Der Schutz kritischer Infrastruktur soll sich weiter verbessern, die Anforderungen an deren Betreiber steigen deutlich: Am Montag, 16. Januar, trat die NIS2-Richtlinie der Europäischen Union in Kraft. Die EU reagierte damit auf die in geopolitischen Krisenzeiten stark zunehmenden Cyberangriffe, die gesellschaftlich besonders relevante Einrichtungen und Organisationen bedrohen. Eugenio Carlon, Geschäftsführer von Radar Cyber Security, ordnet die Situation ein.
Eile ist geboten, die Bedrohungslage verändert sich laufend: Eine Schwachstelle oder Anomalie, die man gestern noch als „hoch kritisch“ eingestuft hat, ist morgen bereits ein erfolgreicher Infiltrationsakt. Und spätestens im Herbst 2024 müssen die dann strengeren Vorgaben zur Netzwerk- und Informationssicherheit in nationales Recht umgesetzt sein. Eine enge und systematische Zusammenarbeit zwischen Wirtschaft, Politik und Gesellschaft ist nötig.
Konkret geht es um inzwischen 18 Sektoren, die dann EU-weit mit gleichen Standards als kritische Infrastruktur eingestuft sind und sich entsprechend rüsten müssen – darunter Gesundheit, Energie und Wasserversorgung, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Transport und Verkehr. Kritis-Unternehmen ab 50 Mitarbeitenden und zehn Millionen Euro Jahresumsatz müssen mit der neuen Richtlinie bestimmte Cybersecurity-Pflichten verbindlich umsetzen.
Betreiber digitaler Infrastruktur, darunter Anbieter elektronischer Kommunikation und Domain-Registrare, werden unabhängig von ihrer Größe reguliert – ebenso wie Bereiche der öffentlichen Verwaltung und einige Spezialanbieter von besonderer Wichtigkeit, die etwa in Metropolen oder grenzübergreifend agieren.
Wie wichtig ein ganzheitlicher Ansatz von Cybersecurity ist – besonders für Kritis-Betreiber –, sehen IT-Fachleute in ihrer täglichen Arbeit. Die Novelle der NIS-Richtlinie sowie das Cyberresilienz-Gesetz leisten einen wichtigen Beitrag, um auch unter den zukünftigen Bedingungen die Werte unserer Gesellschaft in Europa zu wahren und so gut wie möglich vor Ausfällen in lebenswichtigen Bereichen zu schützen. Das geht nur gemeinsam: Cybersecurity-Spezialisten, die Wirtschaft sowie die politischen Entscheidungsträger in Europa müssen hier an einem Strang ziehen.