-
» Herausragend «
Die NIS-2-Richtlinie (EU) 2022/2555 markiert einen zentralen Schritt der Europäischen Union im Kampf gegen die wachsende Zahl von Cyberangriffen. Im Mittelpunkt steht die Frage, wie kritische Infrastrukturen besser geschützt werden können und welche neuen Verpflichtungen sich daraus für deren Betreiber ergeben. Ausgangspunkt ist die Beobachtung, dass Cybervorfälle nicht nur wirtschaftliche Schäden nach sich ziehen, sondern zunehmend auch direkte Gefahren für Leben und Sicherheit verursachen. Beispiele wie der Ransomware-Angriff auf den irischen Gesundheitsdienst HSE im Jahr 2021, die NotPetya-Attacke von 2017 oder der Angriff auf die Colonial Pipeline in den USA verdeutlichen, dass Krankenhäuser, Energieversorger, Wasserwerke und Transportnetzwerke als Rückgrat moderner Gesellschaften in besonderem Maße bedroht sind. Störungen in diesen Bereichen haben das Potenzial, katastrophale Folgen auszulösen.
Die Richtlinie ersetzt die NIS-1-Richtlinie aus dem Jahr 2016 und dehnt deren Geltungsbereich erheblich aus. Während NIS-1 sich im Wesentlichen auf Energie, Transport, Banken und digitale Infrastrukturen beschränkte, erfasst NIS-2 insgesamt 18 Sektoren, darunter nun auch öffentliche Verwaltungen, Abfallwirtschaft, Weltrauminfrastruktur, Postdienste und Hersteller kritischer Produkte. Die Einrichtungen werden in „wesentliche“ und „wichtige“ unterteilt. Beide Kategorien müssen Mindeststandards einhalten, wobei die Aufsicht über wesentliche Einrichtungen strenger ausgestaltet ist.
Zentrales Element der Richtlinie sind die Pflichten zum Risikomanagement. Alle betroffenen Einrichtungen müssen technische und organisatorische Maßnahmen ergreifen, die an international anerkannten Standards wie ISO/IEC 27001 orientiert sind. Dazu zählen Prävention, Business Continuity, Incident Handling, Supply-Chain-Security und Krisenmanagement. Hervorzuheben ist die ausdrückliche Verantwortung des Managements: Führungskräfte sind verpflichtet, Sicherheitsstrategien nicht nur formal zu genehmigen, sondern deren Umsetzung aktiv zu überwachen. Unterlassen sie dies, drohen ihnen persönliche Sanktionen.
Von besonderer Bedeutung ist das Meldewesen. Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden, ergänzt durch detaillierte Folgeberichte. Diese Pflicht stellt Unternehmen vor erhebliche organisatorische Herausforderungen, zwingt sie jedoch zugleich zu einer schnelleren und professionelleren Reaktion.
Die Durchsetzung der Richtlinie erfolgt über nationale Behörden, die weitreichende Befugnisse erhalten. Sie können Audits anordnen, Maßnahmen verlangen und empfindliche Bußgelder verhängen. Für wesentliche Einrichtungen sind Sanktionen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes vorgesehen. Damit orientiert sich der Sanktionsrahmen bewusst an der DSGVO, um eine ähnliche Durchsetzungskraft zu erreichen.
Ein weiterer Schwerpunkt liegt auf der europäischen Kooperation. Über CSIRTs (Computer Security Incident Response Teams), die NIS-Kooperationsgruppe und das EU-CyCLONe-Netzwerk sollen die Mitgliedstaaten Informationen austauschen und grenzüberschreitende Krisen gemeinsam bewältigen. Ziel ist ein koordiniertes Vorgehen bei Angriffen, die sich nicht an nationale Grenzen halten.
Die praktische Umsetzung ist mit erheblichen Schwierigkeiten verbunden. Unterschiedliche nationale Transpositionen drohen die angestrebte Harmonisierung zu gefährden. Besonders kleine und mittelständische Unternehmen stehen unter Druck, da sie oft nicht über die finanziellen Ressourcen und spezialisierten Sicherheitsteams verfügen, um die neuen Pflichten umfassend zu erfüllen. Herausforderungen ergeben sich zudem bei der Einordnung, wann ein Vorfall meldepflichtig ist, bei der Steuerung komplexer Lieferketten und im Zusammenspiel mit parallelen Regelungen wie der DSGVO.
Deutlich wird, dass Cybersicherheit eine interdisziplinäre Aufgabe ist. Recht, Technik und Organisation müssen zusammenwirken, damit die Vorgaben eingehalten werden können. Internationale Standards wie ISO 27001 oder branchenspezifische Normen, etwa IEC 62443 für industrielle Steuerungsanlagen, bieten Orientierung, entfalten aber nur Wirkung, wenn sie konsequent angewandt werden. Erforderlich ist zudem ein Kulturwandel: Cybersicherheit muss zur Chefsache werden und ähnlich ernst genommen werden wie Finanz- oder Arbeitsschutzrisiken.
Fallstudien zeigen, welche Wirkung NIS-2 entfalten könnte. Beim Angriff auf den irischen Gesundheitsdienst hätten bessere Vorbereitungen Ausfälle reduziert. Im Fall der NotPetya-Attacke wäre ein EU-weites Frühwarnsystem hilfreich gewesen. Der Angriff auf das Düsseldorfer Universitätsklinikum im Jahr 2020, bei dem ein Patient starb, zeigt schließlich, wie direkt Cyberangriffe Menschenleben gefährden können.
Die Richtlinie ist zudem Teil eines größeren europäischen Regelungsgefüges. Sie steht neben der CER-Richtlinie zur physischen Resilienz, der DORA-Verordnung für den Finanzsektor und dem Cyber Resilience Act, der Produktsicherheit im digitalen Raum regelt. Gemeinsam bilden diese Instrumente ein dichtes Netz an Normen, das die digitale Souveränität Europas sichern soll.