NIS2-Compliance für den Forschungssektor

Forschungseinrichtungen tragen in der gesamten Europäischen Union zu wissenschaftlichem Fortschritt, technologischer Innovation und wirtschaftlicher Wettbewerbsfähigkeit bei. Universitäten, Forschungslabore und spezialisierte Forschungsorganisationen verwalten sensibles geistiges Eigentum, hochentwickelte Technologien und grenzüberschreitende Zusammenarbeit. Die zunehmende Digitalisierung von Forschungsdaten, Laborsystemen und Hochleistungsrechnerumgebungen hat die Exponierung gegenüber Cyberrisiken vergrößert.

Die NIS2-Richtlinie legt EU-weite Cybersicherheitsverpflichtungen für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Compliance für den Forschungssektor soll die Resilienz von Einrichtungen stärken, die kritische wissenschaftliche und technologische Forschung betreiben.

Die Richtlinie gilt für mittlere und große Organisationen, die in festgelegten Sektoren tätig sind, einschließlich bestimmter Forschungseinrichtungen. Der Anwendungsbereich wird durch die Art der Forschungstätigkeit und durch nationale Benennungskriterien definiert.

Wenn Ihre Organisation Forschungstätigkeiten innerhalb des definierten Anwendungsbereichs durchführt, kann sie als wichtige Einrichtung unter NIS2 fallen.

Der Forschungssektor wird wie folgt eingestuft:

Relevanter Anhang: Anhang II (wichtige Einrichtungen)

Dies umfasst Einrichtungen, deren vorrangiges Ziel die Durchführung angewandter oder experimenteller Forschung ist, einschließlich Forschungseinrichtungen, die sich mit technologischer oder wissenschaftlicher Entwicklung befassen.

Einrichtungen, die die einschlägigen Größenschwellen erfüllen, gelten im Rahmen von NIS2 als wichtige Einrichtungen.

• Wichtige Einrichtung nach Anhang II

• Forschungseinrichtungen

Abdeckung des Subsektors (Anhang II – Forschung):

Die Einhaltung der NIS2-Richtlinie im Forschungssektor gilt für:

Dies umfasst Forschungsinstitute, private F&E-Organisationen und spezialisierte Labore, die die EU-Größenkriterien erfüllen.

Die Anwendbarkeit der NIS2 auf KMU ist in diesem Sektor besonders relevant, da viele Forschungseinrichtungen in der Größenordnung mittlerer Unternehmen tätig sind. Kleinere Forschungseinrichtungen, die die Größenschwellen nicht erreichen, können außerhalb des Anwendungsbereichs liegen, sofern sie nicht ausdrücklich nach nationalem Recht benannt werden.

Universitäten können erfasst sein, wenn sie die Größenkriterien erfüllen und nach den nationalen Umsetzungsgesetzen unter die Definition von Forschungsorganisationen fallen.

• Mittlere Unternehmen (≥50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Jahresbilanzsumme)
• Große Unternehmen, die diese Schwellen überschreiten

Gemäß Artikel 21 der NIS2-Richtlinie müssen Forschungseinrichtungen geeignete und verhältnismäßige technische und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für den Forschungssektor müssen diese NIS2-Sicherheitsmaßnahmen Repositorien für Forschungsdaten, Systeme zum Schutz geistigen Eigentums, Ausrüstung zur Laborautomatisierung und die Hochleistungsrecheninfrastruktur schützen.

Die NIS2-Compliance im Forschungssektor erfordert starke Zugriffskontrollen für sensible Forschungsdaten, sichere Kollaborationsplattformen und Aufsicht über Forschungspartner Dritter. Der Schutz des geistigen Eigentums und die Kontinuität der Forschungsaktivitäten sind zentral für die Compliance-Bemühungen.

• Risikomanagement-Rahmenwerk
• Verfahren zum Umgang mit Sicherheitsvorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• Sicherheit der Lieferkette
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Schwachstellenmanagement und Patch-Management
• Schulungen zur Cyberhygiene
• Verwendung sicherer Kommunikationswege

Forschungseinrichtungen müssen die NIS2-Meldefristen für Sicherheitsvorfälle einhalten, wenn erhebliche Vorfälle auftreten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde einzureichen.

Die NIS2-24-Stunden-Meldepflicht ist besonders relevant, wenn Cybervorfälle sensible Forschungsdaten kompromittieren, Laborsysteme stören oder kollaborative Plattformen beeinträchtigen. Erhebliche Vorfälle können Datenpannen einschließen, die die Integrität der Forschung oder das geistige Eigentum beeinträchtigen.

Die Nichteinhaltung der vorgeschriebenen Fristen kann aufsichtsrechtliche Maßnahmen und finanzielle Sanktionen nach sich ziehen.

Die NIS2-Konformität im Forschungssektor auferlegt dem Leitungsorgan Rechenschaftspflichten.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie verankert die Aufsicht über die Cybersicherheit auf Ebene der obersten Leitung. Die oberste Leitung muss sicherstellen, dass Cybersicherheitskontrollen mit den institutionellen Risiken und den Zielen des Schutzes der Forschung im Einklang stehen.

Mängel in der Governance können Einrichtungen behördlicher Prüfung aussetzen, Finanzierungsrisiken erhöhen und Reputationsschäden verursachen.

• Genehmigung von Maßnahmen des Cybersicherheits-Risikomanagements durch das Leitungsorgan
• Laufende Überwachung der Umsetzung
• Verpflichtende Cybersicherheitsschulungen für die Leitung
• Mögliche persönliche Haftung nach nationalem Recht

Als Einrichtungen des Anhangs II unterliegen als Wichtige Einrichtungen eingestufte Forschungseinrichtungen einer reaktiven Aufsicht. Die zuständigen Behörden leiten Aufsichtsmaßnahmen in der Regel nach Vorliegen von Beweisen oder einer Meldung über Nichteinhaltung ein.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung:

Nationale Umsetzungsgesetze können Aufsichtsverfahren präzisieren, doch die Richtlinie legt harmonisierte Mindestsanktionsschwellen in allen Mitgliedstaaten fest.

Der Durchsetzungsfokus wird voraussichtlich auf dem Schutz sensibler Daten und der Kontinuität der Forschungsaktivitäten liegen.

• Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresgesamtumsatzes (je nachdem, welcher Betrag höher ist)

Forschungs-KMU sollten einen strukturierten Compliance-Ansatz verfolgen:

Frühzeitige Vorbereitung verringert das Risiko behördlicher Maßnahmen und schützt geistiges Eigentum.

1. Eine NIS2-Lückenanalyse durchführen
2. Kritische Forschungssysteme und Daten-Repositorien erfassen und abbilden
3. Ein dokumentiertes Rahmenwerk für das Cybersicherheits-Risikomanagement formalisieren
4. Pläne zur Vorfallreaktion und Datenwiederherstellung aktualisieren und testen
5. Verträge mit Forschungspartnern und Subunternehmern überprüfen
6. Geschäftsführung und Forschungsleitung schulen
7. Einen Meldeworkflow für 24 h/72 h/1 Monat einrichten

Forschungseinrichtungen sind im Rahmen von NIS2 sektorspezifischen Risiken ausgesetzt:

Die Einhaltung von NIS2 ist für den Forschungssektor daher entscheidend, um Innovation und institutionelle Resilienz zu schützen.

• Diebstahl geistigen Eigentums: Cybervorfälle können proprietäre Forschungsdaten kompromittieren.
• Betriebsstörungen: Laborautomatisierungssysteme können betroffen sein.
• Kompromittierung der Lieferkette: Forschungspartner und Anbieter bringen Drittrisiken mit sich.
• Behördliche Geldbußen: Nichteinhaltung kann zu erheblichen finanziellen Sanktionen führen.
• Reputationsschäden: Datenverletzungen können die institutionelle Glaubwürdigkeit und Finanzierungsmöglichkeiten beeinträchtigen.