Die NIS2 -Was ist das?

Die Europäische Union überarbeitet die bereits bestehende Version der Richtlinie über Netz- und Informationssicherheit.

Alexander Ryl | 2Consulting UG

Alexander Ryl | 2Consulting UG

IT-Berater, Datenschutzexperte

Netz- und Informationssicherheits Richtlinie (NIS)

In den letzten Jahren ist Cybersicherheit zu einem wichtigen Thema auf der politischen Agenda der Europäischen Union (EU) und ihrer Mitgliedstaaten geworden. Besonders in Deutschland wird diesem Thema hohe Priorität eingeräumt. Als Reaktion auf diese Bedrohung hat die EU aktiv eine Vielzahl von Rechtsvorschriften veröffentlicht und überarbeitet, um die Cybersicherheit in der gesamten Region zu verbessern.

Zu den bedeutenden Vorschriften gehören die Verordnung über die Agentur der Europäischen Union für Cybersicherheit (DORA), die Verordnung über den Cybersicherheitsvertrauensanker (CRA) und die Verordnung über digitale Dienste (DSA). Jede dieser Vorschriften zielt darauf ab, die Sicherheit in der digitalen Welt zu stärken und das Vertrauen der Bürger in die Online-Welt zu erhöhen.

Was ist die NIS2?

Die neueste Ergänzung zu dieser Liste ist die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union (NIS2). Diese Richtlinie ist Teil des umfassenderen strategischen Plans der EU zur Erhöhung der Widerstandsfähigkeit gegen Cyberangriffe und wurde Ende 2022 im Europäischen Rat und Parlament veröffentlicht und trat im Januar 2023 in Kraft.

Die NIS2-Richtlinie legt Anforderungen für Betreiber wesentlicher Dienste und digitale Dienstanbieter fest, um sicherzustellen, dass ihre Systeme und Dienste widerstandsfähig gegen Cyberangriffe sind. Es wird erwartet, dass die Einhaltung dieser Vorschriften dazu beitragen wird, das Risiko von Cyberangriffen zu verringern und die Sicherheit in der gesamten Region zu erhöhen.

Das bedeutet, dass Anlagen, die bestimmte Schwellenwerte erfüllen (z. B. die Stromversorgung einer großen Bevölkerung), als systemrelevant gelten und daher bestimmte gesetzliche Anforderungen erfüllen müssen.

Was ist neu?

Die NIS2-Richtlinie erweitert die Anforderungen der NIS-Richtlinie und führt zusätzliche Bestimmungen ein, um die Cybersicherheit in Europa zu verbessern. Unternehmen, die der NIS2 unterliegen, müssen weiterhin umfangreiche Anforderungen an die Informationssicherheit erfüllen und ein Informationssicherheitsmanagementsystem (ISMS) unterhalten.

Allerdings fallen nun mehr und neue Sektoren in den Anwendungsbereich der NIS2, was bedeutet, dass mehr Unternehmen die Richtlinie und die nachfolgenden nationalen Vorschriften einhalten müssen. Außerdem werden mit der NIS2 erheblich verschärfte Sanktionen und Strafen eingeführt, die bis zu max. 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes betragen können. Unternehmen sind zudem für ihre gesamte Informationssicherheits-Lieferkette verantwortlich.

Die NIS2-Richtlinie führt auch die „size-cap“-Regel ein, die besagt, dass Unternehmen, die mindestens mittelgroße Unternehmen sind und unter die speziellen Sektoren fallen, nun der NIS2 unterliegen. Schließlich wird mit der NIS2 ein europäisches Verbindungsnetz für Cyberkrisen (EU – CyCLONe) geschaffen, das für die Koordinierung größerer Cybersicherheitsvorfälle und den Informationsaustausch zwischen den Mitgliedstaaten und den EU-Institutionen verantwortlich sein wird.

Wen betrifft die NIS2?

Es gibt zwei Hauptkriterien, um ein Unternehmen zu bestimmen, das unter NIS2 fällt:

Unternehmensgröße
Alle Unternehmen ab mittlerer Größe unterliegen NIS2. Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz und/oder einer Bilanzsumme von unter 10 Mio. EUR. im Jahr sind vom Anwendungsbereich ausgeschlossen. Daher unterliegen alle Unternehmen, die größer sind und in den unter Punkt 2 genannten Sektoren tätig sind, der NIS2.

Sektoren:
Alle mittleren bis großen Unternehmen in den folgenden Sektoren unterliegen NIS2:

  • Energie
  • Transport
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheit
  • Trinkwasser
  • Abwässer
  • Digitale Infrastruktur
  • IKT-Dienstleistungsmanagement (B2B)
  • Öffentliche Verwaltungen
  • Weltraum
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Herstellung
  • Digitale Anbieter
  • Forschung

Was bedeutet die NIS2 für deutsche Unternehmen?

Die NIS2 ist eine EU-Richtlinie, die von allen Mitgliedstaaten in nationales Recht umgesetzt werden muss. Im Gegensatz zur DSGVO handelt es sich dabei nicht um eine Verordnung, die unmittelbar in allen Mitgliedstaaten gilt. Die Mitgliedstaaten haben nach der offiziellen Veröffentlichung der NIS2 21 Monate Zeit, um die Bestimmungen in nationales Recht zu übernehmen. In Deutschland müssen bestehende Regelungen im Bereich der Cybersicherheit angepasst oder neue veröffentlicht werden, da derzeit das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung u.a. die Anforderungen an die Informationssicherheit für Betreiber kritischer Infrastrukturen regeln. In den nächsten 2 Jahren werden wahrscheinlich bestehende Gesetze geändert oder neue veröffentlicht, um die Anforderungen der NIS2 in nationale Vorgaben zu integrieren. Die genauen Verpflichtungen für Unternehmen werden sich aus den kommenden Gesetzen ergeben.

 

© All rights reserved 2023 – 2Consulting® UG (haftungsbeschränkt)

Informationssicherheit | ISO27001 | Cybersecurity | Ethical Hacking | Dokumentation | IT-Grundschutz | IT-Dienstleistungen | Monitoring | Antivirus