NIS-2

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist eine EU-weite Gesetzgebung, die Maßnahmen zur Verbesserung der Cybersicherheit in den Mitgliedstaaten regelt. Sie ersetzt die ursprüngliche NIS-Richtlinie (Netz- und Informationssicherheit) von 2016 und zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der Europäischen Union zu gewährleisten.

Hier sind die wesentlichen Punkte der NIS-2-Richtlinie:

1. Erweiterter Anwendungsbereich: Die NIS-2-Richtlinie umfasst eine größere Anzahl von Sektoren als die vorherige Richtlinie. Sie betrifft sowohl kritische als auch wichtige Einrichtungen in Bereichen wie Energie, Transport, Finanzwesen, Gesundheitswesen, öffentliche Verwaltung, digitale Infrastrukturen, Lebensmittelproduktion, Wasserwirtschaft und mehr. Neu hinzugekommen sind z.B. Verwaltungseinrichtungen und Dienstleister im Bereich digitaler Technologien wie Cloud-Dienste und Rechenzentren.

2. Mindestanforderungen an Cybersicherheit: Unternehmen und Organisationen, die in den betroffenen Sektoren tätig sind, müssen verbindliche Sicherheitsmaßnahmen umsetzen. Diese betreffen den Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Netz- und Informationssystemen. Dazu gehören:

• Risikomanagementmaßnahmen
• Technische und organisatorische Maßnahmen wie Zugangskontrollen, Notfallpläne und regelmäßige Sicherheitsprüfungen.

3. Verpflichtende Meldepflichten: Die Richtlinie verlangt von Unternehmen und Behörden, Cybersicherheitsvorfälle an die zuständigen nationalen Behörden zu melden. Dies erfolgt über ein dreistufiges Meldesystem, das die Erfassung, Meldung und Reaktion auf Vorfälle erleichtern soll.

4. Überwachungs- und Durchsetzungsmaßnahmen: Die Mitgliedstaaten müssen nationale Aufsichtsbehörden benennen, die sicherstellen, dass die Vorgaben der NIS-2-Richtlinie eingehalten werden. Diese Behörden haben die Befugnis, Kontrollen durchzuführen und bei Nichteinhaltung Sanktionen zu verhängen, einschließlich Geldbußen.

5. Kooperation zwischen den Mitgliedstaaten: Ein wesentlicher Bestandteil der NIS-2-Richtlinie ist die Stärkung der Zusammenarbeit zwischen den EU-Mitgliedstaaten bei der Bekämpfung von Cybersicherheitsbedrohungen. Nationale Computer-Sicherheitsvorfälle-Teams (CSIRTs) und Behörden müssen ihre Maßnahmen auf EU-Ebene koordinieren.

6. Schutz der Lieferkette: Die Richtlinie berücksichtigt auch Bedrohungen, die über Lieferketten entstehen können. Unternehmen müssen sicherstellen, dass auch ihre Lieferanten und Dienstleister Cybersicherheitsstandards einhalten.

Das übergeordnete Ziel der NIS-2-Richtlinie besteht darin, die Resilienz und Reaktionsfähigkeit der kritischen Infrastrukturen der EU gegenüber Cyberbedrohungen zu erhöhen und so den Binnenmarkt vor den Auswirkungen schwerer Cybersicherheitsvorfälle zu schützen.