Zuviel ist zuviel… Computerangriffe haben europäischen Organisationen großen Schaden zugefügt. Die Auswirkungen waren erheblich für diese Unternehmen, aber auch für viele lebenswichtige Dienste: Stromversorgung, Gesundheit usw. Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheitsstandards in Europa zu stärken und zu harmonisieren. Welche Konsequenzen hat dies für die französischen Unternehmen, und in welchem Maße sind sie betroffen?
Die Verpflichtung, bestimmte europäische Standards einzuhalten, wird a priori als belastend empfunden. Das Unternehmen steht vor neuen Einschränkungen, der Notwendigkeit kostspieliger Berichterstattung im Bereich Personalressourcen und dem Risiko schwerer Geldstrafen bei Nichteinhaltung von Vorschriften… So ist die Lage mit der NIS2-Richtlinie, die am 17. Januar 2023 auf europäischer Ebene in Kraft trat – mit einer Frist für Frankreich bis zum 17. Oktober 2024. NIS steht für „Network and Information Systems“, also „Netzwerke und Informationssysteme“.
Warum diese neue europäische Richtlinie?
Das Ziel von NIS2 ist es, Verwaltungen und Unternehmen, die für wesentliche Dienste verantwortlich sind, dazu zu bringen, nachhaltig und effektiv in die Sicherung ihrer IT-Systeme zu investieren. Diese Unternehmen müssen nicht nur bestmöglich geschützt sein, sondern auch in der Lage sein, widerstandsfähig zu sein: im Falle eines Falles, sie sollen schnell wieder funktionsfähig werden können. Es gibt dabei eine unterschwellige Botschaft: Es wird in der Regel weniger kostspielig sein, sich an diese Richtlinie zu halten, als einen Cyberangriff zu erleiden. Laut der Studie Les cyberattaques en France – Rapport 2025, veröffentlicht von jedha.co, haben 43 % der französischen Unternehmen mindestens einen erfolgreichen Cyberangriff erlitten, und die durchschnittlichen Kosten wurden auf etwa 59 000 € geschätzt.
Eine Angelegenheit, die über die Unternehmen hinausgeht
Dabei scheint Cybersicherheit auf den ersten Blick vor allem ein Anliegen jedes einzelnen Unternehmens zu sein. Wenn es aufgrund unzureichender Schutzmaßnahmen einen Angriff erleidet, ist das dann nicht einfach bedauerlich für das Unternehmen selbst? Warum sollte es notwendig sein, ihm aufzuerlegen, seine Daten zu sichern mit der Aussicht auf mögliche Sanktionen?
Es gibt jedoch eine Reihe von Betreibern, deren einwandfreies Funktionieren für die Gesellschaft von wesentlicher Bedeutung ist. Und in Wirklichkeit zielt NIS2 darauf ab, nicht nur die Unternehmen, sondern auch die Bürger vor den unerwünschten Folgen von Cyberangriffen zu schützen. Einige konkrete Beispiele folgen.
Krankenhäuser
Nehmen wir das Beispiel eines Krankenhauses oder einer Klinik. Viele Einrichtungen dieser Art wurden in den vergangenen Jahren von Cyberangriffen getroffen. Die Folgen waren schwerwiegend: Unmöglichkeit, auf die Patientenakten zuzugreifen, Notwendigkeit, dringende Operationen abzusagen… Patienten mussten in andere Einrichtungen umgeleitet werden, ihr Leben konnte gefährdet werden.
Mit der NIS2-Richtlinie ist ein Krankenhaus verpflichtet, eine kontinuierliche Überwachung seiner IT-Sicherheit einzurichten.
Energieversorger
Ähnlich sieht es bei einem Energieversorger aus. Wenn er einen Angriff erleidet, der zu einer Störung seiner Dienste führt, kann dies zu großflächigen Stromausfällen führen. Dutzende oder Hunderttausende von Haushalten können mitten im Winter ohne Heizung dastehen, lebenswichtige Unternehmen können ihre Operationen nicht durchführen, und öffentliche Funktionen wie Ampeln können aufhören zu funktionieren… Die Sicherung der IT eines Energieversorgers ist eindeutig eine Hauptpriorität, da ein Ausfall viele verschiedene Bereiche betreffen kann.
Transport
Der Verkehrssektor ist ebenfalls betroffen. Das reibungslose Funktionieren von Eisenbahnsignalsystemen, die Einhaltung von Fahrplänen kann für viele Reisende kritisch sein. Auch hier ist ein länger anhaltender Ausfall kaum vorstellbar.
Banken
Was ist mit den Privatbanken? Ein Cyberangriff kann zum Diebstahl persönlicher Daten führen, was bereits besorgniserregend genug ist, aber er kann auch den Zugang zu Konten blockieren und Tausende von Nutzern daran hindern, ihre täglichen Einkäufe zu tätigen oder ihr Gehalt zu erhalten. Auch hier ist die Einführung hochrangiger Cybersicherheitsmaßnahmen entscheidend.
Warum NIS1 nicht mehr ausreichend war?
Eine erste europäische Richtlinie, NIS1, wurde 2016 erlassen. Doch inzwischen haben Cyberangriffe ein unvorhergesehenes Maß an Raffinesse erreicht – insbesondere mit dem Aufstieg von Ransomware oder Erpressungssoftware. Sie sind auch häufiger und kostspieliger geworden. Und sie betreffen Unternehmen aller Branchen und Größen.
Nun, NIS1 galt nur für eine begrenzte Anzahl von als wesentlich erachteten Branchen (Energie, Transport, Gesundheit usw.). Viele Verwaltungen oder Anbieter kritischer Dienstleistungen waren von der Anwendung ausgeschlossen. Darüber hinaus hatte jedes Mitgliedsland die Freiheit, die Richtlinie zu interpretieren und umzusetzen, was sich in der Praxis als übermäßig erwiesen hat und die Möglichkeiten zur Koordinierung und Zusammenarbeit einschränkte. Daraus ergaben sich Schwachstellen, die Cyberkriminelle ausnutzen konnten.
Was die NIS2-Richtlinie ändert
Folglich hat NIS2 weitere Branchen und Unternehmen eingebunden, einschließlich der öffentlichen Verwaltungen insgesamt, aber auch der KMU, die kritische Dienstleistungen anbieten. Neu ist, dass diese verbesserte Richtlinie die minimalen Cybersicherheitsmaßnahmen in der EU harmonisiert. Sie verstärkt und beschleunigt die Meldepflichten bei Vorfällen. Die Fristen werden auf 24 Stunden für die erste Mitteilung und auf 72 Stunden für die Erstellung eines vollständigen Berichts verkürzt. Die persönliche Verantwortung von Führungskräften wird erhöht. Schließlich verhängt NIS2 abschreckende Sanktionen in Höhe von bis zu 10 Millionen Euro.
NIS2 trat in Frankreich am 17. Oktober 2024 in Kraft, aber die Unternehmen haben in der Regel eine Frist, um diese Richtlinie umzusetzen, die je nach ihrer Tätigkeit und Größe variieren kann.
Überhöhte Geldstrafen?
Auf den ersten Blick mag eine Strafe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes überzogen erscheinen. Doch beruhigt euch. Lediglich die für die Gesellschaft wirklich wesentlichen Sektoren (Gesundheit, Energie, Transport usw.) werden mit solchen Sanktionen belegt, und diese würden nur im Falle wesentlicher und wiederholter Verstöße verhängt. Zudem berücksichtigen die Sanktionen die Größe und den Umsatz des Unternehmens: Ein KMU wird deutlich weniger bestraft als ein Unternehmen mit Zehntausenden von Mitarbeitern.
Diese Zahlen müssen auch im Zusammenhang mit anderen Faktoren betrachtet werden. Erstens kosten Cyberangriffe jedes Jahr Milliarden von Euro und haben oft unangenehme Folgen: Datenklau, Dienstunterbrechungen, Vertrauensverlust der Öffentlichkeit in einen bestimmten Betreiber usw. So führten die Angriffe auf Krankenhäuser manchmal zu gewaltigen finanziellen Kosten.
Es soll daran erinnert werden, dass das Ziel darin besteht, Unternehmen dazu zu bringen, die Sicherheit ihrer IT-Infrastrukturen wirklich ernst zu nehmen. Vorbeugen ist besser als heilen!
