Die neue IT-Richtlinie: EU-NIS-2-Richtlinie

Die NIS-2-Richtlinie ist eine neue EU-Richtlinie, die das Ziel hat, das Cybersicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union zu erhöhen.

Sie ist die Nachfolgerin der NIS-Richtlinie von 2016 und soll die bestehenden regulatorischen Defizite beheben, die sich aus der unterschiedlichen Umsetzung der NIS-Richtlinie in den Mitgliedstaaten ergeben haben. Die NIS-2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und muss von den Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden.

In diesem Blogeintrag möchte ich dir einen Überblick über die wichtigsten Aspekte der NIS-2-Richtlinie geben und dir erklären, was sie für EU-Unternehmen bedeutet.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie gilt für öffentliche oder private Einrichtungen, die in den Anhängen I und II der Richtlinie genannten Sektoren angehören, die die Obergrenzen für mittlere Unternehmen erreichen oder überschreiten und ihre Dienstleistungen in der EU erbringen oder ihre Tätigkeiten dort ausüben. Die Anhänge I und II enthalten insgesamt 25 Sektoren, die als kritisch für die Sicherheit und das Funktionieren der EU angesehen werden. Dazu gehören unter anderem:

  • Energie

  • Verkehr

  • Bankwesen

  • Finanzmarktinfrastrukturen

  • Gesundheitswesen

  • Trinkwasserversorgung und -verteilung

  • Digitale Infrastrukturen

  • Öffentliche Verwaltung

  • Raumfahrt

  • Post- und Kurierdienste

  • Abfallwirtschaft

  • Chemische Industrie

  • Lebensmittelproduktion, -verarbeitung und -vertrieb

Die Obergrenzen für mittlere Unternehmen sind in der Empfehlung 2003/361/EG festgelegt und betragen:

  • weniger als 250 Personen beschäftigen und

  • entweder einen Jahresumsatz von höchstens 50 Millionen Euro erzielen oder

  • deren Jahresbilanzsumme sich auf höchstens 43 Millionen Euro beläuft.


Die Mitgliedstaaten können jedoch die Anwendung der Richtlinie auf kleinere Einrichtungen ausweiten, wenn sie dies für angemessen halten.

Was sind die Pflichten der betroffenen Einrichtungen?

Die betroffenen Einrichtungen müssen gemäß der NIS-2-Richtlinie folgende Pflichten erfüllen:

  • ein angemessenes Cybersicherheitsrisikomanagement einführen und aufrechterhalten, das auf den Grundsätzen der Verhältnismäßigkeit, Wirksamkeit und Effizienz beruht und die spezifischen Risiken der Einrichtung berücksichtigt.

  • angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder zu minimieren.

  • Sicherheitsvorfälle, die sich erheblich auf die Kontinuität ihrer Dienstleistungen oder Tätigkeiten auswirken oder die öffentliche Sicherheit oder Ordnung gefährden könnten, unverzüglich an die zuständigen nationalen Behörden melden.

  • an Cybersicherheitsübungen teilnehmen, die von den Mitgliedstaaten oder der EU organisiert werden, um die Bereitschaft und die Reaktionsfähigkeit zu verbessern.

  • mit den zuständigen nationalen Behörden und den Computer-Notfallteams zusammenarbeiten, um Informationen über Sicherheitsvorfälle, Bedrohungen, Schwachstellen und bewährte Praktiken auszutauschen.

  • die Anweisungen und Empfehlungen der zuständigen nationalen Behörden befolgen, um die Sicherheit ihrer Netz- und Informationssysteme zu verbessern oder wiederherzustellen.

Was sind die Sanktionen bei Nichterfüllung der Pflichten?

Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für die betroffenen Einrichtungen festlegen, die ihren Pflichten nach der NIS-2-Richtlinie nicht nachkommen. Die Sanktionen können je nach Schweregrad und Dauer des Verstoßes variieren, müssen aber mindestens folgende Höchstbeträge vorsehen:

  • 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, für Verstöße gegen die Pflichten in Bezug auf das Cybersicherheitsrisikomanagement oder die technischen und organisatorischen Maßnahmen.

  • 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, für Verstöße gegen die Pflichten in Bezug auf die Meldung von Sicherheitsvorfällen oder die Zusammenarbeit mit den zuständigen nationalen Behörden.

Die Mitgliedstaaten müssen die Sanktionen verhängen und die Öffentlichkeit über die verhängten Sanktionen informieren, es sei denn, dies würde die öffentliche Sicherheit oder die nationale Sicherheit gefährden.

Was sind die Vorteile der NIS-2-Richtlinie?

Die NIS-2-Richtlinie soll die Cybersicherheit in der EU stärken und die Widerstandsfähigkeit der kritischen Sektoren gegenüber Cyberangriffen erhöhen. Dies soll nicht nur die Sicherheit und das Vertrauen der Bürger und Verbraucher fördern, sondern auch die Wettbewerbsfähigkeit und das Wachstum der EU-Unternehmen unterstützen. Die NIS-2-Richtlinie soll auch die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten und der EU verbessern, um ein gemeinsames Verständnis und eine gemeinsame Reaktion auf Cybersicherheitsbedrohungen zu ermöglichen.

Wie kann ich mich auf die NIS-2-Richtlinie vorbereiten?

Wenn du zu den betroffenen Einrichtungen gehörst oder gehören könntest, solltest du dich so früh wie möglich auf die NIS-2-Richtlinie vorbereiten. Dazu kannst du folgende Schritte unternehmen:

  • prüfe, ob du die Kriterien für die Anwendung der NIS-2-Richtlinie erfüllst oder ob du von den Mitgliedstaaten als relevant eingestuft werden könntest.

  • informiere dich über die nationalen Vorschriften und Anforderungen, die die NIS-2-Richtlinie in deinem Mitgliedstaat umsetzen.

  • führe eine Cybersicherheitsrisikoanalyse durch, um die Stärken und Schwächen deiner Netz- und Informationssysteme zu identifizieren.

  • implementiere angemessene technische und organisatorische Maßnahmen, um deine Netz- und Informationssysteme zu schützen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder zu minimieren.

  • erstelle einen Notfallplan, um im Falle eines Sicherheitsvorfalls schnell und effektiv reagieren zu können.

  • melde dich bei der zuständigen nationalen Behörde an, um deine Kontaktdaten und die Art deiner Dienstleistungen oder Tätigkeiten mitzuteilen.

  • richte ein System zur Meldung von Sicherheitsvorfällen ein, das die Anforderungen der zuständigen nationalen Behörde erfüllt.

  • nimm an Cybersicherheitsübungen teil, um deine Bereitschaft und Reaktionsfähigkeit zu testen und zu verbessern.

  • kooperiere mit den zuständigen nationalen Behörden und den Computer-Notfallteams, um Informationen über Sicherheitsvorfälle, Bedrohungen, Schwachstellen und bewährte Praktiken auszutauschen.

  • befolge die Anweisungen und Empfehlungen der zuständigen nationalen Behörden, um die Sicherheit deiner Netz- und Informationssysteme zu verbessern oder wiederherzustellen.


Ich hoffe, dass dir dieser Blogeintrag einen nützlichen Überblick über die NIS-2-Richtlinie gegeben hat. Wenn du mehr darüber erfahren möchtest, kannst du die folgenden Quellen konsultieren:

Die NIS2-Richtlinie: Was jetzt für EU-Unternehmen wichtig ist - DataGuard

NIS-2: Alles Wissenswerte zur neuen Richtlinie - PwC: Diese Webseite bietet einen Überblick über die Ziele, den Anwendungsbereich, die Pflichten und die Sanktionen der NIS-2-Richtlinie. Außerdem stellt sie die Services von PwC im Bereich NIS-2 vor, die von der Betroffenheitsanalyse bis zur Überwachung reichen.

EUR-Lex - 32022L2555 - EN - EUR-Lex: Dies ist der offizielle Text der NIS-2-Richtlinie in deutscher Sprache, der im Amtsblatt der Europäischen Union veröffentlicht wurde. Er enthält die Erwägungsgründe, die Artikel und die Anhänge der Richtlinie.

NIS-2-Richtlinie im Amtsblatt der EU veröffentlicht: Diese Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) informiert über die Veröffentlichung und das Inkrafttreten der NIS-2-Richtlinie sowie über den Stand der Umsetzung in Deutschland.

zur Cybersicherheitsstrategie und zur NIS-2-Richtlinie: Dies ist die Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) zur NIS-2-Richtlinie, in der er die positiven Aspekte, aber auch die Herausforderungen und Risiken für den Datenschutz und die Grundrechte bewertet. Er gibt auch Empfehlungen für die Verbesserung der Richtlinie.


Bei Fragen zur wenden Sie sich gerne an Jens Heinemann (heinemann@ecco.de).


Zurück
Zurück

SCL 2.0 Update: Wie läuft die Umstellung auf die SCL 2.0

Weiter
Weiter

Safety Culture Ladder 2.0: Veröffentlicht, … und nun?