NIS2 & neue Cybersecurity-Gesetze in der Schweiz und der EU

Das Informationssicherheitsgesetz und NIS2: Stärkung der Cybersicherheit in der Schweiz

Der Bundesrat hat am 8. November 2023 beschlossen, das neue Informationssicherheitsgesetz (ISG) und die dazugehörigen Ausführungsverordnungen auf den 1. Januar 2024 in Kraft zu setzen. Das ISG bündelt die relevanten Rechtsgrundlagen für die Cybersicherheit in einem Gesetz und führt zu einer grundlegenden Neustrukturierung der Cybersicherheit durch den Bund. Das Nationale Cyber-Sicherheitszentrum (NCSC) wird in eine Bundesstelle (BACS) umgewandelt und ist nicht mehr für die IT-Sicherheit in der Bundesverwaltung zuständig.

Ab dem 1. Januar 2024 wird eine neue Fachstelle für Informationssicherheit geschaffen, die für die gesamte Bundesverwaltung Weisungen zur IT-Sicherheit erlässt, Audits anordnen kann und für die Bewältigung von grösseren IT-Angriffen zuständig ist. Diese Aufgaben und Verantwortlichkeiten für den Selbstschutz des Bundes werden vom NCSC auf das Staatssekretariat für Sicherheitspolitik (SIPOL) übertragen, das der Bundesrat ebenfalls im Verteidigungsdepartement VBS geschaffen hat. Das NCSC wird sich in Zukunft ausschliesslich auf den Schutz der kritischen Infrastrukturen der Schweiz konzentrieren.

Die Schweiz beschleunigt ihre gesetzliche Grundlage für eine sichere Digitalisierung: Am 1. September 2023 treten das total revidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSGVO) in Kraft. Durch die starke Orientierung an der GDPR ergeben sich im Vergleich zum heute geltenden Schweizer Datenschutzrecht zusätzliche Regelungen (und zusätzlicher Anpassungsaufwand für die Unternehmen): Z.B. das Führen eines Verzeichnisses der Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen bei der Verarbeitung von Risikodaten, die Vorbereitung auf die Einräumung von Betroffenenrechten, um nur einige Punkte zu nennen.

Bereits im Jahr 2020 hat das Bundesgesetz über die Informationssicherheit beim Bund (ISG) sowohl den National- als auch den Ständerat passiert. Während der genaue Zeitpunkt des Inkrafttretens des Gesetzes noch offen ist, werden einige der Bestimmungen ohne Übergangsfrist direkt in Kraft treten. Das Gesetz orientiert sich an internationalen Informationssicherheitsstandards, insbesondere an der ISO 27001, und soll die Schweizer Informationsinfrastruktur stärken.

Mit dem Informationssicherheitsgesetz (ISG) hat der Bund für weite Teile der Schweizer Verwaltung, für wichtige Organisationen und für Unternehmen wie - und insbesondere - kritische Infrastrukturen Pflichten zum IT-Sicherheits- und Cybersecurity-Management eingeführt.

Die ISG soll sicherstellen, dass die verpflichteten Behörden und Organisationen sowie die Betreiber kritischer Infrastrukturen potenzielle Risiken minimieren und ihre Systemstabilität und Geschäftskontinuität kontinuierlich testen und aufrechterhalten.

Demnach sind Behörden, Regierungs- und Bundesorganisationen, Bundesgerichte, die Nationalbank und viele mehr dem ISG unterstellt (Art. 2) sowie Organisationen, die mit ihnen zusammenarbeiten (Dritte) (Art. 9). Es werden (in Art. 5) insbesondere die IT-Ressourcen als "hoch schützenswert" deklariert und die Geltung des Gesetzes für kritische Infrastrukturen und Einrichtungen, die für das Funktionieren der Wirtschaft oder der Bevölkerung unabdingbar sind, erklärt, wozu u.a. die Abwasserversorgung, die Energieversorgung, Banken, Versicherungen, das Gesundheitswesen, der Verkehr usw. gehören.

Das ISG enthält in erster Linie Anforderungen an Organisationen, Unternehmen und Behörden zur Informationssicherheit (Art. 6-23 ISG). Nach dem Informationssicherheitsgesetz (ISG) sind sie verpflichtet, eine umfassende und proaktive Informationssicherheit aufrechtzuerhalten und zu evaluieren sowie geeignete Maßnahmen zu ergreifen, um Daten und digitale Werte vor Cyber-Vorfällen zu schützen. Dabei ist es besonders wichtig, dass die Organisationen in der Lage sind, rasch auf Vorfälle zu reagieren und die Wirksamkeit der getroffenen Schutzmassnahmen zu überwachen und zu verbessern oder die Bedrohungslage laufend zu beurteilen.

Was ist NIS2?

NIS2 ist die aktualisierte Richtlinie der Europäischen Union, die darauf abzielt, die Cybersicherheit in kritischen und wesentlichen Infrastrukturen zu verbessern. Die NIS2 baut auf ihrer Vorgängerin, der ursprünglichen NIS-Richtlinie (Netz- und Informationssysteme), auf und weitet ihren Anwendungsbereich erheblich aus, um mehr Sektoren und Unternehmen einzubeziehen. Die Richtlinie soll sicherstellen, dass für Wirtschaft und Gesellschaft wichtige Branchen wie Energie, Verkehr, Gesundheitswesen, Finanzdienstleistungen und digitale Infrastrukturen strenge Cybersicherheitsstandards einhalten.

Zu den wichtigsten Anforderungen im Rahmen der NIS2 gehören die Einführung umfassender Systeme für das Management von Cybersicherheitsrisiken, die Meldung von Vorfällen innerhalb bestimmter Fristen und die Gewährleistung der Cybersicherheit in der gesamten Lieferkette. Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Mio. EUR sind zur Einhaltung der Vorschriften verpflichtet, ebenso wie Betreiber kritischer Infrastrukturen, unabhängig von ihrer Größe.

Die Nichteinhaltung der NIS2 kann erhebliche Strafen nach sich ziehen, darunter Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Die Richtlinie erleichtert auch eine stärkere Zusammenarbeit zwischen den EU-Mitgliedstaaten und intensiviert die Überwachungsmechanismen, um die allgemeine Cybersicherheit in ganz Europa zu verbessern.

NIS2 und Information Security Management Systems vereinfacht

Konkret verpflichtet das ISG die Unternehmen, ein ISMS (Informationssicherheitsmanagementsystem) einzurichten, das den Anforderungen des Gesetzes entspricht. Dies beinhaltet:

• die Beurteilung der Schutzbedürftigkeit (Art. 6),
• Daten zu klassifizieren (Art. 11-15),
• die Bewertung der Risiken (Artikel 8),
• und die Gewährleistung von IT-Praktiken (Art. 16-19).

Weitere wichtige Punkte des geforderten ISMS sind:

• Organisationen, die unter das Gesetz fallen, müssen weiterhin den Schutzbedarf ihrer Daten (Art. 6) ermitteln und bewerten (Art. 11-15), um schutzwürdige Daten vor Verlust und Angriffen zu schützen. Das Risikomanagement (Art. 8) beschreibt die Maßnahmen zur Beherrschung von Risiken innerhalb des Unternehmens und gegenüber Dritten. Es werden Maßnahmen zur Risikovermeidung und -reduzierung sowie zum Management von Restrisiken definiert.
• Für IT-Ressourcen müssen Sicherheitsverfahren definiert, Sicherheitsstufen zugewiesen und Mindestanforderungen formuliert werden (Art. 16-19).
• Zu den personellen Maßnahmen gehören die sorgfältige Auswahl der Mitarbeiter sowie deren Aus- und Weiterbildung zum ISG und entsprechende Schulungen (Art. 20).
• Bei der Zusammenarbeit mit Nicht-ISG-Partnern ist deren Übereinstimmung mit der ISG-Rechtsverordnung (Art. 9 ) zu beachten und vertraglich zu fixieren.
• Physische Bedrohungen sollen von ISG-Unternehmen durch die Ausweisung von Sicherheitszonen mit entsprechenden Kontrollen abgewehrt werden (Art. 22-23).

Berichtspflichten, Fristen und Geldbußen: Die Revisionsparagraphen

Die am 12. Januar 2022 verabschiedete Revision des ISG (73a-79 rev) beschreibt unter anderem eine Meldepflicht für Cyber-Angriffe auf kritische Infrastrukturen sowie Meldemöglichkeiten für Cyber-Vorfälle und Sicherheitsverletzungen. Demnach müssen Betreiber kritischer Infrastrukturen Cyberangriffe mit Schadenspotenzial innerhalb von 24 Stunden an die Behörden melden. Unternehmen und Verantwortliche, die dies absichtlich oder grobfahrlässig unterlassen, werden wegen Verletzung der Meldepflicht oder Nichteinhaltung von Fristen mit einer Busse von bis zu 100'000 Franken bestraft (Art. 74a-h rev).

Auch Cloud- und Service-Provider sowie Hard- und Software-Anbieter, deren Produkte von kritischen Infrastrukturen genutzt werden, unterliegen der aktiven Meldepflicht für Cyberangriffe.

Cyber-Vorfälle und Schwachstellen in IT-Systemen können natürlich weiterhin freiwillig gemeldet werden; die Meldemöglichkeit steht allen Unternehmen offen und nicht nur den Betreibern kritischer Infrastrukturen (Art. 73b rev). Dies dient der Vorbeugung bzw. Bekämpfung von Cyber-Angriffen in der Zukunft.

Die NKS als Kontaktstelle

Das National Center for Cybersecurity (NCSC) gilt als zentrale Meldestelle für grössere Cyberangriffe, wobei die Meldungen über ein elektronisches Meldeformular erfolgen sollen. Dieses benachrichtigt auch Softwarehersteller über gemeldete Schwachstellen ihrer Produkte und setzt Fristen für die Behebung.
Die Vorlage und ihre Revision fanden sowohl im National- als auch im Ständerat eine klare Mehrheit. Lediglich die Erweiterung um eine Meldepflicht für "regelmässige" schwerwiegende Schwachstellen in Computersystemen wurde vom Rat abgelehnt, da die Abgeordneten eine Überlastung der Unternehmen erwarteten. Die Differenzbereinigung wird voraussichtlich zu einem endgültigen Gesetz führen, das derzeit noch im Nationalrat hängig ist.

Mehr betroffene Unternehmen und höhere Strafen bei Nichteinhaltung in der EU

Die EU-Richtlinie NIS2 legt neue Cybersicherheitspflichten für Unternehmen in kritischen Branchen auch in der Europäischen Union fest. Mit der "NIS2"-Richtlinie haben die Behörden den Kreis der Unternehmen erweitert, die höhere Anforderungen an die Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen erfüllen müssen.

Ab 2024 müssen Unternehmen aus den unterschiedlichsten Branchen mit mehr als 50 Mitarbeitern und 10 Millionen Euro Umsatz ein dediziertes Cybersecurity-Management einführen.

Allein in Deutschland werden rund 29.000 Unternehmen und Institutionen von den neuen europäischen Regelungen für kritische Infrastrukturen betroffen sein. Das bedeutet, dass künftig auch viele neue Unternehmen der Regulierung unterliegen, die bisher nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden. Gleichzeitig werden die Anforderungen an die sogenannten "KRITIS"-Betreiber(Kritische Infrastruktur) deutlich verschärft.

NIS2 erweitert den Anwendungsbereich und die Verpflichtungen

Die neue Richtlinie sieht für Unternehmen in Deutschland, Österreich und den anderen EU-Ländern eine strenge Verpflichtung zur Meldung von Vorfällen mit der Vorlage eines vorläufigen Berichts innerhalb von 24 Stunden und der Anwendung zusätzlicher Maßnahmen zum Cyber-Risikomanagement vor. Nach der ersten Meldung muss innerhalb von 72 Stunden ein vollständiger Bericht, einschließlich einer ersten Bewertung des Vorfalls, folgen.

Bedeutende Vorfälle und erhebliche Gefährdungen müssen den Behörden innerhalb eines Monats nach dem Vorfall erneut vollständig gemeldet und dokumentiert werden, zusammen mit weiteren Sicherheitsmanagementmaßnahmen. Die NIS2-Meldepflichten enthalten genaue Vorgaben zu Ablauf, Inhalt und Zeitrahmen der Meldungen.

Die Nichteinhaltung kann zu hohen Geldstrafen führen. Wenn die betroffenen Unternehmen die Anforderungen der Richtlinie nicht einhalten, müssen sie mit hohen Geldstrafen rechnen, die von den nationalen Behörden verhängt werden können. Gegen die wesentlichen Sektoren werden Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt, je nachdem, welcher Betrag höher ist.

Für die wichtigsten Sektoren beträgt die Höchststrafe bis zu 7 Millionen Euro bzw. 1,4 % des jeweiligen Umsatzes. Die Richtlinie sieht auch Maßnahmen wie Vor-Ort-Kontrollen, Audits und sogar die Suspendierung oder den Ausschluss von Führungskräften vor.

Alle 27 EU-Mitgliedstaaten müssen die neue Verpflichtung bis September 2024 in ihr jeweiliges nationales Recht umsetzen.

Die NIS2-Richtlinie der EU in Kürze:

• Sektoren: Die Zahl der kritischen, wesentlichen Einrichtungen steigt auf elf Sektoren; die Zahl der wichtigen Einrichtungen steigt auf sieben Sektoren, so dass insgesamt achtzehn NIS2-Sektoren vorhanden sind.
• Wirtschaftsbeteiligte: Alle mittleren und großen Unternehmen ab 50 Beschäftigten/ 10 Mio. EUR Umsatz in den Sektoren werden betroffen sein.
• Cybersicherheit: Die Anforderungen an das Management und den Umgang mit Cybersicherheit und Cybervorfällen seitens der Betreiber und der Mitgliedstaaten nehmen zu. Die Cybersicherheit muss auch in den Lieferketten und bei Drittanbietern gewährleistet werden.
• Zusammenarbeit: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern wird intensiviert, die europäische Gerichtsbarkeit wird gestrafft.
• Sanktionen: Die Sanktionen und Durchsetzungsmaßnahmen werden erheblich ausgeweitet - auf Höchststrafen von mindestens 7 oder 10 Mio. EUR, je nach Sektor.

Die Aufgaben, die die betroffenen Unternehmen heute zu erledigen haben:

• Analyse und Bewertung der Sicherheitsrisiken der IT-Systeme des Unternehmens: Vorbeugung, Erkennung, Identifizierung, Eindämmung, Abschwächung und Reaktion auf Vorfälle (Incident Response Aktivitäten)
• Sicherstellung der Geschäftskontinuität und Krisenmanagement
• Gewährleistung der Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen durch Dritte
• Prüfung und Bewertung der Wirksamkeit von Maßnahmen des IT-Sicherheitsrisikomanagements

Fazit

Verschiedene nationale und EU-weite Vorschriften haben die Anforderungen an die Überwachung und Berichterstattung im Bereich der Cybersicherheit für Schweizer und EU-Unternehmen verschärft. Dies macht es für Unternehmen unerlässlich, der Überwachung, Erkennung und Meldung von Cyber-Vorfällen Priorität einzuräumen. Zu den Massnahmen gehören unter anderem, Network Detection & Response ein grundlegendes Element, um die strengeren Anforderungen zu erfüllen.

Weitere Informationen zur Einhaltung von NIS2 finden Sie in der Checkliste zur Einhaltung der Vorschriften, die Sie hier herunterladen können.

Die KuppingerCole Executive View on NDR ist auch ein gut geeignetes und hilfreiches Tool für ein tieferes Verständnis der Netzwerküberwachung als grundlegendes Element der Sicherheitsarchitektur für NIS2. Darin wird beschrieben, wie die Netzwerksicherheitssoftwarelösung Exeon.NDR maschinelles Lernen nutzt, um eine umfassende Netzwerküberwachung, die sofortige Erkennung potenzieller Cyberbedrohungen und effiziente Reaktionen zum Schutz globaler Unternehmen und kritischer Infrastrukturen zu ermöglichen.