Cyberresilienz gewährleisten: NIS2 legt die Messlatte für Cybersicherheit höher

Illustration Absmeier foto freepik

Cyberbedrohungen betreffen heute unterschiedslos jeden. Kritische Infrastrukturen – vom Gesundheitswesen bis zum Energieversorger – stehen unter Dauerbeschuss. Millionen von Menschen sind einem nicht zu unterschätzenden Risiko aussetzt. Die Richtlinie zur Netz- und Informationssicherheit NIS2 ist Europas mutige Antwort, um Cybersicherheits-Standards für diese wichtigen Systeme zu erhöhen. Dabei geht es aber längst nicht nur darum Vorschriften einzuhalten. Unternehmen sind aufgefordert, ihre Schutzmaßnahmen zu überdenken und zu verstärken. Diese Herangehensweise soll einen Präzedenzfall für eine Zukunft schaffen, in der Cyberresilienz nicht nur eine Option, sondern ein Auftrag ist.

 

Die Entwicklung von NIS2: Warum gerade jetzt?

Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 war bereits ein wichtiger Meilenstein innerhalb der europäischen Bemühungen für mehr Cybersicherheit. Das Ziel war es, wesentliche Dienste wie Versorgungsunternehmen und Banken vor der wachsenden Bedrohung durch Cyberangriffe zu schützen. Aufgrund der rasanten technologischen Entwicklung musste die ursprüngliche Richtlinie jedoch bald ergänzt werden.

Die 2022 aktualisierte NIS2 erweitert dabei nicht nur den Kreis der betroffenen Organisationen, sondern führt zusätzlich strengere Sicherheits- und Meldepflichten ein. Warum war das notwendig? Jüngsten Berichten zufolge richten sich 32 % der weltweit verübten Cyberangriffe inzwischen gegen europäische Unternehmen/Organisationen, wobei kritische Infrastrukturen (KI) eines der wichtigsten Ziele bilden. Außerdem sind die Angriffe auf die Lieferketten seit 2019 um unglaubliche 742 % gestiegen. Cyberkriminelle sind inzwischen ausgesprochen versiert darin, Schwachstellen in Systemen auszunutzen, die für das Funktionieren des gesellschaftlichen Miteinanders unabdingbar sind, von Stromnetzen bis hin zu den Finanzmärkten.

Die NIS2 soll der veränderten Bedrohungslage nun Rechnung tragen. Dazu werden Cybersicherheitsprotokolle verschärft, der Kreis der betroffenen Firmen und Organisationen erneut ausgedehnt und härtere Strafen bei Nichteinhaltung eingeführt.

Bis zum 17. Oktober 2024 sollten sämtliche Mitgliedstaaten die Richtlinie in nationales Recht umgesetzt haben, was längst nicht allen gelungen ist. Tatsächlich haben nur zwei Mitgliedstaaten NIS2 innerhalb des vorgegebenen Zeitrahmens umgesetzt, 23 weitere wollen dies in Kürze tun.

 

Was heißt NIS2 für Firmen und Organisationen?

Die wohl wichtigste Änderung innerhalb von NIS2 ist der erweiterte Anwendungs- und Geltungsbereich. Die ursprüngliche Richtlinie konzentrierte sich strikt auf kritische Infrastrukturen. NIS2 erweitert die Perspektive und erkennt an, dass auch kleinere Unternehmen eine bedeutsame Rolle bei der Aufrechterhaltung von Sicherheit und Stabilität in modernen Gesellschaften spielen. Die Richtlinie deckt nun ein breites Spektrum an Branchen ab, darunter digitale Infrastrukturen, Postdienste, Abfallwirtschaft und weitere mehr.

NIS2 unterscheidet dabei zwischen als »wesentlich« (essential) oder als »wichtig« (important) eingestuften Einrichtungen. Als wesentlich eingestufte Unternehmen wie beispielsweise Energieversorger und Anbieter von Gesundheitsdienstleistungen, unterliegen strengeren Maßnahmen hinsichtlich von Aufsicht und Durchsetzung derselben. Hier geht der Gesetzgeber von der Annahme aus, dass Service-Unterbrechungen oder Ausfälle potenziell gesamtgesellschaftliche Auswirkungen haben.

 

In der Zwischenzeit unterliegen wichtige Unternehmen, zu denen Postdienste und die chemische Produktion zählen, ebenfalls der Aufsicht. Bei Nichteinhaltung drohen Geldstrafen.

Allein die drohenden Sanktionen machen die Einhaltung von NIS2 verpflichtend. Unternehmen, die das nicht tun, müssen mit erheblichen Strafen rechnen. Die Geldbußen für wichtige Unternehmen betragen bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – auch hier ist der höhere Betrag maßgeblich. Wichtige Unternehmen, die im Rahmen der ursprünglichen NIS-Vorgaben noch nicht von Strafen betroffen waren, müssen nun mit maximal 7 Millionen Euro oder 1,4 % ihres Umsatzes rechnen, je nachdem, welcher Betrag höher ist.

Um die laufende Einhaltung von NIS2 zu gewährleisten, sind die nationalen Regulierungsbehörden befugt, mögliche Verstöße zu untersuchen und können dazu folgende Maßnahmen ergreifen:

  • Inspektionen vor Ort: Die Aufsichtsbehörden dürfen den physischen Standort eines Unternehmens aufsuchen, um die Cybersicherheitslage aus erster Hand zu beurteilen.
  • Sicherheits-Audits: Die Regulierungsbehörden dürfen Audits durchführen, um die Sicherheitsinfrastruktur eines Unternehmens einzuschätzen und potenzielle Schwachstellen zu ermitteln.
  • Informationsersuchen: Sie sind ebenso befugt von einem Unternehmen detaillierte Informationen anzufordern, zum Beispiel dessen Risikomanagementpläne im Bereich Cybersicherheit, Incident Response-Protokolle und einen Nachweis über durchgeführte Sicherheitsmaßnahmen.
  • Sicherheitsscans: Zudem ist es diesen Behörden gestattet, Netzwerk- oder Systemscans durchführen, um ausnutzbare Sicherheitsschwachstellen oder Fehlkonfigurationen zu ermitteln.

Man sollte aber wissen, dass diese Ermittlungsmaßnahmen bei als wichtig eingestuften Einrichtungen nur dann greifen, wenn es schon zu einem Vorfall gekommen ist. Als wesentlich eingestufte Einrichtungen hingegen, gelten eher als kritische Infrastrukturen. Dort dürfen die Aufsichtsbehörden den obigen Maßnahmenkatalog nach Bedarf anwenden, um die laufende Einhaltung der NIS2-Anforderungen zu gewährleisten – auch, bevor es zu einem Verstoß gekommen ist.

 

Schlüsselkomponenten der NIS2: Von der Meldung eines Vorfalls bis zur Sicherheit der Lieferkette

Im Mittelpunkt von NIS2 steht die Notwendigkeit harmonisierter Cybersicherheitsmaßnahmen innerhalb der gesamten EU. Die Erwartungen sind klar: Unternehmen/Organisationen sollten ihre Resilienz gegenüber Cyberangriffen verbessern, zusammenarbeiten und Informationen austauschen sowie auf Vorfälle in Echtzeit reagieren. Das Melden von Vorfällen ist einer der Eckpfeiler von NIS2. Betroffene Einrichtungen sind demnach verpflichtet, Vorfälle im Bereich der Cybersicherheit unverzüglich zu melden. Die Richtlinie führt dazu bestimmte Fristen ein, darunter ein 24-Stunden-Fenster für »Frühwarn«-Meldungen. Dieser Schritt soll einerseits das situative Bewusstsein verbessern, andererseits aber auch die kollektive Reaktionsfähigkeit der EU auf schwerwiegende Cyberbedrohungen grundsätzlich stärken.

Ein weiterer wichtiger Aspekt betrifft die Sicherheit von Lieferketten. Cyberkriminelle nehmen Lieferanten und Drittanbieter ins Visier, um sich Zugang zu größeren Unternehmen zu verschaffen. Diesem schnell wachsenden Trend trägt NIS2 ebenfalls Rechnung. Die Richtlinie gibt vor, dass Unternehmen nicht nur ihre eigenen Systeme schützen, sondern auch die Cybersicherheitsmaßnahmen ihrer Partner innerhalb der Lieferkette bewerten müssen.

 

Die Rolle von Privileged Access Management (PAM) bei der Einhaltung von NIS2

Eine der effektivsten Möglichkeiten, die Anforderungen von NIS2 zu erfüllen, ist das Privileged Access Management (PAM). Privilegierter Zugriff bezieht sich auf weitreichende Berechtigungen (Administrator-Berechtigungen), die bestimmten Benutzern zeitweise gewährt werden müssen. Diese Berechtigungen gestatten einem Anwender, auf sensible Daten oder kritische Systeme zuzugreifen. Solche Zugangsdaten sind zu einem der wichtigsten Ziele von Cyberkriminellen geworden, um Angriffe mit teils verheerenden Folgen zu lancieren.

PAM-Lösungen setzen das Prinzip der minimalen Rechtevergabe durch. Benutzer dürfen nur auf die Systeme und Daten zugreifen, die sie brauchen, um ihre täglichen Arbeitsaufgaben zu erledigen. Begrenzt man so die Zahl derjenigen, die auf kritische Systeme zugreifen, senkt man automatisch das Risiko von Insider-Bedrohungen und von Angriffen, die sich gestohlene Zugangsdaten zunutze machen. PAM-Tools stellen zudem Überwachungs- und Audit-Funktionen bereit, mit denen Unternehmen in Echtzeit verdächtige Aktivitäten erkennen und auf Vorfälle reagieren können.

Solche Funktionen stehen im Einklang mit dem Schwerpunkt, den NIS2 auf Incident Response und Compliance Reporting legt. So sollten Unternehmen beispielsweise in der Lage sein, die Aktivitäten privilegierter Benutzer nachzuverfolgen und Audit-Berichte zu erstellen, um die Einhaltung der Richtlinie nachzuweisen.

 

Warum Cybersicherheit geteilte Verantwortung bedeutet

NIS2 macht deutlich, dass Cybersicherheit nicht allein in der Verantwortung einzelner Organisationen liegt. Die Richtlinie legt großen Wert auf Zusammenarbeit, sowohl innerhalb der EU als auch zwischen öffentlichen und privaten Einrichtungen. Ziel ist es, eine einheitliche Front gegen Cyberbedrohungen zu bilden. Deshalb fördert (und fordert) die Richtlinie ausdrücklich eine bessere Kommunikation und Koordination.

Dieser kooperative Ansatz ist angesichts der komplexen Natur unserer Wirtschaft besonders wichtig. Ein Cyberangriff auf ein einzelnes Unternehmen kann sich beispielsweise schnell auf eine vollständige Lieferkette auswirken, ganze Wirtschaftszweige und Millionen von Menschen in Mitleidenschaft ziehen. NIS2 versucht, diese Risiken zu senken und ermutigt Organisationen Threat-Intelligence-Daten auszutauschen, Incident-Response-Maßnahmen zu koordinieren und zusammenzuarbeiten, um die kollektive Cybersicherheitslage zu verbessern.

 

Auf NIS2 Compliance vorbereiten: Was Unternehmen jetzt tun sollten

Organisationen, die unter NIS2 fallen, sollten unverzüglich Maßnahmen ergreifen, um die Einhaltung der Vorschriften sicherzustellen. In der Richtlinie werden mehrere wichtige Maßnahmen genannt, die Organisationen vorrangig ergreifen sollten:

  1. Führen Sie eine Risikobewertung durch: Identifizieren und bewerten Sie die Cybersicherheitsrisiken innerhalb des Unternehmens, einschließlich solcher, die von Drittanbietern ausgehen.
  2. Privileged Access Management implementieren: Stellen Sie sicher, dass der Zugriff auf kritische Systeme streng kontrolliert und überwacht ist. Nutzen Sie PAM-Tools, um das Prinzip der minimalen Rechtevergabe durchzusetzen.
  3. Entwickeln Sie einen Incident-Response-Plan: Erstellen Sie einen umfassenden Plan, wie Sie auf Cybersicherheitsvorfälle reagieren wollen, einschließlich von klaren Protokollen für die Umsetzung der Meldepflicht gegenüber nationalen Behörden.
  4. Mitarbeiter schulen: Stellen Sie sicher, dass alle Mitarbeitenden – von denen an vorderster Front bis hin zu Führungskräften – mit Best Practices der Cybersecurity vertraut gemacht werden. Etwa wie sie Phishing-Angriffe und andere, direkt auf Menschen abzielende Attacken, erkennen und darauf reagieren können.
  5. Überwachen Sie ihre Lieferketten: Bewerten Sie die Cybersicherheitsmaßnahmen der Partner innerhalb einer Lieferkette und stellen Sie sicher, dass auch sie die in NIS2 beschriebenen Standards erfüllen.

 

Fazit: NIS2, eine Blaupause für globale Cybersicherheit

So wie Hacker ihre Methoden kontinuierlich optimieren, so sollten sich auch die Strategien zum Schutz vor Bedrohungen weiterentwickeln. NIS2 ist ein mutiger Schritt nach vorn und bietet ein umfassendes Konzept für die Sicherheit der Dienste, die die gesellschaftliche Grundlage der europäischen Gesellschaft bilden. Die Richtlinie hat aber durchaus das Potenzial, weit über die Grenzen der EU hinauszureichen. Sie setzt einen neuen Standard für die Regulierung von Cybersicherheit. NIS2 kann als Modell für andere Regionen dienen, die mit den gleichen Herausforderungen kämpfen.

Für Unternehmen ist die Botschaft klar: Cybersicherheit ist längst kein reines IT-Thema mehr. Sie ist eine unternehmerische und organisatorische Notwendigkeit. NIS2 einzuhalten ist ein Imperativ. Nicht nur, weil empfindliche Strafen drohen, sondern um die Systeme besser zu schützen, auf die sich Millionen von Menschen tagtäglich verlassen.

Alan Radford, Field Strategist, One Identity

 

205 Artikel zu „NIS2“

Cybersicherheit: NIS2 als Chance für produzierende Unternehmen

Unternehmen des produzierenden Gewerbes sind nicht KRITIS-relevant und fallen auch nicht unter die bisherige NIS-Richtlinie. Und so haben diese Unternehmen in der Regel noch keine entsprechenden Sicherheitsmaßnahmen implementiert, die offiziellen Anforderungen entsprechen. Die Herausforderungen durch die neue verschärfte NIS2-Richtlinie sind für sie daher besonders groß. Sie sind gezwungen, Klarheit in der Organisation zu schaffen, um…

Whitepaper IT-Sicherheit:  Zur NIS2-Readiness in sechs Schritten

  Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung im Cyberraum so hoch wie nie zuvor [1]. Besonders Ransomware-Attacken nehmen gravierend zu. Es geht nicht mehr darum, ob, sondern wann ein Unternehmen mit einem Cyberangriff konfrontiert wird – und wie sich dies bestmöglich abwenden lässt, um den Geschäftsbetrieb nicht…

90 % der EMEA-Unternehmen waren von Cybersecurity-Vorfällen betroffen, die NIS2 hätte verhindern können

Rund 80 % der Unternehmen sind zwar zuversichtlich, die NIS2-Richtlinie umsetzen zu können, dennoch werden 66 % die Compliance-Frist am 18. Oktober 2024 verpassen.   Angesichts des bevorstehenden Inkrafttretens der NIS2-Richtlinie (Network and Information Security Directive 2022/2555) am 18. Oktober 2024 zur Stärkung der Cybersicherheit in der EU durch Erweiterung des Anwendungsbereichs und Verschärfung der…

Business Continuity Management mit modernen Tools – NIS2: Excel wird zum Risiko für Unternehmen und Geschäftsführer

Mit der Einführung der NIS2-Richtlinie stehen Unternehmen in der EU vor verschärften Anforderungen in der Cybersicherheit. Eine elementare Änderung: Durch NIS2 werden Geschäftsführer persönlich haftbar, falls die erforderlichen Maßnahmen nicht umgesetzt werden. Business Continuity Management (BCM) spielt nun eine entscheidende Rolle, denn es trägt maßgeblich zur Resilienz und Sicherheit von Unternehmen bei. Doch viele Unternehmen setzen noch auf veraltete Technologien wie Excel, was erhebliche Risiken birgt.

Mehr als ein Viertel der Unternehmen ist nicht auf NIS2 vorbereitet

Die NIS2-Richtlinie ist ab dem 18. Oktober 2024 auf nationaler Ebene rechtsverbindlich. Insbesondere für Betreiber kritischer Infrastrukturen und wesentlicher Dienste gehen die Anforderung weit über die bisherigen Compliance-Vorgaben hinaus. Zudem können Geschäftsführer bei Verstößen persönlich haftbar gemacht werden. Eine Studie von Threema mit Fokus auf Instant-Messaging zeigt, dass mehr als ein Viertel der betroffenen Unternehmen…

NIS2 als Chance begreifen – trotz zögerlicher Umsetzung

Die Europäische Union hat als Antwort auf den deutlichen Anstieg von Cyberangriffen die NIS2-Richtlinie verabschiedet. Diese überarbeitete Richtlinie verfolgt das Ziel, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Zudem fallen deutlich mehr Unternehmen und Organisationen unter die Regulierung, die für das gesellschaftliche System wichtig sind. Die Mehrheit der…

NIS2 und E-Mail-Verschlüsselung

In einer zunehmend vernetzten Welt, in der digitale Kommunikation eine zentrale Rolle spielt, ist der Schutz sensibler Informationen von höchster Bedeutung. Die NIS2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) ist am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht worden und muss von Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden [1].   Kommentar von Stephan…

KMU: Diese Fehleinschätzungen kursieren rund um NIS2

Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt – und verunsichert.   Das Risiko, Opfer einer Cyberattacke zu werden, ist derzeit höher denn je – und Unternehmen sind dafür…

NIS2 Compliance vereinfachen – mit SASE

Die Frist für die neue Richtlinie 2022/0383 über Netz- und Informationssysteme, besser bekannt als »NIS2«, rückt unaufhaltsam näher. Unternehmen stehen nun vor der Herausforderung, die geeignete Technologie zu implementieren, um den Anforderungen gerecht zu werden. Das wachsende Interesse der Branche an Sicherheitsplattformen wird eine entscheidende Rolle dabei spielen, die Einhaltung der NIS2-Vorgaben zu erleichtern. Organisationen…

Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheits­landschaft werden«

In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.

Die Hausordnung für IT-Systeme: NIS2

NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.   Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen…

NIS2: Das kommt im 2. Halbjahr 2024 auf Unternehmen zu

Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.   Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber…

NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um

Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung.   38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…

Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren

NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.   Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…