Cybersicherheit in der EU: NIS-2-Richtlinie und Cyber Resilience Act (CRA)

Die Europäische Union hat mit der NIS-2-Richtlinie (Richtlinie für Netz- und Informationssicherheit) und dem Cyber Resilience Act (CRA) zwei Regelwerke geschaffen, um die Cybersicherheit in Europa zu verbessern. Sie sollen Produkte mit digitalen Elementen und kritische Infrastrukturen besser gegen Cyberangriffe schützen.

Hintergrundinfos

Mit der zunehmenden Digitalisierung nehmen auch Cyberangriffe zu. Hacker können unter anderem Geschäftsprozesse stören, Daten stehlen oder sogar kritische Infrastrukturen wie Strom- oder Wasserversorgung lahmlegen. Um diesen Risiken zu begegnen, hat die EU die NIS-2-Richtlinie und den CRA verabschiedet.

Während die NIS-2-Richtlinie Unternehmen dazu verpflichtet, insbesondere technische, operative und organisatorische Sicherheitsmaßnahmen zu ergreifen, um ihre IT-Systeme vor Cyberangriffen zu schützen, konzentriert sich der CRA auf die Sicherheit der Produkte mit digitalen Elementen.

Beide sind Teil der EU-Cybersicherheitsstrategie und sollen ein einheitliches Schutzniveau innerhalb der EU gewährleisten.

NIS steht für die Sicherheit der Netz- und Informationssysteme. Die NIS-2-Richtlinie ist eine überarbeitete Version der ersten NIS-Richtlinie aus dem Jahr 2016. Sie trat am 16. Januar 2023 in Kraft und sollte bis zum 17. Oktober 2024 in nationales Recht überführt werden. Ihr Ziel ist die Stärkung der Cybersicherheit kritischer Infrastrukturen wie Energieversorgung, Transport oder Gesundheitswesen sowie die Schaffung einheitlicher IT-Sicherheitsstandards in der EU.

Die NIS-2-Richtlinie gilt für Einrichtungen in 18 kritischen Sektoren, die für das gesellschaftliche und wirtschaftliche Funktionieren essenziell sind. Dazu gehören unter anderem Energieversorgung, Transport und öffentliche Verwaltung.

Die Richtlinie unterteilt die betroffenen Sektoren in zwei Kategorien. Sektoren mit hoher Kritikalität sind besonders sicherheitsrelevant und umfassen unter anderem die Bereiche Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und den Weltraumsektor.

Daneben gibt es die sonstigen kritischen Sektoren, zu denen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, das verarbeitende Gewerbe, Anbieter*innen digitaler Dienste und Forschungseinrichtungen gehören.

Die NIS-2-Richtlinie unterscheidet Unternehmen nach ihrer Größe (Size-Cap-Rule):

  • Große Unternehmen: Mindestens 250 Beschäftigte oder mehr als 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Bilanzsumme.
  • Mittlere Unternehmen: 50 bis 249 Beschäftigte oder ein Jahresumsatz zwischen 10 und 50 Mio. Euro und eine Bilanzsumme zwischen 10 und 43 Mio. Euro.
  • Kleine Unternehmen: Weniger als 50 Beschäftigte und unter 10 Mio. Euro Umsatz sowie unter 10 Mio. Euro Bilanzsumme. Sie fallen grundsätzlich nicht unter NIS-2, außer ihre Tätigkeit ist besonders kritisch für Gesellschaft oder Wirtschaft.

Die NIS-2-Richtlinie teilt Unternehmen in wesentliche und wichtige Einrichtungen ein. Wesentliche Einrichtungen sind große Unternehmen aus Sektoren mit hoher Kritikalität (Anlage 1 zum NISG 2024) sowie bestimmte Einrichtungen, die unabhängig von ihrer Größe als wesentlich eingestuft werden. Wichtige Einrichtungen sind hingegen in der Regel mittlere Unternehmen aus diesen hochkritischen Sektoren oder große und mittlere Unternehmen aus den sonstigen kritischen Sektoren (Anlage 2 zum NISG 2024), sofern sie nicht bereits als wesentlich gelten.

Bestimmte Einrichtungen gelten unabhängig von ihrer Größe immer als wichtige Einrichtungen. Dazu zählen:

  • Einrichtungen der öffentlichen Verwaltung auf Landesebene,
  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen Kommunikationsdiensten,
  • Vertrauensdiensteanbieter*innen.

Darüber hinaus kann die Cybersicherheitsbehörde Unternehmen gemäß § 26 Abs 1 NISG 2024 auch im Einzelfall als wichtige Einrichtung einstufen.

Die NIS-2-Richtlinie verpflichtet Einrichtungen zur Einführung eines umfassenden Risikomanagementsystems für Cybersicherheit. Dies umfasst insbesondere:

  • Meldepflichten für erhebliche Sicherheitsvorfälle, um Bedrohungen frühzeitig zu erkennen und Gegenmaßnahmen zu ergreifen.
  • Sicherstellung der Sicherheit in der Lieferkette, um Schwachstellen und potenzielle Angriffspunkte zu minimieren.
  • Klare Verantwortlichkeit des Managements für die Einhaltung der Sicherheitsvorgaben, um die Cybersicherheitsstrategie auf höchster Unternehmensebene zu verankern.

Kommt es infolge mangelnder Schutzmaßnahmen zu einem Cyberangriff, können Leitungsorgane persönlich haftbar gemacht werden. Zusätzlich drohen den betroffenen Unternehmen empfindliche Geldbußen: Für wesentliche Einrichtungen können bis zu 10 Millionen Euro oder 2 % des weltweiten Konzernumsatzes fällig werden, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Konzernumsatzes – jeweils abhängig davon, welcher Betrag höher ist.

Der CRA ist die eine EU-weite Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Sie trat am 10. Dezember 2024 in Kraft, wobei die Hauptpflichten ab 11. Dezember 2027 verbindlich werden.

Ziel der Verordnung ist es, Sicherheitslücken in Hard- und Softwareprodukten zu schließen und einheitliche Sicherheitsstandards für den gesamten Produktlebenszyklus festzulegen. Der Produktlebenszyklus umfasst alle Phasen, die ein Produkt mit digitalen Elementen durchläuft – von der Entwicklung bis zur Außerbetriebnahme. Dies betrifft Hersteller*innen, Importeur*innen und Händler*innen.

Produkte mit digitalen Elementen, wie vernetzte Geräte oder Softwarelösungen, können Schwachstellen aufweisen, die ein Sicherheitsrisiko darstellen. Cyberangriffe über unsichere Produkte können vor allem Datenlecks, Systemausfälle oder wirtschaftliche Schäden verursachen.

Der CRA gilt für Produkte mit digitalen Elementen, die mit dem Internet oder anderen Netzwerken verbunden sind und dadurch Sicherheitsrisiken mit sich bringen. Er betrifft sowohl Hardware- als auch Softwareprodukte, die in Haushalten, Unternehmen oder in der Industrie verwendet werden.

Dazu gehören vernetzte Geräte wie smarte Haushaltsgeräte, Router oder Sensoren in digitalen Systemen, die Daten erfassen und weiterleiten. Auch Softwarelösungen wie Smart-Home-Apps oder Programme für automatische Software-Updates sind vom CRA erfasst. Besonders relevant sind KI-gestützte Anwendungen, etwa Gesichtserkennungssysteme oder intelligente Überwachungskameras, sofern sie mit einem Netzwerk verbunden sind.

Je nach Sicherheitsrisiko werden Produkte in vier Kategorien unterteilt: Standardprodukte, wichtige Produkte (Klasse I und II) und kritische Produkte. Je nach Einstufung gelten unterschiedliche Sicherheitsprüfungen.

Produkte mit digitalen Elementen sind Hardware-, und Softwareprodukte sowie deren Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die auch getrennt in den Verkehr gebracht werden können. Dazu gehören unter anderem smarte Geräte, vernetzte Maschinen oder eingebettete Software in physischen Produkten.

Wichtig ist die Unterscheidung: Produkte mit digitalen Elementen sind nicht dasselbe wie digitale Produkte. Digitale Produkte sind vollständig digital, wie zum Beispiel reine Software oder digitale Inhalte. Produkte mit digitalen Elementen hingegen kombinieren physische und digitale Bestandteile und nutzen digitale Technologien, um ihre Funktionalität zu erweitern. Typische Beispiele sind intelligente Haushaltsgeräte, Industrieanlagen mit Steuerungssoftware oder Fahrzeuge mit vernetzter Elektronik.

Im CRA geht es gezielt um solche Produkte mit digitalen Elementen, weil gerade die enge Verbindung von Hard- und Software besondere Anforderungen an die Sicherheit stellt.

Der CRA teilt Produkte mit digitalen Elementen in vier Kategorien ein, je nach ihrem Sicherheitsrisiko. Alle betroffenen Produkte müssen geprüft werden.

  • Standardprodukte mit geringem Risiko, wie smarte Fernseher, Videospiele, Speicherchips, mobile Anwendungen, Computerspiele, die nicht unter die Kategorien wichtige und kritische Produkte fallen. Sie können meist von den Hersteller*innen selbst geprüft werden (Selbstbewertung und Selbsterklärung).
  • Wichtige Produkte -Klasse I, darunter Router oder intelligente Türschlösser, müssen entweder nach anerkannten EU-Standards entwickelt oder extern überprüft werden.
  • Wichtige Produkte - Klasse II, wie Firewalls, Angriffserkennungs- und/oder -Präventionssysteme erfordern eine verpflichtende externe Sicherheitsprüfung.
  • Kritische Produkte, etwa Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways etc., benötigen zusätzlich eine EU-Cybersicherheitszertifizierung, falls verfügbar.

Unternehmen, die unter den CRA fallen, müssen über den gesamten Lebenszyklus ihrer Produkte hinweg bestimmte Sicherheitsanforderungen einhalten. Bereits in der Entwicklungsphase ist das Prinzip „Security-by-Design“ anzuwenden. Dies bedeutet, dass Cybersicherheitsmaßnahmen von Beginn an in die Produktarchitektur integriert und nicht erst nachträglich ergänzt werden.

Zusätzlich besteht die Verpflichtung, regelmäßige Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schließen und Produkte langfristig gegen neue Bedrohungen abzusichern. Ein wirksames Schwachstellenmanagement ist erforderlich, um Sicherheitslücken systematisch zu identifizieren, zu beheben und gegebenenfalls den zuständigen Behörden zu melden.

Darüber hinaus müssen betroffene Produkte eine CE-Kennzeichnung tragen, die bestätigt, dass sie den europäischen Sicherheits-, Umwelt- und Gesundheitsstandards entsprechen. Sie ermöglicht den freien Verkehr des Produkts innerhalb des europäischen Binnenmarktes.

Die Kombination beider Regelwerke soll die Sicherheit im digitalen Raum umfassend verbessern. Während die NIS-2-Richtlinie Unternehmen dazu verpflichtet, Cyberangriffe abzuwehren und auf Vorfälle vorbereitet zu sein, stellt der CRA sicher, dass die zugrundeliegenden Technologien von Beginn an sicher entwickelt werden.

Neben der NIS-2-Richtlinie und dem Cyber Resilience Act gibt es weitere Regelungen zur Stärkung der Cybersicherheit:

  • Critical Entities Resilience Directive (CER): Diese Richtlinie regelt physische Sicherheitsmaßnahmen für kritische Infrastrukturen. Betreiber kritischer Infrastrukturen müssen Risikoanalysen durchführen und Notfallpläne entwickeln, um Ausfälle durch physische Bedrohungen wie Sabotage oder Terrorattacke zu verhindern.
  • Datenschutz-Grundverordnung (DSGVO): Diese Verordnung schützt personenbezogene Daten.

Die drei Regelwerke ergänzen sich, um die Sicherheit in der EU umfassend zu verbessern. NIS-2 schützt Netzwerke und IT-Systeme vor Cyberangriffen, der CRA stellt sicher, dass digitale Produkte von Anfang an sicher entwickelt werden, und die Critical Entities Resilience Directive (CER) schützt kritische Infrastrukturen – wie Energieversorgung – zusätzlich vor physischen Bedrohungen wie Naturkatastrophen, Terrorismus oder Sabotage.

Zusammen bilden diese drei Regelwerke ein umfassendes Sicherheitskonzept, das Unternehmen, Einrichtungen und Bürger*innen gleichermaßen vor Cyberangriffen und physischen Gefahren schützt.

Unternehmen, die sowohl digitale Produkte herstellen als auch essenzielle Dienstleistungen anbieten, müssen mehrere Sicherheitsvorgaben beachten. NIS-2 verpflichtet sie dazu, ihre IT-Systeme abzusichern und Cyberangriffe schnell zu melden. Der CRA stellt sicher, dass ihre Produkte mit digitalen Elementen von Anfang an hohen Sicherheitsstandards entsprechen und regelmäßig aktualisiert werden. Falls sie als kritische Infrastruktur eingestuft werden – etwa Energieversorger–, müssen sie zudem die Resilienzanforderungen der CER-Richtlinie erfüllen, um auch auf physische Gefahren vorbereitet zu sein.