EU-Regeln für Cybersicherheit bald in Kraft: Rund 20.000 Betriebe betroffen

Die EU hat die novellierte Richtlinie zur Netz- und Informationssicherheit (NIS2) im Amtsblatt veröffentlicht. Der Countdown zur Umsetzung in Deutschland läuft.

In Pocket speichern vorlesen Druckansicht 101 Kommentare lesen

(Bild: VideoFlow/Shutterstock.com)

Lesezeit: 3 Min.

Die Richtlinie "für ein hohes gemeinsames Cybersicherheitsniveau" ist diese Woche im EU-Amtsblatt erschienen. Sie tritt am 16. Januar 2023 in Kraft. Mit der "NIS2" getauften Initiative zur Reform der bestehenden Vorschriften zur Netz- und Informationssicherheit (NIS) kommen auf Unternehmen, Staatsbetriebe und Behörden in Sektoren in der EU, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind, neue Auflagen im Bereich Cybersicherheit zu. Führungskräfte der erfassten Einrichtungen haften künftig für Verstöße gegen die Vorschriften.

Mit dem vom EU-Parlament im November beschlossenen Gesetz gehen erweiterte Mindestvorschriften für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie daraus resultierenden Datenpannen einher. Eingeschlossene Betriebe mit über 250 Mitarbeitern und über zehn Millionen Euro Jahresumsatz müssen künftig gemeinsame Cybersicherheitsstandards etwa für Audits, Risikoabschätzungen, das zeitnahe Einspielen von Updates und Zertifizierungen beachten. Zuständige Behörden sind innerhalb von 24 Stunden zunächst grob über Cybersicherheitsvorfälle zu informieren. Innerhalb von drei Tagen muss ein ausführlicher Bericht mit Details folgen.

Unter die NIS2 fallen auch mittlere und große Einrichtungen aus einer Reihe von Sektoren, die nicht zu den sogenannten kritischen Infrastrukturen (Kritis) zählen. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsservices und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte wie medizinischer Geräte, Maschinen und Kfz, Post- und Kurierdienste sowie die öffentliche Verwaltung auf zentraler und regionaler Ebene ein. Schätzungen zufolge werden EU-weit rund 160.000 und in Deutschland etwa 20.000 Betriebe und öffentliche Einrichtungen durch die Richtlinie reguliert.

Teil der Initiative ist eine Pflicht zur Identifizierung von Domain-Inhabern, die den Betrieb anonymer Webseiten in der EU sowie darüber organisierte Leaks zumindest deutlich erschweren dürfte. Laut Artikel 28 müssen die Mitgliedsstaaten künftig bei Registrierungsdiensten für Webadressen wie Top Level Domains (TLDs) "genaue und vollständige" persönliche Informationen über die Inhaber "in einer eigenen Datenbank" wie dem Whois-Register im Einklang mit dem Datenschutzrecht sammeln und pflegen. Ziel ist es laut der Begründung, die " Sicherheit, Stabilität und Resilienz" des Domain-Namen-Systems (DNS) zu gewährleisten.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Domain-Registrierungsstellen werde zudem verpflichtet, berechtige Zugangsnachfragen etwa von Strafverfolgern "unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags" zu beantworten. Ermittler sind seit Langem an entsprechenden Zugriffsoptionen interessiert. Die Pflicht zur Registrierung der Identität gilt nach Artikel 6 ausdrücklich auch für spezielle, bislang besonders datenschutzfreundliche Privacy- und Proxy-Registrierungsdienste sowie Reseller. Kritiker befürchten, dass so etwa "Whois privacy"-Dienste zur stellvertretenden Registrierung von Domains illegal werden. Nur Anonymität im Netz schütze wirksam vor Datenklau, Stalking, Identitätsdiebstahl oder Doxxing.

Die EU-Länder haben nun bis 17. Oktober 2024 Zeit, die Vorgaben in nationales Recht umzusetzen. Die Bundesregierung arbeitet an einem "Kritis-Dachgesetz", um branchenübergreifend sowie analog und digital verschärfte Sicherheitsregeln aufzustellen und Teile der NIS2 zu berücksichtigen. Der Bundestag verabschiedete 2021 nach langem Streit das IT-Sicherheitsgesetz 2.0 mit zahlreichen Überwachungsbefugnissen, aber keinem echten Schwachstellenmanagement. Es zählt zu den Normenwerken, die nun überarbeitet werden müssen.

(sht)