NIS2-Konformität für den Sektor der digitalen Infrastruktur

Digitale Infrastruktur ist die Grundlage für das Funktionieren moderner Volkswirtschaften. Internet-Austauschpunkte, Domain-Name-Systeme, Cloud-Dienste, Rechenzentren und Telekommunikations-Backbonenetze bilden das technische Fundament kritischer Dienste in der gesamten Europäischen Union. Störungen in diesem Sektor können sich kaskadenartig auf die Bereiche Energie, Verkehr, Finanzwesen, Gesundheit und öffentliche Verwaltung auswirken.

Die NIS2-Richtlinie legt EU-weite Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Einhaltung im Sektor der digitalen Infrastruktur spiegelt die systemische Bedeutung der Aufrechterhaltung widerstandsfähiger und sicherer Kern-Internet- und Konnektivitätsdienste wider.

Die Richtlinie gilt für mittelgroße und große Organisationen, die in festgelegten Sektoren tätig sind, einschließlich der digitalen Infrastruktur. Viele Betreiber, die grundlegende Internet- oder Netzdienste bereitstellen, fallen in den Anwendungsbereich.

Wenn Ihr Unternehmen in der digitalen Infrastruktur tätig ist, könnten Sie unter NIS2 als wesentliche oder wichtige Einrichtung eingestuft werden.

Der Sektor Digitale Infrastruktur wird eingestuft als:

Relevanter Anhang: Anhang I (wesentliche Einrichtungen)

• Wesentliche Einrichtung nach Anhang I

• Anbieter von Internetknoten (IXP)
• Anbieter von DNS-Diensten
• Registerbetreiber für Top-Level-Domains (TLD)
• Anbieter von Cloud-Computing-Diensten
• Anbieter von Rechenzentrumsdiensten
• Anbieter von Content-Delivery-Netzwerken (CDN)
• Vertrauensdiensteanbieter
• Anbieter öffentlicher elektronischer Kommunikationsnetze
• Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

Abdeckung der Subsektoren (Anhang I – Digitale Infrastruktur):

Die NIS2-Compliance für den Bereich der digitalen Infrastruktur gilt für:

Dazu zählen Cloud-Anbieter, Rechenzentrumsbetreiber, DNS-Betreiber, Telekommunikationsnetzbetreiber und Vertrauensdiensteanbieter, die die EU-Schwellenwerte für die Unternehmensgröße erfüllen.

Die Anwendbarkeit der NIS2 auf KMU ist in diesem Sektor besonders relevant, da viele spezialisierte Cloud-, Hosting-, CDN- und Vertrauensdiensteanbieter im Maßstab mittlerer Unternehmen tätig sind. Selbst Organisationen ohne große physische Präsenz können aufgrund ihres Umsatzes oder der Kritikalität ihrer Dienste in den Anwendungsbereich fallen.

• Mittlere Unternehmen (≥ 50 Beschäftigte und/oder 10 Mio. € jährlicher Umsatz oder Bilanzsumme)
• Große Unternehmen, die diese Schwellenwerte überschreiten
• Bestimmte kritische Anbieter, die gegebenenfalls nach nationalem Recht benannt sind

Nach Artikel 21 der NIS2-Richtlinie müssen Einrichtungen der digitalen Infrastruktur angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur Steuerung von Cybersicherheitsrisiken umsetzen.

Verbindliche Maßnahmen umfassen:

Für den Sektor der digitalen Infrastruktur müssen diese NIS2-Sicherheitsmaßnahmen die Kernnetzarchitektur, Routing-Systeme, Virtualisierungsumgebungen, die DNS-Infrastruktur und Cloud-Plattformen schützen. Hohe Verfügbarkeit, Redundanz und verteilte Resilienzmodelle sind zentral für die Einhaltung der Vorgaben.

Die NIS2-Compliance im Sektor der digitalen Infrastruktur erfordert eine starke Aufsicht über die Lieferkette, insbesondere dort, wo die Infrastruktur von Hardwareherstellern, Softwareanbietern und grenzüberschreitenden Konnektivitätsvereinbarungen abhängt. Security-by-Design-Prinzipien und kontinuierliche Überwachung sind unerlässlich.

• Risikomanagementrahmen
• Verfahren zur Behandlung von Sicherheitsvorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• Lieferkettensicherheit
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Schwachstellenmanagement und Patch-Management
• Schulungen zur Cyberhygiene
• Nutzung sicherer Kommunikationsmittel

Einrichtungen der digitalen Infrastruktur müssen bei erheblichen Sicherheitsvorfällen die NIS2-Fristen für die Vorfallmeldung einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das nationale CSIRT oder die zuständige Behörde einzureichen.

Die NIS2-24-Stunden-Meldepflicht ist in diesem Sektor besonders kritisch, da Ausfälle oder Beeinträchtigungen von DNS, Cloud-Diensten oder Kommunikationsnetzen weitreichende, sektorübergreifende Auswirkungen haben können. Vorfälle, die die Verfügbarkeit, Integrität oder Vertraulichkeit der Kerninfrastruktur beeinträchtigen, gelten häufig als erheblich.

Die Nichteinhaltung der vorgeschriebenen Fristen kann aufsichtsrechtliche Maßnahmen und Geldbußen nach sich ziehen.

Die NIS2-Compliance für den Sektor der digitalen Infrastruktur auferlegt dem Leitungsorgan eine unmittelbare Verantwortung.

Zu den wesentlichen Governance-Anforderungen gehören:

Artikel 21 der NIS2-Richtlinie macht Cybersicherheit zu einer Pflicht auf Ebene des Leitungsorgans. Das Leitungsorgan muss sicherstellen, dass Cybersicherheitskontrollen angemessen mit Ressourcen ausgestattet, dokumentiert und regelmäßig überprüft werden.

Bei Anbietern digitaler Infrastrukturen können Governance-Versäumnisse zu sektorübergreifenden Störungen und erhöhter behördlicher Aufsicht führen.

• Genehmigung der Risikomanagementmaßnahmen im Bereich Cybersicherheit durch das Leitungsorgan
• Laufende Überwachung der Umsetzung
• Verpflichtende Cybersicherheitsschulungen für das Leitungsorgan
• Mögliche persönliche Haftung nach nationalem Recht

Als Einrichtungen nach Anhang I unterliegen als wesentliche Einrichtungen eingestufte Organisationen der digitalen Infrastruktur einer proaktiven Aufsicht. Die zuständigen Behörden können Audits, Inspektionen und Bewertungen der Cybersicherheit durchführen, unabhängig davon, ob ein Sicherheitsvorfall eingetreten ist.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung:

Nationale Umsetzungsgesetze können die Aufsichtskoordination präzisieren, doch die Richtlinie legt harmonisierte Mindestschwellen für Geldbußen in allen Mitgliedstaaten fest.

Angesichts der systemischen Auswirkungen von Störungen der digitalen Infrastruktur wird erwartet, dass die Durchsetzung strukturiert, risikobasiert und über Zuständigkeitsgrenzen hinweg koordiniert erfolgt.

• Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

KMU der digitalen Infrastruktur sollten strukturierte Schritte zur NIS2-Compliance unternehmen:

Frühzeitige Vorbereitung verringert das Risiko aufsichtsrechtlicher Maßnahmen und schützt die Dienstkontinuität.

1. Eine NIS2-Lückenanalyse durchführen
2. Kritische Netzwerk- und Plattformabhängigkeiten abbilden
3. Ein dokumentiertes Rahmenwerk für das Risikomanagement der Cybersicherheit formalisieren
4. Pläne zur Reaktion auf Sicherheitsvorfälle und zur Dienstkontinuität aktualisieren und testen
5. Verträge mit Drittanbietern für Hardware und Software überprüfen
6. Geschäftsführung und technische Führungskräfte schulen
7. Einen 24h/72h/1-Monat-Melde-Workflow einrichten

Einrichtungen der digitalen Infrastruktur sind unter NIS2 sektorspezifischen Risiken ausgesetzt:

Die NIS2-Konformität für den Sektor der digitalen Infrastruktur ist daher eine grundlegende Voraussetzung für die digitale Resilienz der EU.

• Serviceausfälle: Cybervorfälle können Cloud-, DNS- oder Kommunikationsdienste stören.
• Sektorübergreifende Auswirkungen: Störungen können auf die Sektoren Energie, Verkehr, Finanzwesen und Gesundheitswesen übergreifen.
• Kompromittierung der Lieferkette: Hardware- und Softwareanbieter können Schwachstellen einführen.
• Regulatorische Geldbußen: Nichteinhaltung setzt Anbieter erheblichen finanziellen Sanktionen aus.
• Reputationsschäden: Die Zuverlässigkeit der Dienste ist entscheidend für das Vertrauen der Kunden.