verlangt keine „Cybersecurity um jeden Preis“ und damit keine unverhältnismäßige finanzielle und administrative Belastung für betroffene Einrichtungen. Generell gilt jedoch, dass ein Cybersicherheitsniveau zu realisieren ist, das dem bestehenden Risiko angemessen ist. Bei der Bewertung dieser Verhältnismäßigkeit sind nachfolgende Eigenschaften gebührend zu berücksichtigen:
• Ausmaß der Risikoexposition der Einrichtung
• Größe der Einrichtung
• Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen
• Schwere der Sicherheitsvorfälle einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen (beispielsweise auch im Hinblick auf die Versorgungssicherheit)
• Technischer Standard und Umsetzungskosten
Die Angemessenheitsbeurteilung setzt somit eine sorgfältige Analyse von Komponenten, Systemen und Prozessen sowie den damit verbundenen Risiken voraus. Aus der durchgeführten Analyse können sodann entsprechende Maßnahmen zur Mitigation abgeleitet werden. Anhand dieser Kriterien zur Risikoanalyse wird aber ebenso deutlich, dass es keinen einheitlichen Maßstab zur Risikoabwägung gibt, sondern die Risiken in erheblichem Maße auch von den Sektoren und Branchen abhängig sein können, in denen eine Einrichtung bzw. ein Unternehmen tätig ist bzw. ob es gesellschaftskritische Dienste erbringt.