Neue EU-Richtlinien NIS2 und RCE/CER

Die Europäische Union (EU) hat in den letzten Jahren ein verstärktes Interesse am Schutz kritischer Infrastrukturen (KRITIS) und anderer systemkritischer Unternehmen gezeigt, insbesondere aufgrund der veränderten geopolitischen Sicherheitslage. Dies hat dazu geführt, dass die Regulierung von KRITIS-Betreibern und anderen wichtigen Unternehmen in der EU in den nächsten Jahren deutlich weiterentwickelt und verschärft werden wird.

Es werden höhere Anforderungen an Technik und Organisation, niedrigere Schwellenwerte und andere Kriterien für die Betroffenheit, sowie verpflichtende Schutzstandards für die physische Sicherheit und Resilienz eingeführt werden. Hersteller und Vorlieferanten werden ebenfalls einbezogen, um die Vertrauenswürdigkeit und Sicherheit in der Lieferkette sicherzustellen.

Ein wichtiger Teil der neuen EU-Regulierungen sind die Richtlinien zur Netz- und Informationssicherheit (NIS2) sowie zur Resilienz kritischer Infrastrukturen (RCE – Resilience of critical entities = CER – Critical entities reslilience). Das Ziel dieser Richtlinien ist es nicht nur, die Cybersicherheit zu gewährleisten, sondern auch die Resilienz und die ganzheitliche Sicherheit inklusive der physischen Sicherheit von kritischen Infrastrukturen und anderen wichtigen Unternehmen zu fördern.

Um eine ganzheitliche KRITIS-Resilienz zu erreichen, müssen aus unserer Sicht drei Dimensionen von Resilienz beachtet werden: technische Sicherheit, geopolitische Sicherheit und physische Sicherheit. Dabei geht es darum, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die dem aktuellen Stand der Technik entsprechen.

Der rechtliche Regulierungsrahmen für die KRITIS-Cybersicherheit wird in Deutschland derzeit durch das IT-Sicherheitsgesetz 2.0 respektive das BSIG reguliert. In anderen EU-Ländern wird die Cybersecurity durch entsprechende Landesgesetze reguliert, welche die europäische NIS-Richtlinie in nationales Recht umsetzen. Ab 2023 soll in Deutschland ein KRITIS-Dachgesetz eingeführt werden, das neben der Cybersecurity auch die generelle Resilienz und speziell die physische Sicherheit von KRITIS-Sektoren reguliert.

Ihre Aufgaben als Unternehmen betreffen sowohl die Einhaltung der geltenden Gesetze als auch die Stärkung von Cybersecurity, Resilienz und physischer Sicherheit, wenn Ihr Unternehmen betroffen ist.

Entwicklung des Rechtsrahmens

EU-Mitgliedstaaten müssen die NIS2- und die RCE/CER-Richtlinien bis Oktober 2024 in nationales Recht umsetzen. In Deutschland wird dies voraussichtlich durch das IT-Sicherheitsgesetz 3.0 beziehungsweise das KRITIS-Dachgesetz erfolgen. Die EU-Regulierung ist jedoch sehr komplex und heterogen und schreit nach einer Harmonisierung. Die Regulierung betrifft vor allem die klassischen „Kern-KRITIS-Sektoren“ wie Energie, Wasser, ITK, Transport & Verkehr, Gesundheitswesen, Finanzwesen und Ernährung. Es gibt jedoch weitere essentielle, wichtige und systemkritische Unternehmen von öffentlichem Interesse für die nationale Sicherheit und Versorgungssicherheit.

Trotz einiger Überschneidungen und Abgrenzungsschwierigkeiten sind der Großteil der betroffenen Unternehmen dennoch klar definiert. Es bleiben jedoch viele Detail- und Umsetzungsfragen offen, die der jeweilige nationale Gesetzgeber beziehungsweise die zuständigen nationalen Behörden zu klären haben. Unternehmen sollten sich daher bereits heute auf die kommende EU-Regulierung (NIS2/RCE-Richtlinie) vorbereiten und ihre eigene Betroffenheit beziehungsweise die Betroffenheit ihrer Kunden prüfen. Des Weiteren sollten sie sich über die geltenden und durch NIS2/RCE bis 10/2024 geänderten oder neuen nationalen Gesetze für ihr EU-Land selbständig informieren und diese beachten. Bei eigener Betroffenheit sollten Unternehmen ihre Cybersecurity, Resilienz und physische Sicherheit (zum Beispiel durch Videoüberwachung) stärken.

(Dieser Beitrag wurde auf Basis eines Blog-Beitrags von Jürgen Seiler, Geschäftsführer der davidiT GmbH, dem Beratungsgeschäft von Dallmeier Group, verfasst.)