NIS-2

NIS-2 ist die Nachfolgerin der ursprünglichen NIS-Richtlinie und stellt eine bedeutende Weiterentwicklung des Rechtsrahmens der EU im Bereich Cybersicherheit dar. Sie baut auf ihrer Vorgängerin auf und weitet die Zahl der ihr unterliegenden Sektoren aus. Außerdem führt sie strengere Sicherheitsanforderungen und höhere Strafen bei Verstößen ein. Die vollständige Fassung der NIS-2-Richtlinie kann im Amtsblatt der EU nachgelesen werden. Darüber hinaus bietet die Agentur der Europäischen Union für Cybersicherheit (EU Agency for Cybersecurity – „ENISA“) Einrichtungen Leitlinien und Ressourcen zur Erfüllung der Richtlinienvorgaben.

NIS-2 gilt für „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren. Dazu gehören „hochkritische“ Branchen (wie Energie, Verkehr, Bankwesen, Gesundheitswesen, Trink- und Abwasser und digitale Infrastruktur) sowie „sonstige kritische“ Sektoren (wie Post- und Kurierdienste, Abfallbewirtschaftung, Lebensmittel und verarbeitendes Gewerbe). Die vollständige Liste der abgedeckten Sektoren finden Sie in Anhang 1 und Anhang 2 der NIS-Richtlinie.

Ja, Cloudflare fällt als Betreiber digitaler Infrastruktur unter die NIS-2-Richtlinie. Cloudflare hatte sich als „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ gemäß der ursprünglichen NIS-Richtlinie registriert.

Die Unternehmen werden auf Grundlage ihrer Größe und Bedeutung für Wirtschaft und Gesellschaft in Kategorien unterteilt. Für die beiden dem Gesetz unterliegenden Einrichtungskategorien („wesentlich“ und „wichtig“) gelten im Hinblick auf Sicherheit und Meldung von Vorfällen die gleichen Anforderungen. „Wesentliche“ Einrichtungen werden aber durch Behörden des betreffenden Mitgliedsstaats proaktiver und strenger überwacht.

Ja. NIS-2 gilt für jede Einrichtung, die „wesentliche“ oder „wichtige“ Dienstleistungen innerhalb der Europäischen Union erbringt – unabhängig davon, wo das Unternehmen seinen Hauptsitz hat. Da NIS-2 das Risikomanagement für Lieferketten vorschreibt, werden viele dieser Richtlinie unterliegende Unternehmen innerhalb und außerhalb der EU nun von ihren Anbietern und Dienstleistern weltweit einen Nachweis darüber, dass sie an NIS-2 ausgerichtete Sicherheitsstandards anwenden, zur Bedingung für eine Geschäftsbeziehung machen.

Artikel 21 der Richtlinie schreibt den ihr unterliegenden Einrichtungen vor, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zur Beherrschung des Cybersicherheitsrisikos zu ergreifen. Diese müssen unter anderem Folgendes abdecken:

• Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen (Prävention, Erkennung und Reaktion)
• Aufrechterhaltung des Betriebs und Krisenmanagement
• Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren (Dienste-)Anbietern
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
• Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

Ja, Artikel 21 schreibt ausdrücklich vor, dass Unternehmen sich mit der Sicherheit der Lieferkette befassen müssen, einschließlich der Beziehungen zu ihren direkten (Dienste-)Anbietern. Cloudflare hilft hier durch die Bereitstellung einer transparenten Sicherheitsdokumentation (z. B. Compliance-Berichten) und von Tools wie der Data Localization Suite, die Kunden beim Umgang mit den rechts- und geographiebezogenen Risiken im Zusammenhang mit Datenverarbeitung und Dienstleistern unterstützen.

NIS-2 schafft eine gestaffelte Bußgeldstruktur, die sich nach der Klassifizierung des Unternehmens richtet, und verschärft somit die Sanktionsmöglichkeiten erheblich:

• Wesentliche Einrichtungen : Höchstgeldbußen von 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
• Wichtige Einrichtungen : Höchstgeldbußen von mindestens 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist

Darüber hinaus sorgt NIS-2 zu einer Verschiebung bei der Verantwortlichkeit hinsichtlich des Managements. Gemäß Artikel 20 sind die „Leitungsorgane“ (z. B. die Geschäftsleitung und/oder der Vorstand) eines der Richtlinie unterliegenden Unternehmens nun direkt dafür verantwortlich, die Umsetzung der ergriffenen Risikomanagementmaßnahmen im Bereich Cybersicherheit zu überwachen. Führungskräfte können nach einem Sicherheitsvorfall wegen grober Fahrlässigkeit persönlich haftbar gemacht werden. Bei wesentlichen Einrichtungen sind unter Umständen Behörden des jeweiligen Mitgliedsstaats sogar befugt, Einzelpersonen vorübergehend von der Ausübung von Führungsaufgaben auszuschließen.

Wir bieten Zugriff auf die neuesten Cloudflare-Berichte gemäß ISO 27001, ISO 27701 und SOC 2 Typ II über unsere Compliance-Seite. Diese Dokumente dienen als grundlegender Nachweis der Anforderungen, die hinsichtlich der „Sicherheit der Lieferkette“ gemäß Artikel 21 der NIS-2-Richtlinie an Sie gestellt werden.

Ausführlicher mit diesem Thema beschäftigt sich unser Whitepaper zur NIS-2-Konformität, das hier heruntergeladen werden kann. Darin wird erläutert, wie Cloudflare-Produkte Kunden bei der Einhaltung der NIS-2-Vorgaben unterstützen.