Doppel-Wumms zur Abwehr hybrider Bedrohungen
In den letzten Jahren gab es zahlreiche Fälle, in denen kritische Infrastrukturen in Europa unter Beschuss geraten sind. Nicht zuletzt der Angriff auf die Ostseepipeline Nordstream 2 hat für Schlagzeilen gesorgt. Die Europäische Union (EU) hat unter anderem mit zwei Rechtsakten reagiert, um die Abwehrkräfte kritischer Infrastrukturen zu stärken und die EU vor hybriden Angriffen zu schützen.
Hybrider Bedrohungsschutz
Die Critical Entities Resilience Directive (CER-Richtlinie) und die Neufassung der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (im Folgenden: NIS-2-Richtlinie) bilden eine Einheit. Die NIS-2-Richtlinie verpflichtet wichtige und wesentliche Einrichtungen, Maßnahmen zur Minimierung von Cybersicherheitsrisiken zu ergreifen. Da der beste Schutz vor Cyberbedrohungen gegen physische Sabotage nutzlos sein kann, zielt die CER-Richtlinie auf klassische Bedrohungen für kritische Infrastrukturen ab. Zusammen sollen die Richtlinien für einen umfassenden Schutz bedeutender Infrastruktur sorgen, indem diese zu Resilienz verpflichtet werden. Der Begriff der Resilienz ist in Art. 2 Nr. 2 der CER-Richtlinie insbesondere definiert als Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren und einen solchen abzuwehren.
Anwendungsbereich
Die Anwendungsbereiche der CER- und der NIS-2-Richtlinie ähneln sich. Beide Richtlinien enthalten Anhänge mit regulierten Sektoren. Der Anhang der CER-Richtlinie stimmt dabei in großen Teilen mit Anhang 1 der NIS-2-Richtlinie überein. Dennoch ist der Anwendungsbereich der CER-Richtlinie enger, denn diese adressiert nur kritische Einrichtungen. Um als kritische Einrichtung zu gelten, muss gemäß Art. 2 Nr. 1 der CER-Richtlinie eine entsprechende Einstufung durch einen Mitgliedstaat erfolgen. Die Richtlinie nennt auch Kriterien für eine Einstufung, wonach die Mitgliedstaaten gemäß Art. 6 Abs. 2 lit. c) etwa zu berücksichtigen haben, ob ein Sicherheitsvorfall bei der Einrichtung zu einer erheblichen Störung führen würde. Im Kontext der NIS-2-Richtlinie kommt es jedoch gerade nicht darauf an, ob die Tätigkeit in einem der regulierten Sektoren gewichtig genug ist, um zu einer erheblichen Störung führen zu können.
Same Same But Different
Obwohl die Richtlinien unterschiedliche Ziele haben, ähneln sich die in ihnen festgelegten Anforderungen: Nach Art. 12 Abs. 1 der CER-Richtlinie müssen Mitgliedstaaten kritische Einrichtungen zu regelmäßigen Risikobewertungen verpflichten. Zudem müssen kritische Einrichtungen gemäß Art. 13 Abs. 1 der CER-Richtlinie geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung von Resilienz ergreifen, darunter auch solche Maßnahmen, die die gesamte Lieferkette in den Blick nehmen. Dabei sind schon die Begriffe ähnlich zur NIS-2-Richtlinie. Auch letztere macht in ihrem Art. 21 verhältnismäßige technische, operative und organisatorische Maßnahmen zur Beherrschung von Risiken für die Sicherheit von Netz- und Informationssystemen verpflichtend. Den Dreiklang aus Risikobewertung, Maßnahmen zum Risikomanagement (bzw. zur Stärkung der Resilienz) und Meldepflichten bei Sicherheitsvorfällen haben beide Rechtsakte gemein – ein Umstand, dem Unternehmen bei ihren internen Prozessen Rechnung tragen sollten.
Fazit
Im Oktober endet für die Mitgliedstaaten die Frist zur Umsetzung der CER- und der NIS-2-Richtlinie. Damit müssen sich Unternehmen auf eine Umsetzung der erforderlichen Maßnahmen einstellen. Die Tatsache, dass beide Richtlinien Einrichtungen explizite Verpflichtungen für die Lieferkette auferlegen, erfordert ein Umdenken. Sofern noch nicht geschehen, sollten Unternehmen prüfen, ob sie betroffen sind. Im Zweifelsfall sollte eine Umsetzung erfolgen, denn auch wenn kein gesetzlicher Zwang besteht: An der Abwehr hybrider Bedrohungen, sollten Unternehmen auch ein (wirtschaftliches) Eigeninteresse haben.
zurück