CLOUD Act und Co.: Wie vertrauenswürdig sind US-Cloud-Angebote?

Die EU hat eine Richtlinie «für ein hohes gemeinsames Cybersicherheitsniveau» auf den Weg gebracht. Offiziell ist sie als «Richtlinie (EU) 2022/2555» bekannt oder kurz als «NIS 2», denn sie ist der zweite Anlauf, die Netzwerk- und Informationssicherheit zu erhöhen. Bis Herbst 2024 haben nun die EU-Mitgliedsländer Zeit, sie in nationales Recht zu überführen. Für die Schweiz ist sie relevant, weil die Richtlinie explizit Lieferketten und Partnerunternehmen einbezieht.

Welche Unternehmen sind betroffen?

Die neue Richtlinie betrifft im Vergleich zum Vorgänger aus dem Jahr 2016 etwa zehnmal mehr Betriebe. Europaweit sind es nach Schätzungen etwa 160'000 Unternehmen. Allein in Deutschland werden es rund 20'000 sein.

So hat NIS 2 etwa die Liste der Branchen von acht auf 18 erhöht. Sie werden nach wesentlich («essential») und wichtig («important») unterschieden. Eine ausführliche Übersicht findet sich in den Anhängen I und II der oben verlinkten Richtlinie.

Besonders wichtig sind demnach die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum.

In der Liste der «sonstigen» kritischen Sektoren finden sich Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste.

Auf jeden Fall betroffen sind Unternehmen dieser Branchen mit mehr als 50 Mitarbeitenden sowie einem Jahresumsatz oder einer Jahresbilanz von mehr als 10 Millionen Euro. Es kann aber auch kleinere Betriebe betreffen, wenn sie der einzige Anbieter eines essentiellen Dienstes in einem Mitgliedstaat sind.

Was müssen diese Unternehmen tun?

Die Pflichten finden sich im Kapitel IV der Richtlinie. Betroffene Unternehmen sollen laut Artikel 21 «geeignete und verhältnismässige technische, operative und organisatorische Massnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (…) zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.» Was als «verhältnismässig» angesehen wird, soll sich u.a. nach dem eingeschätzten Risiko, den möglichen Folgen und der Grösse des Betriebs richten.

Artikel 21 listet ausserdem einen Mindeststandard für Sicherheitsmassnahmen. Dazu gehören etwa ein Konzept für die Risikoanalyse, Pläne für die Bewältigung von Sicherheitsvorfällen, Krisen- und Backup-Management, Konzepte zur Bewertung der Wirksamkeit der Massnahmen, Verschlüsselung, Zugriffskontrolle oder auch Multi-Faktor-Authentifizierung.

Schweizer Unternehmen, die sich am IKT-Minimalstandard orientieren, sind hier bereits gut aufgestellt.

Ausdrücklich nennt Artikel 21, Absatz 2, ausserdem: «Sicherheit der Lieferkette einschliesslich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern». Absatz 3 erklärt, dass Einrichtungen, «die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschliesslich der Sicherheit ihrer Entwicklungsprozesse» berücksichtigen müssen.

Kommt es zu einem Sicherheitsvorfall, muss das Unternehmen diesen innerhalb von 24 Stunden melden und binnen 72 Stunden eine ausführliche Einschätzung an die zuständige Behörde liefern. Bleibt das aus, drohen Strafen von bis zu 10 Millionen Euro und 2 Prozent des Jahresumsatzes. CEOs und Verwaltungsräte werden zudem zur Verantwortung gezogen, setzt eine Einrichtung die genannten Massnahmen nicht um.

Warum diese neuen Regeln?

Nicht erst seit gestern erkennt die EU-Politik an, dass die zunehmende Digitalisierung und Vernetzung zugleich ein Gefahrenpotenzial darstellt. Bisherige Versuche, den Sicherheitsstandard umfassend zu erhöhen, waren aber nicht sonderlich erfolgreich.

Direkter Vorgänger der neuen Regelungen ist die Richtlinie (EU) 2016/1148. Sie hatte schon dieselbe Stossrichtung, allerdings wurde ihre Umsetzung in den Mitgliedsländern kaum überwacht und sie war an vielen Stellen unspezifischer als die neue Version.

In der Zwischenzeit sind noch mehr Vorgänge digitalisiert, automatisiert und vernetzt. Zugleich hat die Zahl der versuchten und erfolgreichen Angriffe auf Netzwerke von Industrieanlagen und öffentlichen Einrichtungen zugenommen.

Schlusswort

Die neue EU-Richtlinie folgt in weiten Teilen dem, was international bereits empfohlen und praktiziert wird. Wie erwähnt, gibt es in der Schweiz ähnliche Empfehlungen für «Mindeststandards» in der Cybersicherheit von Unternehmen, die allerdings nicht verbindlich sind.

Für Betriebe aller Art ist es allerdings eine gute Idee, sich mit möglichen Gefahren und deren Folgen zu beschäftigen, auch wenn sie nicht als Teil der «kritischen Infrastruktur» angesehen werden. Cyberangriffe wie etwa Ransomware-Attacken können einen erheblichen monetären Schaden auslösen und den Ruf des Unternehmens ruinieren.