NIS 2

Es handelt sich um die jüngste Cybersicherheitspolitik der EU, die darauf abzielt, die kollektive Cybersicherheit der Mitgliedstaaten zu verbessern. Sie hebt ihre Vorgängerin, die NIS-Richtlinie, auf und ersetzt sie durch die Einführung strengerer Sicherheitsanforderungen und strengerer Meldepflichten. Im Wesentlichen zielt NIS2 darauf ab, kritische Organisationen und Infrastrukturen in der EU vor Cyber-Bedrohungen zu schützen, um ein hohes Maß an gemeinsamer Sicherheit in der EU zu erreichen.

Verpflichtete Stellen müssen technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken von Netzwerken und Informationssystemen zu beherrschen.

Zu diesem Zweck wird in dieser Richtlinie das Gefolgt festgelegt:

– Verpflichtungen, die die Mitgliedstaaten zur Annahme nationaler Strategien zur Cybersicherheit und zur Benennung oder Einrichtung zuständiger Behörden, Behörden für das Cyberkrisenmanagement, einheitlicher Anlaufstellen für Cybersicherheit (Single Points of Contact) und Reaktionsteams für Computer-Sicherheitsvorfälle (CSIRTs) verpflichten.

– Maßnahmen zum Risikomanagement der Cybersicherheit und Meldepflichten für kritische Einheiten.

– Regeln und Pflichten für den Austausch von Informationen zur Cybersicherheit.

– Aufsichts- und Durchsetzungspflichten der Mitgliedstaaten.

Was ist neu?

Die NIS-2-Richtlinie führt im Vergleich zu ihrer Vorgängerrichtlinie wichtige Änderungen ein:

Erweiterung des Kreises der verpflichteten Sektoren: Die NIS 2 erweitert den Kreis der Sektoren und Unternehmen, die ihre Anforderungen erfüllen müssen. Die Zahl der kritischen Unternehmen erhöht sich auf 11 Sektoren und die Zahl der wichtigen Unternehmen auf sieben Sektoren, so dass es insgesamt achtzehn NIS-2-Sektoren gibt.

Mindestanforderungen: Festlegung verbindlicher und sanktionsfähiger Cybersicherheitsmaßnahmen für die Meldung von Vorfällen und das erforderliche Risikomanagement. Die EU-Mitgliedstaaten können für ihre Region strengere Anforderungen festlegen.

Pflichten zur Meldung von Vorfällen: Die Richtlinie verlangt, dass Vorfälle innerhalb von 24 Stunden nach ihrer Entdeckung den jeweiligen zuständigen nationalen Behörden und in vielen Fällen den nationalen Computer Security Incident Response Teams (CSIRTs) gemeldet werden.

Verstärkte Überwachung und Sanktionen: Eine neue Stufe der Verlässlichkeit. Vorgesehen sind eine aktive Überwachung der verpflichteten Unternehmen und erhebliche Sanktionen für diejenigen, die sich nicht an die Vorschriften halten, mit Geldbußen von mindestens 1,4 % und bis zu 2 % des Gesamtumsatzes des Unternehmens, und die Unternehmensleitung kann zur Verantwortung gezogen werden.

Einschließlich Lieferkette: Erfordert eine Risikobewertung der Sicherheitspraktiken der wichtigsten angeschlossenen Drittanbieter; dazu gehören z. B. Anbieter von verwalteten Sicherheitsdiensten.

Staatliche Unterstützung: Einrichtungen ohne ausreichende Sicherheitspersonalausstattung können im Falle eines größeren Vorfalls um Hilfe bitten.

Zusammenarbeit:Die Aufsicht und die Zusammenarbeit zwischen den nationalen Behörden und Institutionen in der EU werden intensiviert und die europäische (EU-)Rechtsprechung wird gestärkt.