In einer Zeit, in der viele EU-Gesetze und -Vorschriften oft kontrovers diskutiert werden, finden bestimmte Richtlinien breite Zustimmung. Während einige Regelungen der Europäischen Union – wie beispielsweise die Vorschriften zur Krümmung von Bananen oder die Lautstärke von Dudelsäcken – fragwürdig erscheinen mögen, hat die EU in den Bereichen Datenschutz und Cybersicherheit Standards gesetzt. Die Datenschutz-Grundverordnung (DSGVO) setzte neue Massstäbe für den Schutz personenbezogener Daten und stärkte die Rechte von Verbrauchern. Die jüngste Aktualisierung der «Netzwerk- und Informationssicherheit»-Richtlinie (NIS2) schickt sich an, Unternehmen der EU zu einer robusten Cyberabwehr zu verpflichten.
Was ist NIS2?
Vor dem Hintergrund der fortschreitenden Digitalisierung und der sich verschärfenden Bedrohungslage wurde durch die Europäische Kommission der massive Bedarf erkannt, die Mindeststandards für technische und organisatorische Massnahmen zum Schutz vor Cyberbedrohungen anzupassen. Ebenso soll die Anzahl der von der Regulierung erfassten Unternehmen deutlich ausgeweitet werden. Durch Harmonisierung und Standardisierung möchte die EU die grenzüberschreitende Zusammenarbeit der für die Cyberabwehr zuständigen Institutionen in den Mitgliedsstaaten deutlich optimieren. Im Dezember 2022 veröffentlicht und seit Januar 2023 in Kraft, sind dies die Kernziele der neuen EU-NIS2-Richtlinie. Bis zum 17. Oktober 2024 muss die EU-NIS2-Richtlinie in allen 27 Mitgliedsländern der EU in nationales Recht umgesetzt sein. Schätzungsweise beläuft sich die Zahl der neuen, rechenschaftspflichtigen Adressaten auf 100’000 Einrichtungen.
Grenzübergreifende Cybersicherheit
Mit den einheitlichen Mindestanforderungen und Standards soll das Cybersicherheitsniveau in der Europäischen Union und damit die Resilienz von Wirtschaft, Staat und Verwaltung deutlich verbessert werden. Ausserdem wird eine Harmonisierung und Verbesserung der Zusammenarbeit über nationalstaatliche Grenzen hinweg angestrebt. Neben den betroffenen Unternehmen, die die Compliance-Anforderungen der NIS2-Richtlinie erfüllen müssen, ist also auch der Staat gefordert, die entsprechenden Institutionellen Ressourcen und Strukturen zu schaffen und NIS2-relevante Zuständigkeiten klar zu regeln. Nicht viel Zeit für Staat und Unternehmen, alle Anforderungen fristgemäss anzupassen.
Was kommt mit NIS2 auf Staat und Wirtschaft zu?
Um dem erhöhten Bedarf nach Cybersicherheit in einzelnen, von der KRITIS-Regulierung (Vorgaben für kritische Infrastrukturen) bislang nicht betroffenen Unternehmen gerecht werden zu können, wurde ein neuer Ansatz gewählt. Nicht mehr Schwellenwerte entscheiden darüber, ob ein Unternehmen oder eine Organisation in einem der regulierten Sektoren betroffen ist, sondern die Unternehmensgrösse oder der bilanzierte Umsatz beziehungsweise Ertrag. Die Mindestanforderungen und Standards der nationalen NIS2-Umsetzung gelten auch für Unternehmen aus bestimmte Lieferketten: Experten sprechen von einer indirekten Betroffenheit für Lieferanten und Dienstleister.
NIS2 gilt also nicht mehr ausschliesslich für klassische Betreiber kritischer Infrastrukturen, sondern wird zu einer allgemeinen Compliance-Anforderung für die europäische Wirtschaft in nunmehr 18 regulierten Sektoren. Die Richtlinie definiert elf Sektoren der Wirtschaft mit besonders hohem Gefährdungspotential («Essential Entities») und weitere sieben in den «Important Entities» (siehe Tabelle unten).
Unterschiede zwischen Essential und Important Entities ergeben sich im Bereich der staatlichen Aufsicht, der Sanktionen und der umzusetzenden technischen und organisatorischen Massnahmen. Welche Massnahmen konkret für die betroffenen Unternehmen umzusetzen sind, hängt wiederum von der Einordnung in die Gruppe der Essential oder der Important Entities und von der jeweiligen Unternehmensgrösse ab.
Innerhalb der regulierten Sektoren werden Unternehmen anhand ihrer Unternehmensgrösse oder ihres Jahresumsatzes von den regulatorischen Massnahmen betroffen sein. Hier unterscheidet NIS2 zwischen mittleren Unternehmen, ab einer Grösse von 50 Beschäftigten oder zehn Millionen Euro Jahresumsatz, und grossen Unternehmen, ab einer Beschäftigtenzahl von 250 oder 50 Millionen Euro Jahresumsatz. Darüber hinaus werden die Mitgliedstaaten in ihren nationalen Umsetzungsgesetzen die Möglichkeit nutzen, in den regulierten Sektoren Unternehmen unabhängig von Unternehmensgrösse und Umsatz anhand weiterer qualifizierender Faktoren unter die NIS2-Regulierung zu stellen. Das Thema der Unternehmen im besonderen öffentlichen Interesse wird damit neu geregelt.
Ähnlich wie bei der Datenschutzgrundverordnung sehen auch die NIS2-Richtlinie und deren nationale Umsetzung einen konkreten Sanktionskatalog bei Nicht-Compliance für die betroffenen Unternehmen vor. Neben den für Unternehmen vorgesehenen Bestrafungen sieht die NIS2 auch Bussgelder und Sanktionen für die Leitungsorgane der Betreiber im Falle von Verstössen vor. Die Pflichten für die verantwortlichen Manager in den regulierten Unternehmen und Organisationen machen deutlich: «Security ist Chefsache!» und das mit allen Konsequenzen für Firmenlenker, die ihre Verantwortung bezogen auf die Umsetzung der NIS2-Anforderungen nicht ernst genug nehmen.
Einstufung von Branchen nach der NIS2-Richtlinie
Essential Entities | Important Entities
|
Energie | Post- und Kurierdienste |
Verkehr und Transport | Abfallwirtschaft |
Bankwesen |
Produktion, Herstellung und Handel mit chemischen Stoffen |
Gesundheitswesen | Verarbeitendes Gewerbe/Herstellung von Waren |
Trinkwasser | Anbieter digitaler Dienste |
Abwasser | Forschungseinrichtungen |
Digitale Infrastruktur | |
ICT Service Management (MSP) | |
Öffentliche Verwaltung | |
Weltraum | |
Stand der Technik spielt auch hier grosse Rolle
Wie entscheidend die Absicherung der IT-Infrastruktur und vertraulicher Informationen geworden ist, beweist der digitale Dauerbeschuss auf Organisationen beliebiger Grösse. Astronomisch gestiegene Sicherheitslecks und Datenpannen zwangen die EU schon beim Thema Datenschutzrecht zum Handeln: Die DSGVO sollte häufige «Fehler im System» wie mangelnde Sicherheitsvorkehrungen oder die Wahrnehmung von Datenschutz als lästiges Übel stärker eindämmen.
Hier spielte ein Begriff eine tragende Rolle, der sich auch in der NIS2-Richtlinie wiederfindet: Stand der Technik. Die NIS-2-Richtlinie regelt in Art. 21 ausdrücklich, dass die betroffenen Unternehmen und Organisationen unter Berücksichtigung des Stands der Technik geeignete und angemessene technische, organisatorische sowie operative Massnahmen vornehmen müssen, um Cybersicherheitsrisiken zu beherrschen und Folgen von Sicherheitsvorfällen zu verhindern. Konkret sieht NIS2 eine Vielzahl von Mindestvorkehrungen vor. Hierzu zählen:
- Policies: Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
- Business Continuity: BCM mit Backup Management, DR, Krisen-Management
- Supply Chain: Sicherheit in der Lieferkette – bis zur sicheren Entwicklung bei Zulieferern
- Einkauf: Sicherheit in der Beschaffung von IT- und Netzwerksystemen
- Effektivität: Vorgaben zur Messung von Cyber- und Risikomassnahmen
- Training: Cybersecurity-Hygiene
- Kryptographie: Vorgaben für Kryptographie und Verschlüsselung
- Personal: HR-Security
- Zugangskontrolle
- Asset Management (ISMS)
- Authentication: Einsatz von Multi Factor Authentisierung und SSO
- Kommunikation: Einsatz sicherer Kommunikationslösungen
Was heisst Stand der Technik genau?
Auf den ersten Blick erscheint der Begriff «Stand der Technik» absolut verständlich. Kunden verwenden ihn oft als Synonym für den aktuellen Entwicklungsstand von Technologien und Dienstleistungen. Doch je nach Branche und Anwendungsbereich kann diese Definition unterschiedlich ausfallen. Insbesondere in der sensiblen IT-Sicherheitsbranche gehört mehr dazu, als nur die Bedürfnisse und Anforderungen der Verbraucher zu erfüllen. Denn der Stand der Technik wird bereits vielfach in Vorschriften, Gesetzen – wie das Informationssicherheitsgesetz (Schweiz), das Netz- und Informationssystemsicherheitsgesetz (Österreich) oder das BSI-Gesetz (Deutschland) – und selbst in den Vertragsbedingungen von Cyberversicherungen genutzt. Damit hat der Begriff direkten Einfluss nicht nur auf kritische Infrastrukturen, sondern letztlich sogar auf fast jede Organisation.
Der Begriff ist in der IT-Sicherheit aber nicht klar umgrenzt. So gibt es keine eindeutigen Handlungsempfehlungen oder eine genaue Definition, welche IT-Security-Technologien oder -Lösungen Unternehmen und Organisationen einsetzen sollen. Je mehr man sich mit diesem unbestimmten Rechtsbegriff auseinandersetzt, umso vielschichtiger und weitreichender wird seine Tragweite. Im Gegensatz zu anderen Branchen ist der Stand der Technik letzten Endes und schlimmstenfalls für das Überleben des Unternehmens entscheidend.
NIS2-Umsetzung bietet Schweizer Unternehmen neue Chancen
Die technische Umsetzung der NIS2-Richtlinie, die Registrierungs- und Meldepflichten und die Einhaltung der weiteren grundsätzlichen Rahmenbedingungen werden viel Geld verschlingen. Allein für Deutschland gehen Experten von einem jährliche Erfüllungsaufwand von mehr als 1,65 Milliarden Euro aus. Was für die betroffenen Organisationen Kosten sind, könnte man auf der anderen Seite auch als Chance sehen: Hier entsteht ein zusätzliches Marktpotential für Security-Hersteller, IT-Dienstleistungsunternehmen und die Digitalwirtschaft generell. Viele Unternehmen und Institutionen werden sicherheitstechnisch deutlich aufrüsten müssen.
Doch nicht jeder hat die notwendigen finanziellen und personellen Ressourcen parat, um diese Herkulesaufgabe aus eigener Kraft stemmen zu können. Ihnen bleibt fast nichts anderes übrig, als auf externe Unterstützung zurückzugreifen. Es entsteht deshalb ein Markt für die Beratungsbranche, für IT-Sicherheitsbeauftragte, für ISMS-Spezialisten und -Auditoren, für Systemintegratoren und nicht zuletzt für Dienstleister, die ihre Kunden mit entsprechenden As-a-Service-Angeboten versorgen können.
Dies ist definitiv auch und gerade für Schweizer IT-Dienstleister ein interessantes Geschäftsfeld. Denn die Grundidee der NIS2-Richtlinie – erhöhte Cyber-Resilienz – endet nicht an den EU-Grenzen. Deshalb sollten Schweizer Organisationen ihr eigenes Schutzniveau hinterfragen und die Vorschläge zur digitalen Widerstandskraft gründlich durchdenken. So mancher Firmenlenker wird analysieren, dass die eingesetzten Security-Massnahmen nicht mehr zur extremen, weltweiten Gefahrenlage passen. Der Schweizer IT-Markt kann hier beratend und unterstützend einwirken.
Schweizer Unternehmen teils indirekt betroffen
Niederlassungen von Schweizer Unternehmen innerhalb der EU, die aufgrund ihrer Rechtsform eigene Unternehmen sind, könnten selbst unter die NIS-Regulierung fallen. Dies ist der Fall, wenn sie die entsprechenden Kriterien bezüglich der Sektorzugehörigkeit und der Schwellenwerte zur Unternehmensgrösse und zum Jahresumsatz erfüllen. Dann muss sich dieses in der EU befindliche Tochterunternehmen zwingend bis spätestens zum 17. Oktober 2024 bei der National Authority in dem jeweiligen EU-Mitgliedsland registrieren. Die definierten Massnahmen zur Verbesserung der Cyberresilienz müssen dann ebenso beachtet und umgesetzt werden wie die vorgeschriebenen Melde- und Informationspflichten. Kurzum: Die NIS2 ist entsprechend der nationalen Umsetzung in dem jeweiligen Mitgliedsstaat der EU anzuwenden. Dies gilt ebenso für IT-Dienstleister, die explizit den «Essential Entities» der Richtlinie zugeordnet sind.
Spannend dürfte die «indirekte NIS2-Betroffenheit» für viele Schweizer Unternehmen werden. Wer also als Schweizer IT-Dienstleister Kunden innerhalb der EU hat, welche unter die NIS2-Regulierung fallen, muss ebenfalls die Mindeststandards in Sachen IT-Sicherheit gewährleisten und die eigene Compliance gegebenenfalls in regelmässigen Audits nachweisen.
Auch wenn ein Schweizer IT-Dienstleister eidgenössische Unternehmen mit eigenständigen Tochterunternehmen innerhalb der EU betreut, die NIS2 reguliert sind, ist von einer solchen indirekten NIS2-Betroffenheit über die Verbindung der Lieferkette auszugehen.
Neues Marktpotential winkt dem Channel
Den IT-Dienstleistern, die in der Regel als Trusted Advisor für ihre Kunden fungieren, kommt hier eine besondere Rolle und Verpflichtung zu. Es gilt, Kunden eindringlich auf Defizite hinzuweisen und gemeinsam mit ihnen individuelle und angemessene Lösungen zu entwickeln. Hierbei wird es künftig stärker als in der Vergangenheit nötig sein, über arbeitsteilige Konzepte nachzudenken. Damit ist gemeint, dass ein Unternehmen mit seinen eigenen IT-Ressourcen nur Teile der IT-Sicherheitslösung betreut und darüber hinaus auf kompetente Dienstleister zurückgegriffen wird. Dies können beispielsweise Services wie Endpoint Detection and Response (EDR), Threat Intelligence oder andere professional IT Security Services sein, die sich hervorragend in ein sinnvolles Gesamtlösungskonzept integrieren lassen. Für den Channel lohnt es sich darüber nachzudenken, mit welchen potentiellen Partnern und Allianzen man sich aufstellen möchte, um das entstehende Marktpotential erschliessen und den Kunden angepasste Lösungen und ein angemessenes Schutzniveau bieten zu können.
Die kommende NIS2-Umsetzung wirkt sich – ähnlich wie die Datenschutzgrundverordnung der Europäischen Union – teilweise auch auf Schweizer Unternehmen und IT-Dienstleister aus. Dem Schweizer Channel eröffnen sich dadurch enorme Chancen, einen neuen Markt zu erobern; NIS2 hin oder her. Denn die Spezifikationen zu Mindeststandards für IT-Sicherheit und Cyberresilienz bieten sowohl Unternehmen als auch IT-Dienstleistern in der Schweiz eine wichtige Orientierung.
Der Autor
Quelle: Eset
Maik Wetzel, Strategic Business Development Director DACH bei
Eset, verfügt über mehr als 30 Jahre Berufserfahrung in der IT-Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei Eset verantwortet Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region und vertritt das Unternehmen in den Gremien wichtiger Verbände sowie als Speaker und Experte. Davor war der studierte Betriebswirt von 2009 bis 2020 für Eset in der Rolle des Sales Directors DACH massgeblich am Aufbau und an der erfolgreichen Entwicklung der Vertriebsstrukturen in der DACH-Region beteiligt.