Europäisches Parlament – Fortschritte bei NIS2.
David Harmon ist der EU Huawei Cybersecurity and Privacy Director.
Der ITRE-Ausschuss im Europäischen Parlament am 28. OktoberNS 2021 wurden die Bestimmungen der NIS2-Richtlinie genehmigt. Mit diesem Gesetz werden in den 27 Mitgliedstaaten der EU neue Regeln eingeführt, um die Sicherheit von Netzen und Informationssystemen zu verbessern. Dies ist ein sehr wichtiger Gesetzestext.
Die EU-Institutionen ergreifen eine Reihe verschiedener Maßnahmen, um das Niveau der Cybersicherheit in Europa zu verbessern. Solche Initiativen sind notwendig, um die europäische Industrie und Unternehmen gleichermaßen vor Cyberangriffen zu schützen, die so drakonische Auswirkungen auf den Geschäftsbetrieb haben können. Darüber hinaus ist die Technologie heute ein wichtiges Zahnrad im Rad, das in vielen vertikalen Sektoren neue innovative Lösungen, Prozesse und Produkte liefern wird.
Technologie ist nicht mehr nur die Domäne der Telekommunikationsbranche. Dieser Tag ist längst vorbei. Technologische Innovationen rücken beispielsweise in den Bereichen Verkehr, Finanzdienstleistungen, Energie, Gesundheit, Smart City, Fertigung und Bildung in den Mittelpunkt.
Schlüsselelemente von NIS2
Das zentrale Argument von NIS2 besteht darin, zu gewährleisten, dass Unternehmen, die innerhalb der europäischen Lieferkette tätig sind, sichere Produkte und Dienstleistungen anbieten. Unternehmen in Europa müssen Risikobewertungen für die Lieferkette durchführen, um sicherzustellen, dass Unternehmen, mit denen sie zusammenarbeiten, kein Risiko für die europäische Lieferkette darstellen. Unternehmen, die unter NIS2 fallen, müssen die geeigneten Maßnahmen zur Sicherheit der Lieferkette ergreifen und mögliche lieferantenspezifische Schwachstellen berücksichtigen. Der Anwendungsbereich der EU-NIS2-Richtlinie ist ziemlich weitreichend.
Die ursprüngliche NIS1-Richtlinie aus dem Jahr 2016 umfasste eine Reihe von Sektoren, darunter Banken, Verkehr und Energie. Elemente des Sektors der digitalen Infrastruktur fielen ebenfalls in den Zuständigkeitsbereich von NIS1, einschließlich Cloud-Dienste. Der Telekommunikationssektor fällt jetzt unter die Bestimmungen der NIS2-Richtlinie und dazu gehören auch Unternehmen, die Rechenzentren bereitstellen. Auch die Sektoren Fertigung, öffentliche Verwaltung, Raumfahrt, Chemie und Abwasser fallen in den erweiterten Anwendungsbereich von NIS2.
Wie wird NIS2 erfolgreich?
Eine stärkere Governance-Architektur für die Cybersicherheit in Europa wird ein zentrales Merkmal von NIS2 sein. ENISA (European Network Information Security Agency), die Europäische Kommission und die 27 EU-Mitgliedstaaten werden bei der Erarbeitung von Risikobewertungs- und Risikominderungsstrategien zur Sicherheit von Lieferketten in Europa enger zusammenarbeiten. Die wichtigste Anforderung, die Unternehmen an die Einführung und Implementierung von NIS2 stellen, ist Gewissheit. Unternehmen möchten Entscheidungen treffen, die genau wissen, welche Regeln für das Engagement im Kontext von NIS2 gelten.
Beim jetzigen Stand des NIS2-Vorschlags haben die EU-Mitgliedstaaten einen großen Ermessensspielraum bei der Entscheidung, wie NIS2 umgesetzt wird. Länder können sich bei der Bewertung eines möglichen Sicherheitsrisikos für die europäische Lieferkette auf nichttechnische Kriterien berufen. Ich bin der Meinung, dass der Ort oder die Herkunft eines Lieferanten kein Kriterium sein sollte, das als Risiko für die europäische Lieferkette aufgenommen werden darf.
ENISA, die Europäische Kommission und die 27 Mitgliedsstaaten der EU sollten harmonisierte technische Regeln erarbeiten, die einen Zero-Trust-Ansatz zur Stärkung der Sicherheit der Lieferketten in Europa klar vorgeben. Dies wird auch eine wichtige Rolle dabei spielen, eine Fragmentierung des effektiven Funktionierens des Binnenmarkts in Europa im Rahmen künftiger NIS2-Vereinbarungen zu vermeiden. Der Aufbau eines Zero-Trust-Ansatzes für eine wirksame Einführung von NIS2 in ganz Europa sollte auf den Grundsätzen der Offenheit, Transparenz und Nichtdiskriminierung beruhen.
Eine solche Strategie wird kleinen, mittleren und großen Unternehmen in Europa die Sicherheit geben, die sie brauchen, um sowohl dem Geist als auch den rechtlichen Verpflichtungen der NIS2 zu entsprechen. Die Quintessenz ist, dass das Lieferkettenrisiko auf harten Beweisen und auf anerkannten und zertifizierten internationalen Standards basieren sollte.
Cybersicherheit ist natürlich eine globale Herausforderung. Es wäre im Interesse der Europäischen Union, internationale Cybersicherheitsstandards im Bereich des Lieferkettenrisikos voranzutreiben. Der Abschluss eines solchen Abkommens zwischen der EU und anderen einschlägigen internationalen Organisationen wird ein höheres Maß an Cybersicherheit gewährleisten und unnötigen bürokratischen Aufwand vermeiden.
Nächste Stufe im NIS2-Gesetzgebungsverfahren
NIS2 wird eine Priorität für die französische Präsidentschaft der Europäischen Union sein, die im Januar 2022 beginnt. Im Rahmen von NIS2 sind noch viele Fragen zu lösen, darunter Angelegenheiten im Zusammenhang mit Meldepflichten im Falle eines Cybervorfalls, die die Kapitalobergrenze von Unternehmen, die in den Anwendungsbereich dieser Rechtsvorschriften fallen, und die Vereinbarung, welche sektoralen Kategorien für die Zwecke der NIS als wichtig oder wesentlich eingestuft werden2.
Der öffentliche und der private Sektor tragen eine gemeinsame Verantwortung dafür, ein höheres Maß an Cybersicherheit für unsere Gesellschaft bereitzustellen. Lassen Sie uns mit einem gemeinsamen Ziel und Entschlossenheit zusammenarbeiten, damit die Ziele der NIS2-Richtlinie vollständig verwirklicht werden können. Der Zeitrahmen für die Umsetzung von NIS2 in nationales Recht der 27 Mitgliedsstaaten der EU ist das Jahr 2024.