NIS2-Richtlinie: Sind Sie bereit für die neuen Cyber-Sicherheitsanforderungen?

Stärkung der Cyber-Resilienz der EU zur Bewältigung der digitalen Herausforderungen und Vereinheitlichung der Sicherheitsstandards

Warum hat die Kommission eine neue NIS-Richtlinie vorgeschlagen?

Die NIS-Richtlinie, die erste EU-Rechtsvorschrift zur Cybersicherheit, zielt darauf ab, die Widerstandsfähigkeit von Netz- und Informationssystemen in der EU gegenüber Cybersicherheitsrisiken zu verbessern. Trotz ihrer bemerkenswerten Erfolge hat die NIS-Richtlinie ihre Grenzen aufgezeigt. Die digitale Transformation der Gesellschaft hat die Bedrohungslandschaft erweitert. Es gibt neue Herausforderungen, die angepasste und innovative Antworten erfordern.

Bewertung des Status quo

Um die Auswirkungen zu analysieren und die Schwachstellen der NIS-Richtlinie zu analysieren, hat die Kommission die Interessengruppen konsultiert und die folgenden Probleme ermittelt:

Unzureichende Cyber-Resilienz vieler in der EU tätiger Unternehmen
Uneinheitliche Widerstandsfähigkeit zwischen Mitgliedstaaten und Wirtschaftssektoren
Unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen in den Mitgliedstaaten
Fehlen einer gemeinsamen Krisenreaktion

Infolgedessen schlug die Kommission im Dezember 2020 ein überarbeitetes Paket zukunftssicherer Vorschriften zur Stärkung der Cyberresilienz in der Union vor, über das die Mitgesetzgeber am 13. Mai 2022 eine politische Einigung erzielten und die neue Richtlinie Ende November 2022 förmlich verabschiedeten, um den wachsenden Bedrohungen durch Digitalisierung und Vernetzung zu begegnen.

Kernelemente der NIS II-Richtlinie

Die NIS2-Richtlinie behebt die Mängel der bisherigen Regelungen und passt sie an die aktuellen Bedürfnisse an. Zu diesem Zweck erweitert sie den Anwendungsbereich um neue Sektoren auf der Grundlage des Digitalisierungsgrades und der Bedeutung für Wirtschaft und Gesellschaft, indem sie eine klare Größenschwellenregelung einführt. Dies bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Die Mitgliedstaaten können auch kleinere Unternehmen mit hohem Sicherheitsrisiko einbeziehen. Gleichzeitig wird den Mitgliedstaaten ein gewisser Ermessensspielraum bei der Bestimmung kleinerer Unternehmen mit hohem Sicherheitsrisikoprofil eingeräumt, die ebenfalls unter die Verpflichtungen der neuen Richtlinie fallen sollten.

Die neue Richtlinie hebt die Unterscheidung zwischen Betreibern wesentlicher Dienste und Betreibern digitaler Dienste auf. Die Unternehmen werden als wesentliche oder wichtige Einrichtungen eingestuft, für die unterschiedliche Aufsichtsregelungen gelten. Die Sicherheits- und Meldepflichten werden durch einen Risikomanagementansatz mit grundlegenden Sicherheitselementen verstärkt. Darüber hinaus gibt es genauere Bestimmungen über die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen.

Die NIS2-Richtlinie befasst sich auch mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, indem sie Unternehmen auffordert, Cybersicherheitsrisiken zu managen. Auf europäischer Ebene stärkt sie die Cybersicherheit für kritische Informations- und Kommunikationstechnologien. Die Mitgliedstaaten können mit der Kommission und der ENISA koordinierte Sicherheitsrisikobewertungen für kritische Lieferketten durchführen, die auf dem Ansatz der 5G-Netzsicherheitsempfehlung beruhen.

Außerdem wird die Rolle der Kooperationsgruppe bei der Entwicklung strategischer politischer Entscheidungen gestärkt und der Informationsaustausch und die Zusammenarbeit zwischen den Behörden der Mitgliedstaaten intensiviert. Darüber hinaus wird die operative Zusammenarbeit innerhalb des CSIRT-Netzes verbessert und das European Network of Cyber Crisis Liaison Organisations (EU-CyCLONe) eingerichtet, um die koordinierte Bewältigung größerer Cyber-Sicherheitsvorfälle und -krisen zu unterstützen.

NIS2 schafft auch einen grundlegenden Rahmen mit verantwortlichen Schlüsselakteuren für die koordinierte Offenlegung neu entdeckter Schwachstellen in der gesamten EU und richtet eine EU-Schwachstellendatenbank für öffentlich bekannte Schwachstellen in IKT-Produkten und -Diensten ein, die von der EU-Agentur für Cybersicherheit (ENISA) verwaltet und gepflegt wird.

Welche Sektoren und Einrichtungen deckt NIS II ab?

Sektoren mit hoher Kritikalität	Weitere kritische Sektoren
Energie (Strom, Fernwärme und Fernkälte, Öl, Gas und Wasserstoff)	Post- und Kurierdienste
Verkehr (Luft, Schiene, Wasser und Straße)	Abfallbewirtschaftung
Banken	Chemikalien
Finanzmarktinfrastrukturen	Lebensmittel
Gesundheit (einschließlich Herstellung von Arzneimitteln und Impfstoffen)	Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten
Trinkwasser	Digitale Anbieter (z.B. Online-Marktplätze, Suchmaschinen, Social-Networking-Service-Plattformen)
Abwasser	Forschungseinrichtungen
Digitale Infrastruktur (z.B. Internet-Austauschstellen, DNS-Dienstleister, TLD-Namensregister, Cloud-Computing-Anbieter, Rechenzentrumsdienste, etc.)
IKT-Dienstleistungsmanagement (z.B. verwaltete Dienstleister und Anbieter von Managed Security-Diensten, öffentliche Verwaltung)

Durchsetzung und Überwachung der neuen Regelungen

Die NIS2-Richtlinie legt den Schwerpunkt auf die Überwachung und Durchsetzung in allen Mitgliedstaaten und bietet dafür einen kohärenten Rahmen dafür. Sie sieht verschiedene Aufsichtsmittel wie Audits, Überprüfungen, Auskunftsersuchen und den Zugang zu Dokumenten vor, um sowohl wesentliche als auch bedeutende Unternehmen zu kontrollieren.

Um ein Gleichgewicht zwischen den Pflichten von Unternehmen und denen der Behörden herzustellen, unterscheidet die Richtlinie zwischen den Aufsichtsregelungen für wesentliche und bedeutende Unternehmen. Bisher waren die Mitgliedstaaten bei der Verhängung von Sanktionen zurückhaltend, was die Cyber-Resilienz der Unternehmen beeinträchtigt hat.

Die Richtlinie führt einen einheitlichen Sanktionsrahmen ein, der verbindliche Anordnungen und Verwaltungsstrafen umfasst. Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes sind für wesentliche Einrichtungen vorgesehen, für bedeutende Unternehmen bis zu 7 Mio. EUR oder 1,4 % des Umsatzes. Bei der Durchsetzung sollen die Behörden die Umstände des Einzelfalls wie Art, Schwere und Dauer des Verstoßes berücksichtigen. Darüber hinaus werden Haftungsregelungen für Führungskräfte in den betroffenen Unternehmen eingeführt, um die Rechenschaftspflicht für Cybersicherheitsmaßnahmen zu stärken.

Wie geht es weiter? Der Blick nach vorne!

Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 (21 Monate nach Inkrafttreten der NIS2) umsetzen. Danach muss die Kommission die Anwendung der Richtlinie regelmäßig überprüfen und dem Parlament und dem Rat erstmals bis zum 17. Oktober 2027 Bericht erstatten.

Quellen

Titelbild: Urupong_AdobeStock_237523422

NIS2-Richtlinie: Sind Sie bereit für die neuen Cyber-Sicherheitsanforderungen?

Warum hat die Kommission eine neue NIS-Richtlinie vorgeschlagen?

Bewertung des Status quo

Kernelemente der NIS II-Richtlinie

Welche Sektoren und Einrichtungen deckt NIS II ab?

Durchsetzung und Überwachung der neuen Regelungen

Wie geht es weiter? Der Blick nach vorne!

Quellen

Ansprechpartner:in

Wir verwenden Cookies

Datenschutzeinstellungen

Erforderlich

Performance

Externe Inhalte

Menü

Warum hat die Kommission eine neue NIS-Richtlinie vorgeschlagen?

Bewertung des Status quo

Erweiterter Anwendungsbereich der NIS2-Richtlinie

Neue Einstufung und Risikomanagementansatz

Sicherheit in Lieferketten und Cybersicherheitsmanagement

Strengere Aufsicht und harmonisierte Sanktionen

Stärkung der Zusammenarbeit und Informationsaustausch

Koordinierte Offenlegung und Schwachstellendatenbank

Durchsetzung und Überwachung der neuen Regelungen

Wie geht es weiter? Der Blick nach vorne!

Quellen