Wer sollte das lesen: staatliche politische Entscheidungsträger, nationale Cybersicherheitskoordinatoren, sektorale Regulierungsbehörden, strategische Planer, politische Berater, europäische Beamte.
Die NIS2-Richtlinie erkennt an, dass die Compliance einzelner Einrichtungen zwar notwendig, aber unzureichend ist, um ein widerstandsfähiges digitales Europa zu erreichen. Mitgliedstaaten müssen auch kohärente nationale Cybersicherheitsstrategien entwickeln, die Politiken festlegen, Akteure koordinieren und Ressourcen auf gemeinsame Ziele ausrichten. Artikel 7 der NIS2-Richtlinie verlangt von jedem Mitgliedstaat, eine nationale Cybersicherheitsstrategie zu etablieren, die zehn spezifische Politikbereiche adressiert. Dies sind keine optionalen Empfehlungen; sie sind verpflichtend. Mitgliedstaaten haben bis Oktober 2025 Zeit, ihre Strategien zu überarbeiten, um NIS2 zu entsprechen. Dieser Beitrag skizziert die zehn Politikbereiche und erklärt, warum die Richtlinie sie vorschreibt.
Die Anforderung nationaler Strategien ist nicht neu. Frühere EU-Cybersicherheitsrahmen ermutigten Mitgliedstaaten, Strategien zu entwickeln. Der Unterschied unter NIS2 ist, dass Strategien verpflichtend sind und ihr Umfang definiert ist. Artikel 7(2) listet zehn Bereiche auf, die abgedeckt werden müssen. Diese sind: Cybersicherheits-Governance, Kompetenzentwicklung, Forschung und Innovation, öffentlich-private Partnerschaften, Cyberverteidigung, aktiver Cyberschutz, Ransomware-Politik, KMU-Unterstützung, Offenlegung von Schwachstellen und Lieferkettenrisikomanagement.
Dieses Mandat spiegelt einen philosophischen Wandel wider. Cybersicherheit ist keine technische Angelegenheit mehr, die an IT-Abteilungen delegiert werden kann. Es ist eine strategische Angelegenheit, die eine ressortübergreifende Koordination erfordert. Mitgliedstaaten, die ihre Cybersicherheitslandschaft nicht aktiv durch Politik gestalten, riskieren, reaktiv zu werden, getrieben von Krisen statt von Vision. Die Richtlinie treibt Mitgliedstaaten durch die Vorgabe von Strategien, die bestimmte Bereiche abdecken, zu strategischem Denken.
Die zehn verpflichtenden Politikbereiche
Artikel 7(2) verlangt von Mitgliedstaaten, diese zehn Bereiche in ihren nationalen Cybersicherheitsstrategien zu adressieren:
-
Governance und Koordination: Mitgliedstaaten müssen eine klare Governance-Struktur für Cybersicherheit etablieren, einschließlich der Identifikation der zuständigen Behörde, Koordinationsmechanismen zwischen Regierungsbehörden und Abstimmung mit umfassenderen digitalen und sicherheitspolitischen Maßnahmen.
-
Expertise und Kompetenzentwicklung: Mitgliedstaaten müssen Politiken zum Aufbau von Cybersicherheitsexpertise entwickeln. Dies umfasst Bildung, Ausbildung, Zertifizierung und die Anwerbung von Talenten für den öffentlichen und privaten Sektor. Erwägungsgrund 56 stellt insbesondere fest, dass Mitgliedstaaten die Cybersicherheitsausbildung unterstützen und Karrierewege in der Cybersicherheit schaffen sollten.
-
Forschung und Entwicklung: Mitgliedstaaten sollten in Forschung zu Cybersicherheitstechnologien, Bedrohungsaufklärung und Widerstandsfähigkeit investieren oder diese unterstützen. Dies umfasst Finanzierung für Universitäten, Forschungsinstitute und öffentlich-private Forschungsinitiativen.
-
Öffentlich-private Partnerschaften: Mitgliedstaaten sollten Rahmen etablieren, in denen öffentliche und private Einrichtungen bei Cybersicherheit zusammenarbeiten. Dies umfasst Informationsaustausch, gemeinsame Ausbildung und koordinierte Reaktion auf größere Vorfälle.
-
Cyberverteidigungsfähigkeiten: Mitgliedstaaten müssen Fähigkeiten zur Erkennung, Verhinderung und Reaktion auf Cyberangriffe unterhalten oder entwickeln. Für die meisten Mitgliedstaaten liegt dies primär in der Verantwortung der von der Regierung ausgewiesenen Computer Security Incident Response Teams (CSIRTs) und der Strafverfolgungsbehörden.
-
Aktiver Cyberschutz: Mitgliedstaaten sollten Politiken entwickeln, die proaktive statt lediglich reaktive Cybersicherheit unterstützen. Dies umfasst das Anbieten kostenloser Werkzeuge und Dienstleistungen für Einrichtungen, die Durchführung von Threat Hunting und die aktive Störung der Angreiferinfrastruktur.
-
Ransomware-Politik: Erwägungsgrund 54 ruft Mitgliedstaaten ausdrücklich dazu auf, eine Politik zu entwickeln, die den Anstieg von Ransomware-Angriffen adressiert. Diese sollte Erkennung, Reaktion, Prävention und, was entscheidend ist, die Entmutigung von Lösegeldzahlungen (die weitere Angriffe finanzieren) abdecken.
-
Unterstützung kleiner und mittlerer Unternehmen: Erwägungsgrund 56 verlangt von Mitgliedstaaten, die spezifischen Bedürfnisse von KMU durch Anleitung, Unterstützung und technische Hilfe zu adressieren. Dies umfasst die Einrichtung einer Kontaktstelle für KMU, das Anbieten subventionierter Dienstleistungen und die Anpassung von Politiken an die Fähigkeiten von KMU.
-
Offenlegung von Schwachstellen und koordinierte Schwachstellenbehebung: Mitgliedstaaten sollten Politiken und Verfahren dafür etablieren, dass Forscher Schwachstellen verantwortungsvoll melden und Anbieter sie beheben. Dies umfasst die Förderung der Standards ISO/IEC 30111 und ISO/IEC 29147 für die Handhabung von Schwachstellen.
-
Lieferkettensicherheit: Mitgliedstaaten sollten Politiken entwickeln, die Lieferkettenrisiken adressieren, insbesondere für kritische IKT-Abhängigkeiten. Dies umfasst die Bewertung der Widerstandsfähigkeit der Lieferkette, die Diversifizierung von Lieferanten und die Sicherstellung von Sicherheitsstandards bei der Beschaffung.
Governance und Koordination
Wirksame nationale Cybersicherheit hängt von Koordination ab. In vielen europäischen Mitgliedstaaten ist die Cybersicherheitsverantwortung fragmentiert. Das Verteidigungsministerium verwaltet die militärische Cyberverteidigung. Eine dedizierte Cybersicherheitsbehörde befasst sich mit kritischer Infrastruktur. Sektorale Regulierungsbehörden (Finanzen, Telekommunikation, Energie) legen Anforderungen in ihren Bereichen fest. Strafverfolgungsbehörden ermitteln bei Cyberkriminalität. Universitäten betreiben Forschung. Private Unternehmen implementieren Abwehrmaßnahmen.
Ohne Koordination arbeiten diese Akteure in Silos. Ein Bedrohungsaufklärungsbericht der Strafverfolgung erreicht den Finanzsektor nicht. Die Abwehrmaßnahmen des privaten Sektors werden nicht durch staatliche Bedrohungsbewertungen informiert. Forschungsdurchbrüche an Universitäten erreichen die Praktiker nicht. Die Governance-Anforderung von NIS2 treibt Mitgliedstaaten dazu, Strukturen zu etablieren, die diese Lücken überbrücken.
Dies bedeutet typischerweise die Ausweisung einer federführenden Behörde, die für die nationale Cybersicherheitsstrategie verantwortlich ist, die Einrichtung interministerieller Koordinationsausschüsse, die Schaffung von Mechanismen zum Informationsaustausch und die Definition klarer Eskalationsverfahren für größere Vorfälle. Einige Mitgliedstaaten haben dedizierte Cybersicherheitszentren geschaffen, die als Koordinationsknotenpunkte dienen. Andere haben bestehenden Sicherheits- oder Digitalbehörden ein erweitertes Mandat gegeben. Die spezifische Struktur variiert, aber die Anforderung ist klar: Koordination muss beabsichtigt und strukturiert sein.
Expertise und Kompetenzen
Cybersicherheitsexpertise ist knapp. Europäische Universitäten bringen weit weniger Cybersicherheitsabsolventen hervor, als der Markt nachfragt. Erfahrene Fachkräfte werden weltweit rekrutiert, oft für besser bezahlte Positionen außerhalb Europas. Regierungen kämpfen darum, Talente für Rollen im öffentlichen Sektor zu gewinnen, da sie niedrigere Gehälter als private Unternehmen anbieten.
NIS2 treibt Mitgliedstaaten dazu, dies durch Bildungs- und Kompetenzentwicklungspolitiken zu adressieren. Dies umfasst:
- Universitäre Bildung: Unterstützung von Cybersicherheits-Studiengängen, Sicherstellung, dass Cybersicherheit in relevanten Disziplinen (Informatik, Ingenieurwesen, Recht, Politik) gelehrt wird, und Schaffung von Wegen von der Bildung zur Beschäftigung.
- Berufliche Ausbildung: Entwicklung von Zertifizierungen und Ausbildungsprogrammen für Praktiker, die möglicherweise keine formale Universitätsausbildung haben, aber in das Feld einsteigen wollen.
- Kontinuierliches Lernen: Unterstützung der beruflichen Weiterentwicklung, damit erfahrene Praktiker mit sich entwickelnden Bedrohungen und Technologien Schritt halten.
- Karrierewege: Rollen in Regierung und kritischer Infrastruktur für talentierte Fachkräfte durch wettbewerbsfähige Vergütung, interessante Arbeit und berufliches Vorankommen attraktiv zu machen.
- Vielfalt: Sicherstellen, dass Cybersicherheit Menschen mit unterschiedlichen Hintergründen zugänglich ist, in der Erkenntnis, dass vielfältige Teams Probleme besser lösen und dass der Ausschluss potenzieller Talente Verschwendung ist.
Forschung und Innovation
Cybersicherheit ist ein sich rasch entwickelndes Feld. Die Abwehrmaßnahmen von heute werden zu den Schwachstellen von morgen. Mitgliedstaaten sollten in Forschung investieren, um:
- Sicherere Technologien zu entwickeln: Forschung zu Kryptografie, formalen Methoden, sicheren Programmierpraktiken und Abwehrtechnologien.
- Aufkommende Bedrohungen zu verstehen: Forschung zu Motiven, Fähigkeiten und Techniken von Angreifern, insbesondere zu deren Entwicklung als Reaktion auf Abwehrmaßnahmen.
- Widerstandsfähigkeitspraktiken zu verbessern: Forschung dazu, wie Organisationen Angriffe schnell erkennen, darauf reagieren und sich davon erholen können.
- Das Ökosystem zu unterstützen: Universitäten, Forschungsinstitute und Start-ups, die Cybersicherheitsprodukte und -dienstleistungen entwickeln, brauchen Investitionen und Unterstützung.
NIS2 positioniert Forschung nicht als akademischen Luxus, sondern als strategisches Gebot. Ohne Forschung wird Europa abhängig von anderswo entwickelten Technologien, was sowohl eine geopolitische Verwundbarkeit als auch eine Kompetenzlücke schafft, da Praktiker ausländische Lösungen verwenden, die sie nicht entwickelt haben und nicht vollständig verstehen können.
Öffentlich-private Partnerschaften
Cybersicherheit ist keine rein staatliche Funktion. Kritische Infrastruktur wird überwiegend von privaten Unternehmen betrieben. Bedrohungen betreffen beide Sektoren. Informationen über Bedrohungen, die im privaten Sektor entdeckt werden, sind für die Regierung wertvoll; Bedrohungsaufklärung von der Regierung hilft privaten Einrichtungen, sich zu schützen.
Artikel 7(2)(h) verlangt von Mitgliedstaaten, Politiken zu entwickeln, die öffentlich-private Partnerschaften (PPPs) in der Cybersicherheit unterstützen. Erwägungsgrund 55 erläutert: “Öffentlich-private Partnerschaften (PPPs) im Bereich der Cybersicherheit können einen geeigneten Rahmen für den Wissensaustausch, den Austausch bewährter Praktiken und die Schaffung eines gemeinsamen Verständnisniveaus unter den Interessenträgern bieten.”
Wirksame PPPs umfassen typischerweise:
- Mechanismen zum Informationsaustausch: Formelle Vereinbarungen, durch die private Einrichtungen Bedrohungen und Vorfälle an die Regierung melden und die Regierung Bedrohungsaufklärung mit privaten Einrichtungen teilt.
- Gemeinsame Ausbildung und Übungen: Sektorweite Übungen zur Vorfallsreaktion, Planübungen und Ausbildungen, die öffentliche und private Akteure zusammenbringen.
- Standardsetzung: Kollaborative Entwicklung von Sicherheitsstandards, bewährten Praktiken und technischen Spezifikationen.
- Vorfallsreaktion: Vorab vereinbarte Verfahren, mit denen die Regierung private Einrichtungen bei größeren Cyberangriffen unterstützt.
- Governance: Klare Rollen, Verantwortlichkeiten, Vertraulichkeitsschutz und Eskalationsverfahren.
Cyberverteidigung und aktiver Schutz
Mitgliedstaaten müssen die Fähigkeit unterhalten, Cyberangriffe zu erkennen und darauf zu reagieren. Dies ist primär die Rolle staatlicher CSIRTs, erfordert aber:
- Bedrohungsaufklärung: Fähigkeit, Informationen über Bedrohungen zu sammeln, zu analysieren und zu verbreiten.
- Forensik und Vorfallsreaktion: Fähigkeit, Angriffe zu untersuchen, Beweise zu sichern und Opfern bei der Reaktion zu helfen.
- Offensive Fähigkeit: Einige Mitgliedstaaten entwickeln begrenzte offensive Cyberfähigkeiten, um die Infrastruktur von Angreifern zu stören oder Angriffe mit hoher Sicherheit zuzuordnen. Dies ist umstritten und wirft rechtliche und ethische Fragen auf.
Aktiver Cyberschutz geht über die Reaktion auf Angriffe hinaus. Er umfasst die proaktive Störung von Schadsoftware, das Anbieten kostenloser Sicherheitswerkzeuge für Einrichtungen, die Durchführung von Threat Hunting und die Zusammenarbeit mit internationalen Partnern, um die Fähigkeiten von Angreifern zu untergraben.
Ransomware und Entmutigung von Zahlungen
Ransomware wird in NIS2 ausdrücklich als politische Priorität genannt. Erwägungsgrund 54 stellt fest: “In den letzten Jahren war die Union mit einem exponentiellen Anstieg von Ransomware-Angriffen konfrontiert, bei denen Schadsoftware Daten und Systeme verschlüsselt und eine Lösegeldzahlung für die Freigabe fordert. Die zunehmende Häufigkeit und Schwere von Ransomware-Angriffen kann durch mehrere Faktoren angetrieben werden, wie unterschiedliche Angriffsmuster, kriminelle Geschäftsmodelle rund um ‘Ransomware as a Service’ und Kryptowährungen, Lösegeldforderungen und der Anstieg von Lieferkettenangriffen.”
Mitgliedstaaten sollten ransomware-spezifische Politiken entwickeln, die Erkennung, Reaktion, Prävention und, was entscheidend ist, die Entmutigung von Lösegeldzahlungen adressieren. Einige Mitgliedstaaten haben Sensibilisierungskampagnen gestartet, die erklären, dass Ransomware-Zahlungen weitere Angriffe finanzieren, oft an Gruppen der organisierten Kriminalität oder Nationalstaaten. Einige haben mit Finanzinstituten zusammengearbeitet, um die Übertragung von Lösegeldzahlungen zu erschweren. Die Theorie ist überzeugend: Wenn niemand Lösegeld zahlt, bricht das Geschäftsmodell zusammen.
In der Praxis ist dies schwierig. Ransomware-Opfer stehen unter enormem Druck, zu zahlen, um den Betrieb schnell wiederherzustellen. Einige sind versichert, was die Zahlung aus ihrer Sicht schmerzlos macht. Andere verhandeln Lösegeldbeträge deutlich nach unten. Die politische Verschiebung unter NIS2 besteht darin, das Zahlen zur Ausnahme und nicht zur Norm zu machen, durch Sensibilisierung, Finanzkontrollen und Strafverfolgung.
KMU-Unterstützungsstrukturen
Artikel 7(2)(i) verlangt, dass “der Mitgliedstaat kleine und mittlere Unternehmen unterstützt, einschließlich durch Anleitung und Unterstützung im Hinblick auf das Management von Cybersicherheitsrisiken und die Umsetzung angemessener technischer, organisatorischer und operativer Maßnahmen.” Erwägungsgrund 56 führt aus, dass “Mitgliedstaaten eine Kontaktstelle für kleine und mittlere Unternehmen auf nationaler oder regionaler Ebene haben sollten, die kleinen und mittleren Unternehmen entweder Anleitung und Unterstützung bietet oder sie an die zuständigen Stellen für Anleitung und Unterstützung in cybersicherheitsbezogenen Fragen verweist.”
Dies ist eine praktische Anerkennung, dass KMU es an interner Expertise fehlt und sie sich nicht immer externe Berater leisten können. Mitgliedstaaten sollten Unterstützungsmechanismen etablieren:
- Helpdesks oder Hotlines: Eine Kontaktstelle, an der KMU Fragen stellen und Anleitung erhalten können.
- Kostenlose Werkzeuge und Ressourcen: Werkzeuge zum Scannen von Schwachstellen, Konfigurationsvorlagen, an KMU-Größenordnung angepasste Sicherheitsrahmen.
- Subventionierte Bewertungen: Von der Regierung finanzierte oder subventionierte Sicherheitsbewertungen, damit KMU ihre Risiken ohne prohibitive Kosten verstehen können.
- Ausbildung: Kostenlose oder subventionierte Ausbildungsprogramme für KMU-Mitarbeiter zu Cybersicherheitsgrundlagen.
- Informationsaustausch: Regelmäßige Bedrohungsaufklärung und Warnungen, die auf KMU-Sektoren zugeschnitten sind.
Offenlegung von Schwachstellen
NIS2 verlangt von Mitgliedstaaten, Politiken zur Offenlegung von Schwachstellen zu etablieren, den Prozess, durch den Sicherheitsforscher Schwachstellen vor der öffentlichen Offenlegung an Anbieter melden. Gute Praktiken zur Offenlegung von Schwachstellen stellen sicher, dass Schwachstellen behoben werden, bevor Angreifer sie weiträumig ausnutzen können.
Politiken sollten Folgendes abdecken:
- Rahmenwerke: Klare Verfahren für Forscher zur Meldung von Schwachstellen, für Anbieter zu deren Anerkennung und Behebung und für alle Parteien zur Vereinbarung des Offenlegungszeitpunkts.
- Anreize: Bug-Bounty-Programme oder Anerkennung für Forscher, die Schwachstellen verantwortungsvoll melden.
- Standards: Abstimmung mit ISO/IEC 30111 und ISO/IEC 29147, die internationale Orientierung bieten.
- Rechtsschutz: Sicherstellen, dass Forscher, die Schwachstellen in gutem Glauben melden, dafür nicht strafrechtlich verfolgt oder verklagt werden.
Lieferkettenrisikomanagement
Der letzte Politikbereich adressiert Lieferkettenrisiken. Dies umfasst die Zusammenarbeit mit der Industrie zur Identifizierung von Abhängigkeiten, die Förderung der Lieferantendiversifizierung, die Festlegung von Sicherheitsstandards in der Beschaffung und die Durchführung der koordinierten Lieferkettenbewertungen, die in Artikel 22 beschrieben sind.
Wichtige Erkenntnisse
- NIS2 Artikel 7(2) schreibt vor, dass Mitgliedstaaten nationale Cybersicherheitsstrategien entwickeln, die zehn spezifische Politikbereiche adressieren.
- Die zehn Bereiche sind: Governance, Expertise und Kompetenzen, Forschung und Innovation, öffentlich-private Partnerschaften, Cyberverteidigung, aktiver Cyberschutz, Ransomware-Politik, KMU-Unterstützung, Offenlegung von Schwachstellen und Lieferkettenrisikomanagement.
- Nationale Strategien sind nicht Wunschziel; sie sind bindende politische Instrumente, die prägen, wie Mitgliedstaaten Ressourcen zuweisen und Akteure koordinieren.
- Governance und Koordination sind grundlegend; ohne Koordination arbeiten verschiedene Regierungsbehörden und Akteure des privaten Sektors in Silos, was die Wirksamkeit verringert.
- Kompetenzen und Forschung sind strategische Prioritäten; ohne einheimische Expertise und Innovation wird Europa abhängig von ausländischen Technologien und sieht sich Hindernissen beim Einsatz und Verständnis kritischer Abwehrmaßnahmen gegenüber.
- Die KMU-Unterstützung erkennt an, dass den meisten europäischen Unternehmen interne Cybersicherheitsexpertise fehlt und sie staatliche Unterstützung benötigen, um grundlegende Sicherheitsstandards zu erfüllen.
- Ransomware, Offenlegung von Schwachstellen und Lieferkettenrisikomanagement sind politische Prioritäten, die in den Erwägungsgründen von NIS2 spezifisch als Bereiche genannt werden, in denen Mitgliedstaaten historisch unzureichende Rollen gespielt haben.