Die Anzahl an Cyberattacken im Bereich kritischer Infrastrukturen (KRITIS) hat in den vergangenen Monaten ein erschreckendes Ausmaß erreicht:

Im vergangenen Jahr zielten 75 Prozent aller Cyberangriffe in der EU auf kritische Infrastrukturen wie Energie- und Wasserversorgung, medizinische Einrichtungen, oder Finanzinstitute ab, und allein im ersten Quartal 2024 wurden bereits mehr als 180 Angriffe auf KRITIS-Unternehmen gemeldet. Beides ist dem aktuellen „Cybersecurity Report H1 2024“ von Myra Security zu entnehmen.

Der Ausfall solcher essenzieller Dienste kann ernsthafte Auswirkungen auf das Funktionieren der Gesellschaft, die Wirtschaft sowie die öffentliche Sicherheit haben. Daher heißt es, kritische Infrastrukturen dringend gegen Hacker, Malware & Co. abzusichern. Genau hier setzt die EU-Richtlinie NIS2 an, die diesbezüglich EU-weit Abhilfe schaffen soll. Was dahinter steckt, wer von NIS2 betroffen ist und warum Experten mit Verzögerungen bei der Umsetzung rechnen, erfahren Sie im Folgenden.

NIS2: EU-weit einheitliches Cybersicherheitsniveau

Wie der Name bereits andeutet, handelt es sich bei NIS2 (Network and Information Security 2) um den Nachfolger der EU-Richtlinie NIS1. Deren Ziel war es, in allen Mitgliedsstaaten ein einheitliches Niveau für die Cybersicherheit herzustellen und unter anderem kritische Infrastrukturen (KRITIS) vor Hackerangriffen & Co. zu schützen. Das Problem: Die Definition, was zu KRITIS zählt, variiert von Land zu Land, ebenso interpretierte jedes auf seine Art, wie NIS1 umzusetzen ist.

NIS2 soll hier nun Abhilfe schaffen. Hauptziel der Richtlinie ist es, die Widerstandsfähigkeit der europäischen Staaten gegenüber digitalen Bedrohungen zu stärken und sowohl Bürgern als auch Unternehmen einen sicheren Zugriff auf vernetzte Systeme und wesentliche Infrastrukturen zu ermöglichen. Dabei zählt NIS2 weit mehr Sektoren und Unternehmen zu KRITIS als sein Vorgänger NIS1 und teilt diese in „wesentliche“ und „wichtige“ Einrichtungen ein.

Quelle: idgard

Zu den von NIS2 betroffenen Unternehmen zählen alle kritischen Einrichtungen, die in der EU tätig sind oder dort ihre Serviceleistungen anbieten – vorausgesetzt, sie haben mindestens 50 Beschäftigte oder erwirtschaften einen Jahresumsatz von 10 Millionen EUR oder mehr. Für sie gilt es, sicherzustellen, dass ihr Geschäftsbetrieb auch bei Cyberattacken aufrechterhalten bleibt und sie rasch auf die Bedrohung reagieren können.

Hierzu gehören Maßnahmen wie die Durchführung von Risikoanalysen, die Erstellung eines Krisenmanagementplans, die Einführung hochsicherer Cloud-Lösungen für den sicheren Datenaustausch, regelmäßiges Updates und Backups ihrer IT-Systeme sowie Sicherheitsschulungen der Angestellten. Außerdem müssen Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Verzögert sich NIS2?

NIS2 ist bereits seit 16. Januar 2023 in Kraft. Die EU-Mitgliedsstaaten müssen diese EU-Richtlinie nun bis 17. Oktober 2024 in nationales Recht umsetzen. Die notwendige deutsche Umsetzung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, vom 07. Mai 2024) hat das Bundeskabinett Ende Juli 2024 auf den Weg gebracht. Der Digitalverband Bitkom rechnet trotzdem nicht damit, dass die Umsetzungsfrist bis Oktober eingehalten werden kann. Zu viele Details müssten noch angepasst werden, außerdem fehle es an einer Harmonisierung mit dem KRITIS-Dachgesetz, so Bitkom-Präsident Dr. Ralf Wintergerst.

 

Unser Gastautor:

Autor: Louis Woisetschläger, Compliance und Audit Specialist bei idgard | uniscon

Louis Woisetschläger ist Experte für Datenschutz und Compliance. Zuletzt war er als Compliance-Referent für die Kliniken des Bezirks Oberbayern (kbo) tätig. Seit April 2023 unterstützt er idgard als Compliance und Audit Specialist, wo er für die Überwachung und Einhaltung aller relevanten rechtlichen, regulatorischen und internen Anforderungen verantwortlich ist.

Weil sensible Daten den bestmöglichen Schutz benötigen

idgard unterstützt Unternehmen dabei, ihre Daten zu schützen und intern sowie extern auf höchstem Sicherheitsniveau zusammenzuarbeiten.

Bildquellen

  • NIS2 KRITIS Tabelle: idgard
  • Worker,Doing,Yearly,System,Reconditioning,,Imputing,Data,On,Tablet,Of: shutterstock_2457853889