Die digitale Vernetzung schreitet voran, und damit wächst auch die Herausforderung, Netzwerke und Informationen sicher zu halten – eine aktuelle Thematik sowie zentrale Aufgabe für Unternehmen mit Sitz oder Kunden in der EU.
Zu Beginn des Jahres 2023 hat die Europäische Union die NIS2-Richtlinie eingeführt, eine umfassende Massnahme, die Unternehmen dazu anhält, ihre IT-Sicherheitsstrategien grundlegend zu überdenken. Diese neue Richtlinie verändert nicht nur den Rahmen für die Cybersicherheit innerhalb der EU, sondern etabliert auch globale Standards, die über die Grenzen der Mitgliedstaaten hinaus Bedeutung erlangen. Obwohl die Schweiz kein Mitglied der Europäischen Union ist, sind Schweizer Unternehmen, die im europäischen Markt tätig sind, von diesen Vorschriften betroffen. Sie müssen sich an die strengen Anforderungen der NIS2-Richtlinie anpassen, da ihre Geschäftsaktivitäten sie indirekt den neuen EU-Sicherheitsstandards unterwerfen.
Was genau ist NIS2?
Die NIS2-Richtlinie, kurz für die Direktive zur Netzwerk- und Informationssicherheit, zielt darauf ab, den Schutz gegen Cyberbedrohungen durch die Festlegung von Mindeststandards für Sicherheitsmassnahmen zu stärken. Angesichts der fortschreitenden Digitalisierung und der zunehmenden Cyberbedrohungen hat die Europäische Kommission die Notwendigkeit erkannt, die Reichweite der Richtlinie zu erweitern, indem mehr Unternehmen einbezogen werden, sowie die Sicherheitsanforderungen zu verschärfen.
Die Direktive, die im Dezember 2022 veröffentlicht wurde und ab Januar 2023 wirksam ist, muss bis zum 17. Oktober 2024 in das nationale Recht der EU-Mitgliedsstaaten überführt werden.
Erhöhte Anforderungen und die Verantwortlichkeit der Unternehmen
Im Rahmen der NIS2-Richtlinie werden Unternehmen je nach ihrer Klassifizierung als "Essential Entities" oder "Important Entities" und basierend auf Kriterien wie Unternehmensgrösse und Jahresumsatz unterschiedlichen Anforderungen und Aufsichtsmassnahmen unterzogen. Die Richtlinie differenziert zwischen mittleren Unternehmen (mindestens 50 Mitarbeitern oder Jahresumsatz von zehn Millionen Euro) und grossen Unternehmen (über 250 Mitarbeiter oder Umsatz von über 50 Millionen Euro) verfügen. Diese Unterscheidungen beeinflussen, welche spezifischen technischen und organisatorischen Massnahmen umgesetzt werden müssen, um den erhöhten Anforderungen an die Cybersicherheit gerecht zu werden.
Die Einhaltung dieser Richtlinien ist entscheidend, da sowohl Unternehmen als auch deren leitende Organe bei Verstössen mit erheblichen Sanktionen rechnen müssen. Diese können von Geldbussen bis hin zu weiteren rechtlichen Konsequenzen reichen. Die NIS2-Richtlinie hebt hervor, dass Cybersicherheit eine Priorität auf höchster Unternehmensebene sein muss und macht deutlich, dass eine nachlässige Handhabung schwerwiegende Folgen haben kann. Durch diese Vorgaben sollen nicht nur die Sicherheitsstandards innerhalb der regulierten Sektoren verbessert, sondern auch die grenzüberschreitende Zusammenarbeit innerhalb der EU gefördert werden.
Die Rolle des "Stand der Technik" in der NIS2-Richtlinie
In der Welt der IT-Sicherheit hat sich der Schutz der digitalen Infrastruktur und vertraulicher Daten als essentiell herausgestellt. Angesichts des ständigen Anstiegs von Sicherheitslücken und Datenverletzungen hat die Europäische Union bereits mit der Datenschutzgrundverordnung (DSGVO) reagiert, um systemische Schwächen und eine oft nachlässige Haltung zum Datenschutz zu bekämpfen. Dies setzt sich mit der Einführung der NIS2-Richtlinie fort, in der der "Stand der Technik" eine zentrale Rolle spielt.
Laut Artikel 21 der NIS2-Richtlinie müssen betroffene Unternehmen und Organisationen technische, organisatorische und operative Massnahmen implementieren, die dem aktuellen "Stand der Technik" entsprechen. Dies umfasst eine Vielzahl an Sicherheitsvorkehrungen:
- Richtlinienmanagement: Entwicklung und Durchführung von Richtlinien für Risikomanagement und Informationssicherheit.
- Incident Management: Strategien zur Prävention, Erkennung und Behebung von Cyberangriffen.
- Business Continuity Management: Umfasst Notfallpläne und Backupmanagement, um Geschäftskontinuität zu gewährleisten.
- Lieferkettenmanagement: Gewährleistung der Sicherheit innerhalb der Lieferkette bis hin zur sicheren Produktentwicklung.
- Beschaffung: Sicherheitsmassnahmen beim Erwerb von IT und Netzwerksystemen.
- Effektivitätsmessung: Überwachung und Bewertung der Wirksamkeit von Cybersicherheitsmassnahmen.
- Schulung: Förderung der Cyberhygiene unter Mitarbeitern.
- Kryptographie: Richtlinien für den Einsatz von Verschlüsselungstechnologien.
- Personalmanagement: HR-Richtlinien, die die Sicherheit betreffen.
- Zugangskontrolle: Überprüfung und Management des Zugangs zu sensiblen Systemen und Daten.
- Asset Management: Implementierung eines Informationssicherheitsmanagementsystems (ISMS).
- Authentifizierung: Einsatz von Multi-Faktor-Authentifizierung und Single SignOn (SSO) Lösungen.
- Kommunikation: Nutzung sicherer Kommunikationstechnologien.
Der "Stand der Technik" bezieht sich auf die fortschrittlichsten, praktisch einsetzbaren technologischen Massnahmen. In der IT-Sicherheitsbranche ist dieser Begriff jedoch nicht fest umrissen und hängt stark vom Kontext der Branche und des spezifischen Anwendungsbereichs ab. Diese Unbestimmtheit führt dazu, dass der Begriff weitreichende Implikationen hat, die über gesetzliche Bestimmungen und Vertragsbedingungen hinausgehen. Indem die NIS2-Richtlinie diese umfassenden Anforderungen stellt, fordert sie Unternehmen auf, sich mit den neuesten Technologien und Praktiken auseinanderzusetzen und stellt sicher, dass Cybersicherheit auf höchstem Niveau betrieben wird.
Auswirkungen und Anpassungen für Schweizer Unternehmen
Die Implementierung der NIS2-Richtlinie in der EU stellt eine bedeutende finanzielle Herausforderung dar. Die technische Durchführung der Richtlinie, einschliesslich der Registrierungs- und Meldepflichten sowie der Erfüllung grundlegender Anforderungen, verursacht erhebliche Kosten. Die indirekte Betroffenheit durch die NIS2 bietet auch Chancen für Schweizer IT-Dienstleister, die europäische Kunden haben, welche die NIS2-Standards einhalten müssen. Diese Dienstleister müssen sicherstellen, dass sie die vorgeschriebenen IT-Sicherheitsstandards umsetzen und ihre Compliance regelmässig in Audits nachweisen können. Zudem bietet es für betroffene Organisationen die Möglichkeit für Wachstum und Innovation im Bereich der Cybersicherheit und regt Unternehmen dazu an, sich intensiver mit ihrer IT-Situation auseinanderzusetzen. Da viele Unternehmen aktuell noch am Anfang stehen, kann dieser erzwungene Umbruch auch langfristige Vorteile mit sich bringen.
Besonders relevant wird dies für Schweizer Unternehmen, die in der EU tätig sind und deren Niederlassungen unter die NIS2-Regulierung fallen könnten, abhängig von ihrer Unternehmensgrösse und ihrem Jahresumsatz. Diese Unternehmen müssen die Vorgaben zur Cybersicherheit bis spätestens zum 17. Oktober 2024 in den EU-Mitgliedsländern, in denen sie operieren, implementieren und einhalten. Dies beinhaltet die Einhaltung von Sicherheitsmassnahmen und die Erfüllung von Informations- und Meldepflichten.
Fazit
Die NIS2-Richtlinie könnte somit als Katalysator für eine umfassende Überprüfung und Stärkung der IT-Sicherheitsmassnahmen von Unternehmen wirken. Für Schweizer Unternehmen bedeutet dies, sich mit den neuen Vorschriften auseinanderzusetzen und ihre Strategien entsprechend anzupassen. Die Investition in Cyberresilienz ist nicht nur eine regulatorische Anforderung, sondern auch eine Chance, das Vertrauen der Kunden in einer zunehmend digitalisierten Welt zu stärken.
Wenn Sie von den Massnahmen der NIS2-Richtlinie betroffen sind und sich optimal vorbereiten möchten, kontaktieren Sie uns für einen unverbindlichen Beratungstermin. Wir begleiten Ihre Reise in die digitale Zukunft und unterstützen Sie bei der Implementierung effektiver Lösungen.
