04.02.2016

Neue EU-Richtlinie für Cybersicherheit – Worauf müssen sich Unternehmen einstellen?

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

Der Cyber-Raum durchdringt heute nahezu alle Bereiche des staatlichen, wirtschaftlichen und sozialen Lebens. In allen Bereichen schafft die digitale Vernetzung unzählige und bisher noch nicht ausgeschöpfte Potenziale. Mit der zunehmenden Vernetzung wächst aber auch die Abhängigkeit des Staates, der Wirtschaft und Verbraucher von der Funktionsfähigkeit der IT-Systeme und des Cyber-Raums.

Am 07.12.2015 haben sich der Rat der Europäischen Union und das Europäische Parlament daher auf einen Entwurf für eine neue „Richtlinie zur Verbesserung der Netz- und Informationssicherheit (kurz: NIS-Richtlinie) verständigt. Der Cyber-Raum kennt keine nationalen Grenzen. Ziel der NIS-Richtlinie ist es daher, in allen EU-Staaten durch ein einheitliches Bündel von Maßnahmen den Schutz von Institutionen, Unternehmen und Verbrauchern vor sogenannten „Cybergefahren“ ­– etwa technische Störungen, Hackerangriffe und Datenschutzverletzungen – zu verbessern.

Wen betrifft die NIS-Richtlinie?

Nach der NIS-Richtlinie sollen nicht nur die öffentliche Verwaltung, sondern auch bestimmte Unternehmen, sogenannte „Marktteilnehmer“, in die Pflicht genommen werden. Wer „Marktteilnehmer“ ist, ergibt sich ebenfalls aus der NIS-Richtlinie: Zum einen sind dies die Betreiber von bestimmten „Diensten der Informationsgesellschaft“, nämlich: Betreiber von elektronischen Marktplätzen (etwa Online-Shops, App-Stores und andere elektronische Marktplätze), Suchmaschinen und Anbieter von Cloud-Diensten. Zum anderen sollen auch Betreiber von „kritischen Infrastrukturen“ in die Pflicht genommen werden, dazu zählen unter anderem Unternehmen der Energie-, Verkehrs-, Finanz- und Gesundheitswirtschaft.

Wen betrifft die NIS-Richtlinie nicht?

Keine „Marktteilnehmer“ im Sinne der NIS-Richtlinie – und somit nicht von den darin vorgesehenen Verpflichtungen betroffen – sollen hingegen soziale Netzwerke sein. Zudem soll es Ausnahmen für „kleine Unternehmen“ – das sind Unternehmen mit weniger als 50 Mitarbeitern, deren Jahresumsatz sich auf nicht mehr als 10 Millionen Euro beläuft – geben.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 7 plus 3.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Was ändert sich?

Die NIS-Richtlinie sieht vor, dass die Marktteilnehmer verpflichtet werden, branchenabhängige, technische und organisatorische Maßnahmen zur Abwehr von Cybergefahren zu ergreifen. Zudem sollen sie verpflichtet werden, bestimmte Sicherheitsvorfälle den Behörden zu melden und die betroffenen Personen zu unterrichten. Verstöße sollen sanktioniert werden. Die EU-Staaten sollen verpflichtet werden, eine für die nationale Cybersicherheit zuständige Behörde zu benennen und eine Cyber-Strategie aufzustellen. Hierdurch soll die Zusammenarbeit zwischen den EU-Staaten verbessert werden. Außerdem muss jeder EU-Staat ein nationales „Soforteinsatzteam für IT-Sicherheitsvorfälle“ („Computer Security Incident Response Teams“, kurz CSIRT) einrichten, welches mit den anderen CSIRTs der jeweils anderen EU-Staaten ständig vernetzt ist.

Verhältnis zum IT-Sicherheitsgesetz

Es drängt sich die Frage auf, in welchem Verhältnis die NIS-Richtlinie zum deutschen IT-Sicherheitsgesetz steht. Das IT-Sicherheitsgesetz ist bereits im Juli 2015 in Kraft getreten und erlegt Betreibern sogenannter kritischer Infrastrukturen ebenfalls technische und organisatorische Maßnahmen sowie Meldepflichten auf, wobei auch hier Verstöße sanktioniert werden können. Im Vergleich zeigt sich jedoch, dass die NIS-Richtlinie deutlich über das IT-Sicherheitsgesetz hinausgeht. Dies gilt insbesondere hinsichtlich des weiten Anwendungsbereichs der NIS-Richtlinie. Die NIS-Richtlinie sieht vor, dass auch solche Unternehmen in die Pflicht genommen werden, die – zumindest auf den ersten Blick – vergleichsweise „unkritische“ digitale Dienste anbieten, etwa Suchmaschinen und Online-Shops.

Lernen Sie unsere Expertise in der Informationssicherheit kennen

Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.

Jetzt Kennenlerntermin vereinbaren

Zeitplan und Handlungsempfehlung

Die NIS-Richtlinie soll noch Anfang 2016 in Kraft treten. Danach hätten die EU-Mitgliedsstaaten 21 Monate Zeit, um die entsprechenden Umsetzungsgesetze zu schaffen.

Auch wenn das IT-Sicherheitsgesetz bereits einige der von der NIS-Richtlinie vorgesehenen Maßnahmen vorwegnimmt, sollten alle Unternehmen – unabhängig davon, ob sie vom geltenden IT-Sicherheitsgesetz betroffen sind oder nicht – prüfen, ob Sie dem Anwendungsbereich der NIS-Richtlinie unterfallen können und so die sich daraus möglicherweise ergebende Notwendigkeit zur Umsetzung von Sicherheitsmaßnahmen frühzeitig identifizieren und berücksichtigen zu können. Da der Wortlaut des vorliegenden Entwurfes der NIS-Richtlinie in vielen wichtigen Punkten unspezifisch ist, kann zurzeit aber nicht immer zuverlässig eingeschätzt werden, ob ein Unternehmen betroffen sein wird und, falls ja, welche konkreten Schutzmaßnahmen ihm auferlegt werden.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …