NIS2: Stand der Dinge
Blogpost von Pieter Byttebier (International Relations Officer - CCB) - am 30. April 2022.
Im Dezember 2020 veröffentlichte die Europäische Kommission einen Vorschlag zur Aufhebung der aktuellen NIS-Richtlinie („Network and Information Systems“, EU-Richtlinie über die Sicherheit von Netzwerken und Informationssystemen) und zu ihrer Ersetzung durch ein neues Regelwerk: die sogenannte NIS-2-Richtlinie. Bei der Vorstellung der Europäischen Strategie für Computer- und Netzsicherheit bezeichneten die Kommissare den NIS-2-Vorschlag als Leitinitiative.
Seitdem befindet sich der Text in den komplexen Korridoren der europäischen Gesetzgebung, und manch einer fragt sich, ob die NIS-2 noch kommen, für wen sie gelten und was genau sie enthalten wird.
Dieser Beitrag gibt einen Überblick über den aktuellen Stand der Verhandlungen über die NIS-2 und beschreibt die Aspekte, die wir bereits über die endgültige Form der kommenden Richtlinie wissen, und die, die wir noch nicht kennen.
NIS-1, NIS-2: Worum genau geht es?
Die aktuelle NIS-1-Richtlinie trat 2016 in Kraft. Es handelte sich damals um den ersten Gesetzestext zur Cybersicherheit auf EU-Ebene, der anschließend in nationales Recht umgesetzt wurde, in Belgien durch das NIS-Gesetz vom 7. April 2019.
NIS-1 verpflichtet die Mitgliedstaaten, nationale Strategien zur Cybersicherheit zu entwickeln und im Rahmen der NIS-Kooperationsgruppe und des CSIRT-Netzes grenzüberschreitend zusammenzuarbeiten. Die Richtlinie verpflichtet die Mitgliedstaaten außerdem, in mindestens sieben Schlüsselsektoren Anbieter wesentlicher Dienstleistungen (OES) zu ermitteln: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser und digitale Infrastrukturen. Diese Akteure müssen ein Mindestmaß an Sicherheitsmaßnahmen ergreifen und größere Vorfälle melden. Auch Anbieter (ab einer bestimmten Größe) wichtiger digitaler Dienste wie Cloud Computing Services, Suchmaschinen und Online-Marktplätze müssen diese Sicherheits- und Meldevorschriften einhalten.
Seit 2016 untersucht die Europäische Kommission die Wirksamkeit dieser Richtlinie. Sie kam dabei zu dem Schluss, dass die NIS-1 zwar viel Positives gebracht hat, ihr Geltungsbereich jedoch zu eingeschränkt ist. In den letzten sechs Jahren haben die Cyberbedrohungen erheblich zugenommen, ebenso wie die Vernetzung und die Abhängigkeit unserer Gesellschaft und Wirtschaft von der Digitaltechnologie. Die Kommission bemängelte außerdem unzureichende Klarheit hinsichtlich des Geltungsbereichs und der Zuständigkeiten, die ineffiziente Umsetzung, eine zu große Diskrepanz zwischen den nationalen Ansätzen im Hinblick auf deren Ausgereiftheit sowie einen generellen Mangel an Informationsaustausch.
Um hier Abhilfe zu schaffen, schlug die Kommission vor, den Geltungsbereich der NIS-1zu erweitern, d. h. mehr Sektoren und Unternehmen in den Geltungsbereich einzubeziehen, die Regeln für die Identifizierung dieser Unternehmen zu harmonisieren (durch die Verwendung einer Größenobergrenze als automatisches und einheitliches Kriterium), die Sicherheitsanforderungen auszuweiten, die Manager und Vorstände stärker einzubeziehen und in die Verantwortung zu nehmen, Sanktionen und Aufsichtsbefugnisse der zuständigen Behörden zu harmonisieren und zu verschärfen, die Meldepflichten für Vorfälle zu verdeutlichen (z. B. Fristen, mitzuteilende Informationen) sowie die Sicherheit der Lieferketten innerhalb der einzelnen Unternehmen und auf europäischer Ebene zu verstärken. Die Kommission schlug außerdem vor, die europäische Zusammenarbeit zu intensivieren, indem die Mandate der NIS Cooperation Group und des CSIRT-Netzwerks gestärkt werden und eine offiziell anerkannte Plattform für die Bewältigung groß angelegter, grenzüberschreitender Cybersicherheitskrisen geschaffen wird. Außerdem wird vorgeschlagen, einen europäischen Rahmen für die koordinierte Offenlegung von Schwachstellen zu schaffen.
Wie sieht es mit dem Vorschlag und dem Zeitplan aus?
Kurz nach der Veröffentlichung des NIS-2-Vorschlags begannen das Europäische Parlament (unter der Leitung des NIS-Berichterstatters und MdEP Bart Groothuis - Renew) und der Europäische Rat (unter der Leitung der Ratspräsidentschaften Portugals (Januar-Juni 2021), Sloweniens (Juli-Dezember 2021) und derzeit Frankreichs (Januar-Juni 2022)) an Änderungen des Textes zu arbeiten, um jeweils eine für sie akzeptable Version der NIS-2 vorzulegen.
Nach zahlreichen internen Verhandlungen führten diese Gespräche zu zwei geänderten Versionen des NIS-2-Vorschlags:
- Der Standpunkt des Parlaments, verabschiedet am 4. November 2021
- Der allgemeine Ansatz des Rates, verabschiedet am 3. Dezember 2021
Zusammen mit dem ursprünglichen Vorschlag der Kommission sind nun drei Versionen der NIS-2 im Umlauf. Es ist jedoch wichtig zu betonen, dass keine von ihnen die endgültige Form der Richtlinie darstellt.
Im Januar 2022 begannen der Rat und das Parlament mit Unterstützung der Kommission die „Triloge“, d. h. technische und politische Verhandlungen, bei denen die Mitgesetzgeber versuchen, eine annehmbare einheitliche Version dieser drei Textversionen zu finden – als Kompromiss, der dann dem Rat und dem Parlament zur endgültigen Verabschiedung vorgelegt werden kann.
Alle Verhandlungsführer sind bestrebt, so schnell wie möglich einen Text zu verabschieden. Die französische Ratspräsidentschaft erklärte, sie wolle bis Anfang Juni 2022 eine politische Einigung erzielen. Unter Berücksichtigung der offiziellen Übersetzungen, des Abstimmungsverfahrens und der Veröffentlichung dürfte die Richtlinie somit im Herbst offiziell veröffentlicht werden.
Die Mitgliedstaaten verfügen daraufhin über 18 bis 24 Monate (die genaue Frist ist noch Gegenstand von Verhandlungen), um die Richtlinie in nationales Recht umzusetzen. Wir können daher mit einem neuen belgischen NIS-Gesetz im Laufe des Jahres 2024 rechnen. Die Verpflichtungen für die belgischen Unternehmen dürften daher realistischerweise Anfang 2025 in Kraft treten – je nachdem, wie das belgische Gesetz ausfallen wird.
Aus diesem Zeitplan können wir zwei Schlüsse ziehen:
- Solange es kein neues belgisches NIS-2-Gesetz gibt, bleiben alle Verpflichtungen aus der NIS-1-Richtlinie in Kraft.
- Sie sollten nicht bis 2025 warten, um in die Cybersicherheit Ihres Unternehmens zu investieren. Cybersicherheit ist keine Pflicht zur Einhaltung von Vorschriften, sondern ein entscheidender Aspekt für den Schutz Ihres Unternehmens. Die NIS-Gesetze sollen uns als Gesellschaft lediglich die Möglichkeit geben, sicherzustellen, dass Unternehmen, die solche Dienstleistungen anbieten, die für unsere Wirtschaft und Lebensweise unverzichtbar sind, ein Mindestmaß an Maßnahmen ergreifen, um ihre Dienstleistungen (und damit auch uns) vor erheblichen Störungen zu schützen.
Wie beurteilten Rat und Parlament die NIS-2?
Insgesamt begrüßten das Parlament und der Rat den NIS-2-Vorschlag, wobei sie in einigen wichtigen Fragen jedoch unterschiedlicher Meinung sind.
Der wichtigste Punkt ist der Geltungsbereich: Das Parlament drängt auf einen breiten und einheitlichen Geltungsbereich, während der Rat sich auf einen risikobasierten, ausgewogenen und differenzierten Ansatz konzentriert, der sowohl die Unternehmen als auch ihre Aufsichtsbehörden einschließt, da er ansonsten eine übermäßige Belastung der Unternehmen und Behörden infolge einer erheblichen Ausweitung des Geltungsbereichs befürchtet. (Das ZCB schätzt, dass sich die Zahl der in den Geltungsbereich der NIS-2 fallenden Unternehmen gegenüber der NIS-1 um das Zwanzig- bis Vierzigfache erhöhen könnte). Beide Mitgesetzgeber haben jedoch auch neue Sektoren in ihre Fassungen aufgenommen. Das Parlament folgte auch dem Wunsch der Kommission, die öffentlichen Verwaltungen einzubeziehen. Der Rat stimmte dem zu, befürwortete aber angesichts von Fragen der nationalen Sicherheit und der unterschiedlichen nationalen Staatsstrukturen besondere Durchführungsbestimmungen.
Der Rat wiederum drängt darauf, dass Vorfälle spätestens innerhalb von 24 Stunden gemeldet werden, das Parlament spricht jedoch von 72 Stunden, es sei denn, die Verfügbarkeit wäre beeinträchtigt: In diesem Fall soll ebenfalls eine Frist von 24 Stunden gelten. Das Parlament möchte außerdem, dass die Länder einheitliche Meldeplattformen einrichten, die auch solche Meldungen abdecken, die sich aus anderen Gesetzen (wie der DSGVO) herleiten, während der Rat dies lediglich dem Ermessen der Mitgliedstaaten überlassen möchte.
Um die NIS-2 zukunftssicher zu gestalten, soll die Kommission auch die Befugnis erhalten, zu einem späteren Zeitpunkt spezifische oder harmonisierte Regeln zu Themen wie detaillierte Sicherheitsmaßnahmen oder die Meldung von Vorfällen zu erlassen. Rat und Parlament äußerten sich unterschiedlich über den Umfang der Befugnisse der Kommission und darüber, ob es sich um „delegierte Rechtsakte“ oder „Durchführungsrechtsakte“ „Durchführungsrechtsakte“ soll (ein erheblicher verfahrenstechnischer Unterschied, folgen Sie dem Link für weitere Details).
Der Rat zeigte sich gleichfalls nicht mit dem vorgeschlagenen System der Peer Reviews einverstanden und zog es vor, dass die Länder voneinander lernen, anstatt sich gegenseitig zu inspizieren, wie es die Kommission und das Parlament wünschen.
Dieser letzte Aspekt berührt einen zentralen politischen Punkt, der vielen anderen Differenzen zugrunde liegt: Cybersicherheit ist, wie alle anderen Sicherheitsbereiche auch, im Wesentlichen immer noch eine nationale Angelegenheit. Dennoch ist Europa für den Binnenmarkt zuständig, dessen Funktionieren wiederum von der Cybersicherheit abhängig ist. Welches Gleichgewicht werden die Mitgesetzgeber finden?
Welche Schlüsselaspekte kennen wir bereits?
Lassen Sie uns nun näher auf einige technische Details der drei Texte eingehen und einige Schlüsselaspekte identifizieren, über die sich das Parlament und der Rat bereits einig bzw. noch nicht einig sind.
Haftungsausschluss, bevor Sie beginnen: Nichts ist sicher, solange der endgültige Text nicht verabschiedet und veröffentlicht ist. Die folgenden Erläuterungen stellen keine verbindlichen Leitlinien dar, sondern vermitteln lediglich einen persönlichen Einblick über solche Annahmen, die wahrscheinlich zur Umsetzung gelangen. Erst der endgültige Text wird die tatsächlichen Verpflichtungen darlegen.
1. Gilt NIS-2 auch für Sie?
Das Parlament und der Rat sind sich mehr oder weniger über diejenigen Sektoren einig, die in die NIS-2 aufgenommen werden sollen. Abgesehen von Diskussionen über vorgeschlagene zusätzliche Sektoren wie Forschungseinrichtungen, Schnellladestationen und Managed (Security) Service Provider oder den Debatten über den spezifischen Sektor der öffentlichen Verwaltung steht fest, dass die folgenden Sektoren einbezogen werden: Energie (Strom, Öl, Gas, Fernwärme und Wasserstoff), Verkehr (Luft, Schiene, Wasser und Straße), Banken, Finanzmarktinfrastrukturen, Gesundheitswesen (einschließlich Labors und Forschungsstätten zu Arzneimitteln und Medizinprodukten), Trinkwasser, Abwasser (aber nur, wenn es sich um eine Haupttätigkeit handelt), digitale Infrastrukturen (Telekommunikation, DNS, TLD, Datenzentren, Vertrauensdienste, Cloud-Dienste), digitale Dienste (Suchmaschinen, Online-Marktplätze, soziale Netzwerke), Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemikalien (Herstellung und Vertrieb), Nahrungsmittel (Herstellung, Verarbeitung und Vertrieb) und verarbeitendes Gewerbe (insbesondere, aber nicht ausschließlich, Medizintechnik, IT-Technologie und Transport). Eine detaillierte Liste dieser vorgesehenen Sektoren sowie der Art der betroffenen Akteure finden Sie in den Anhängen zu jedem der drei Vorschläge, die Sie über die obigen Links aufrufen können.
Ein Unternehmen, das in einem dieser Sektoren tätig ist und (in den letzten beiden Geschäftsjahren) mehr als 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von mehr als 10 Millionen Euro erwirtschaftet hat (d. h. große oder mittelgroße Unternehmen), muss die Vorschriften der Richtlinie einhalten.
Genauer gesagt müssen die Unternehmen die Vorschriften der Mitgliedstaaten einhalten, in denen sie eine Niederlassung haben. Für bestimmte digitale Sektoren wird jedoch ein System mit einer einzigen Anlaufstelle eingeführt: Die Unternehmen unterliegen dann nur den Vorschriften desjenigen Landes, in dem sie ihre „Hauptniederlassung“ haben (dieses Land kann jedoch andere Mitgliedstaaten bitten, ihm bei der Aufsicht in seinem eigenen Hoheitsgebiet behilflich zu sein). Die Europäische Agentur für Cybersicherheit (ENISA) wird außerdem ein Register dieser zentralen Anlaufstellen führen, um so blinde Flecken zu vermeiden.
Dies sind die Grundzüge, wobei einige Details und Ausnahmen die Situation verkomplizieren dürften. In spezifischen (Teil-)Sektoren, insbesondere bei der digitalen Infrastruktur, wird die Größe beispielsweise keine Rolle spielen, so dass alle Unternehmen dieses Sektors betroffen sein werden. Die Mitgliedstaaten können auch Unternehmen unabhängig von ihrer Größe als relevant einordnen, falls diese als kritisch für gesellschaftliche oder wirtschaftliche Funktionen angesehen werden.
In Anbetracht dieser Komplexität und der sehr großen Zahl der zu erwartenden neu hinzukommenden Unternehmen schlagen die europäischen Mitgesetzgeber vor, dass die Mitgliedstaaten eine Auflistung der betroffenen Unternehmen erstellen, z. B. über eine nationale Plattform für die Selbstregistrierung, in der alle grundlegenden Informationen bereitgestellt werden müssen.
Die Debatte bleibt jedoch noch offen, in welche Kategorien die Unternehmen eingeordnet werden sollen: wesentliche Unternehmen oder wichtige Unternehmen. Der Unterschied würde vor allem darin bestehen, dass wesentliche Unternehmen strenger kontrolliert und mit härteren Strafen belegt werden könnten. Die Kommission und das Parlament wollen diese Kategorien nach Sektoren unterteilen: Alle Unternehmen, die in den in Anhang I aufgeführten Sektoren tätig sind, gälten als wesentlich; Unternehmen, die in den in Anhang II genannten Sektoren tätig sind, gälten als wichtig. Der Rat hingegen möchte auch innerhalb der Sektoren eine proportionale Unterscheidung einführen. Für ihn gälten nur große Unternehmen (also mit mehr als 250 Beschäftigten bzw. 50 Millionen Euro Jahresumsatz) der Sektoren in Anhang I als wesentliche Unternehmen. Die mittelgroßen Unternehmen in Anhang I sowie alle Unternehmen aus Anhang II gälten als wichtig. Bestimmte digitale Sektoren wären unabhängig von ihrer Größe stets wesentlich, wobei die Mitgliedstaaten jederzeit die Möglichkeit hätten, bestimmte Unternehmen der höheren Kategorie zuzuweisen.
2. Was ist, wenn für meinen Sektor auch andere Rechtsvorschriften gelten?
Alle Parteien möchten, dass die NIS-2 eine grundlegende Gesetzgebung darstellt. Sollten strengere Rechtsvorschriften als das NIS-2-Gesetz zu Fragen der Cybersicherheit erlassen werden, z. B. innerhalb eines bestimmten Sektors, dann hätten diese Vorschriften zwar Vorrang, jedoch nur für diejenigen Aspekte, bei denen sie tatsächlich strenger ausfallen, und nur für ihren eigenen Geltungsbereich. Dies wird zum Beispiel bei der DORA-Verordnung für den Finanzsektor der Fall sein. Die Kommission wird auf solche Bereiche hinweisen, in denen eine strengere Gesetzgebung erforderlich ist, wobei die Behörden zur Kooperation verpflichtet sind. Wenn es keine sektorspezifischen Gesetze zur Cybersicherheit gibt, wird das umfangreiche Regelwerk von NIS-2 als Grundregel herangezogen.
Darüber hinaus werden einige Bestimmungen zur Cybersicherheit, die den Telekommunikationssektor und Vertrauensdienste betreffen und derzeit vom Telekommunikationsgesetz und der eIDAS-Verordnung abgedeckt werden, in den NIS-Rahmen integriert.
Wenn ein Unternehmen auch gemäß der neuen Richtlinie über kritische Infrastrukturen (CER, mit Schwerpunkt auf der Nicht-Cyber-Sicherheit) als kritisch identifiziert wird, fällt es automatisch in den Geltungsbereich der NIS-2 für Cybersicherheit.
3. Welche Maßnahmen werden die Unternehmen ergreifen müssen?
Alle Unternehmen müssen Risikoanalysen über das Potenzial und die Auswirkungen von Vorkommnissen durchführen und daran anschließend organisatorische und technische Maßnahmen treffen, die diesem Risiko angemessen sind.
Die NIS-2-Richtlinie wird lediglich festlegen (vgl. Artikel 18), dass die Unternehmen über Pläne für das Störfallmanagement, die Geschäftskontinuität und das Krisenmanagement, über Strategien und Verfahren zur Bewertung der Wirksamkeit dieser Maßnahmen sowie über Strategien für den Einsatz von Kryptografie, die Sicherheit der Humanressourcen, die Nutzung geeigneter Authentifizierungsverfahren und die Sicherheit der Lieferkette verfügen müssen.
Entscheidend ist auch, dass die Unternehmensleitung all diesen Maßnahmen ausdrücklich zustimmen und an einer grundlegenden Ausbildung in Sachen Cybersicherheit teilnehmen muss.
Sobald der endgültige Text vorliegt, müssen die Mitgliedstaaten, spezifische Leitlinien oder Regeln für detailliertere Standards vorgeben. Derzeit dauern die Diskussionen zwischen dem Parlament und dem Rat darüber an, was die Verhältnismäßigkeit der Maßnahmen in der Praxis betrifft.
Die Europäische Kommission könnte auch ermächtigt werden, spezifische Leitlinien zu diesen Maßnahmen zu erlassen, zumindest für bestimmte digitale Sektoren, obwohl, wie bereits erwähnt, der Umfang dieser Befugnisse noch diskutiert wird.
Die Kommission und die Mitgliedstaaten können auch koordinierte Bewertungen der Risiken zu bestimmten Produkten oder Dienstleistungen vornehmen.
In Anlehnung an die bereits bestehenden Möglichkeiten im Rahmen des Cybersicherheitsgesetzes können die Mitgliedstaaten und die EU darüber hinaus bestimmten Sektoren eine spezifische Zertifizierung bestimmter Produkte, Dienstleistungen oder Verfahren vorschreiben, um so die Einhaltung der NIS-2-Standards nachzuweisen bzw. zu gewährleisten. Bislang wurden jedoch noch keine EU-Zertifizierungsverfahren vollständig eingeführt, so dass sie auch noch nicht verbindlich vorgeschrieben werden können. Drei Systeme sind in Vorbereitung: Gemeinsame Kriterien (Produkte), Cloud Computing und 5G. Bevor diese freiwilligen Systeme verbindlich vorgeschrieben werden, wird es umfangreiche Konsultationen der Interessengruppen und der Mitgliedstaaten zu den möglichen Auswirkungen, Fristen, Kosten und den bestehenden Alternativen zu einer obligatorischen Zertifizierung geben.
Darüber hinaus werden die Unternehmen dazu verpflichtet, erhebliche Cybersicherheitsvorfälle zu melden (nicht jedoch Bedrohungen, wie ursprünglich von der Kommission vorgeschlagen). Die Schwellenwerte für einen „erheblichen Vorfall“ wurden (noch) nicht definiert. Es ist jedoch unstrittig, dass die Unternehmen Vorfälle so schnell wie möglich melden und dann einen umfangreicheren Bericht nachreichen müssen, gefolgt von einem Abschlussbericht, entweder einen Monat nach dem Vorfall oder nach dessen Beendigung.
4. Welche Sanktionen sind zu erwarten?
Die Mitgliedstaaten müssen die zuständigen Behörden benennen und diese ermächtigen, Inspektionen durchzuführen, (gezielte) Audits oder Sicherheitsanalysen zu verlangen sowie Informationen anzufordern, um sicherzustellen, dass die Unternehmen ihren Verpflichtungen vollumfänglich nachkommen. Wesentliche Unternehmen werden einer strengeren Aufsicht unterworfen sein (einschließlich der Möglichkeit, regelmäßige Audits durchzuführen oder Nachweise über die Umsetzung der Auflagen zu verlangen).
Die Behörden sollten auch befugt sein, Verwarnungen und verbindliche Anweisungen auszusprechen. Falls die Unternehmen dem nicht nachkommen, sollten die Behörden die Möglichkeit erhalten, Fristen zu setzen, Zertifizierungen zu widerrufen und Bußgelder bzw. Strafgelder zu verhängen. Diese Bußgelder sollten jedoch stets abschreckend, wirksam und verhältnismäßig sein. Die Mitgliedstaaten sollen den Höchstbetrag der Bußgelder festlegen, doch das Parlament und der Rat sind sich immer noch nicht über den genauen Betrag einig. Es wird sich in jedem Fall um einen Höchstbetrag von zwei Millionen Euro oder ein Prozent des weltweiten Umsatzes handeln. Die Mitgesetzgeber waren sich jedoch darüber einig, dass es den Behörden nicht erlaubt sein sollte, öffentliche Erklärungen abzugeben, in denen die für den Verstoß gegen die Auflagen verantwortlichen Personen namentlich benannt werden.
Alle Einzelheiten zu diesen Bestimmungen finden Sie in den Artikeln 28 bis 34.
Fazit: Die NIS-2-Richtlinie ist auf gutem Wege und in den nächsten zwei Wochen werden zahlreiche Entscheidungen über die europäische Grundstruktur getroffen werden. Es wird dann an den Mitgliedstaaten liegen, die Verpflichtungen zu konkretisieren bzw., falls von ihnen gewünscht, darüber hinauszugehen. Ziel ist es, auf der NIS-1-Richtlinie aufzubauen und die in den letzten drei Jahren erarbeiteten Grundlagen zu erweitern. Bis dahin sollten Sie ruhig schon damit beginnen, die grundlegenden oder erweiterten Maßnahmen zu Cybersicherheit Ihrer Organisation zu verbessern. Keine dieser Bemühungen wird vergebliche Liebesmüh sein.