Die neue NIS2-Richtlinie der EU: Was du wissen musst
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
- Die NIS2-Richtlinie stärkt die Cybersicherheit in der EU durch einen erweiterten Anwendungsbereich, strengere Anforderungen und strikte Durchsetzung
- Sie gilt für essentielle und wichtige Unternehmen in kritischen Sektoren und verpflichtet auch Nicht-EU-Unternehmen, die in der EU tätig sind
- Hauptziele sind die Erhöhung der Cyber-Resilienz, bessere Zusammenarbeit und einheitliche Krisenreaktionen
- Unternehmen müssen Risikomanagementstrategien entwickeln, Vorfälle melden und Cybersicherheitsrisiken in der Lieferkette adressieren
NIS2-Richtlinie: Ein neuer Standard für Cybersicherheit in der EU
Im Jahr 2016 führte die EU die Richtlinie zur Netz- und Informationssicherheit (NIS) als erste EU-weite Gesetzgebung ein, um ein einheitliches Niveau der Cybersicherheit in den Mitgliedstaaten zu schaffen. Die Unzulänglichkeiten im Zusammenhang mit der uneinheitlichen Widerstandsfähigkeit in den einzelnen Mitgliedstaaten und Sektoren, das Fehlen einer gemeinsamen Krisenreaktion und die Unfähigkeit, der sich ständig weiterentwickelnden Bedrohungslandschaft zu begegnen, veranlassten die EU-Kommission jedoch, die NIS durch die NIS2 zu ersetzen.
Die im Dezember 2022 verkündete NIS2-Richtlinie ist der Nachfolger der NIS-Richtlinie. Dieser Rechtsrahmen verbessert die Cybersicherheit von Netzwerken und Informationssystemen in der EU. Zu den wichtigsten Änderungen der NIS2-Richtlinie gehören ein breiterer Geltungsbereich, strengere Anforderungen und eine striktere Durchsetzung. Die Mitgliedsstaaten müssen die Bestimmungen der NIS2 bis zum 17. Oktober 2024 in ihre lokale Gesetzgebung übernehmen.
NIS 2 leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Anwendungsbereich der Richtlinie
Die NIS2-Richtlinie gilt für Anbieter kritischer/essentieller Dienste, die Teil der seit NIS1 (2016) gültigen EPCIP-Sektoren waren und die seit NIS2 (2022) zu den EPCIP-Sektoren hinzugefügt wurden. Der Begriff EPCIP-Sektoren bezieht sich auf die Sektoren im Rahmen des Europäischen Programms für den Schutz kritischer Infrastrukturen.
- Bestehende Sektoren seit NIS1: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, digitale Infrastruktur und digitale Anbieter.
- Zusätzliche Sektoren seit NIS2: Produktion und Verarbeitung, Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten, IKT (Informations- und Kommunikationstechnologien) Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfall- und Abwasserwirtschaft sowie Forschung.
Wenn ein Anbieter zu einem der oben genannten Sektoren gehört, gibt es einige zusätzliche Kriterien, die ihn als Anbieter kritischer oder wesentlicher Dienstleistungen qualifizieren:
- Größe: Teamstärke von 50 oder mehr Personen.
- Umsätze: Jahresumsatz von mehr als 10 Millionen Euro.
- Ausschließlichkeit: Einziger Anbieter einer wichtigen Dienstleistung, unabhängig von der Größe.
Wesentliche Einrichtungen sind Unternehmen und Organisationen, deren Unterbrechung des Betriebs das Funktionieren der Wirtschaft und das öffentliche Wohlergehen erheblich stören kann. Zu diesen Sektoren gehören Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, Raumfahrt, Trinkwasserversorgung und -verteilung usw.
Wichtige Unternehmen erbringen wichtige Dienstleistungen, aber ihre Unterbrechung kann nicht die gleichen Auswirkungen haben wie die der wesentlichen Dienstleistungen. Zu diesen Sektoren gehören Post- und Kurierdienste, Hersteller und Vertreiber von Lebensmitteln und Chemikalien, Forschungseinrichtungen usw.
Der Anwendungsbereich der NIS2-Richtlinie gilt auch für Unternehmen, die wesentliche Dienstleistungen für die Europäische Union erbringen, unabhängig von ihrer Präsenz in der EU. Das bedeutet, dass auch Unternehmen, die außerhalb der EU tätig sind, den Bestimmungen der Richtlinie unterliegen, wenn ihre Dienstleistungen in der EU als kritisch eingestuft werden. Diese Unternehmen müssen in dem Mitgliedstaat, in dem sie Dienstleistungen erbringen, eine Vertretung einrichten.
Struktur der NIS2 und ihre wichtigsten Anforderungen an die Cybersicherheit
Abgesehen von der Präambel der Richtlinie besteht ihr Hauptteil aus 46 Artikeln. Diese Artikel, die sich auf neun Kapitel verteilen, behandeln vor allem den Anwendungsbereich der Richtlinie, Definitionen, Sicherheitsanforderungen, Zusammenarbeit, Meldung von Vorfällen, zuständige Behörden, Sanktionen und Schlussbestimmungen.
Von den neun Kapiteln definiert überraschenderweise nur Kapitel IV mit dem Titel “Maßnahmen zum Cybersecurity-Risikomanagement und Meldepflichten” die Sicherheitsanforderungen, die sowohl wesentliche als auch wichtige Unternehmen erfüllen müssen, um die Richtlinie einzuhalten.
In den übrigen Kapiteln (I, II, III, V, VI, VII, VIII und IX) werden die Verpflichtungen der EU-Länder (Mitgliedstaaten) und der Regierungsbehörden in Bezug auf die Durchsetzung der NIS 2 festgelegt. Diese Kapitel umfassen die übergreifende Struktur, Regeln und Mechanismen für den Rahmen, die Steuerung und die Durchsetzung der Richtlinie auf EU-Ebene.
Hauptziele der NIS2-Richtlinie
Zu den drei Hauptzielen der NIS2 gehören die Erhöhung der Cyber-Resilienz, die Verringerung von Unstimmigkeiten bei der Resilienz und die Verbesserung des gemeinsamen Lagebewusstseins. Die Richtlinie umfasst eine Reihe von Maßnahmen, die zusammenwirken, um die Ziele zu erreichen, darunter:
- Risikobewertung und -management: Unternehmen sind verpflichtet, regelmäßig Risikobewertungen durchzuführen, um Risiken zu erkennen, bevor sie zu einer großen Sicherheitsbedrohung werden. Sie hilft bei der Entwicklung und Umsetzung von Risikomanagementstrategien, einschließlich der Zuweisung von Ressourcen nach Prioritäten, um die Auswirkungen festgestellter Risiken zu mindern.
- Bereitschaft zur Reaktion auf Vorfälle und Berichterstattung: Die NIS2 verpflichtet Unternehmen, im Voraus Pläne für die Reaktion auf Vorfälle zu entwickeln und zu pflegen. Darin werden Schritt für Schritt die Verfahren beschrieben, die im Falle eines Cyberangriffs durchzuführen sind. Außerdem müssen solche Vorfälle den zuständigen Behörden gemeldet werden, damit diese die neue Bedrohungslandschaft besser verstehen können.
- Bessere Zusammenarbeit und Informationsaustausch: Die von der NIS2 geförderte Zusammenarbeit und der Informationsaustausch zwischen Unternehmen, Behörden und Strafverfolgungsbehörden tragen dazu bei, die Widerstandsfähigkeit im Cyberspace zu verbessern. Die Richtlinie erreicht dieses Ziel durch verschiedene Mechanismen, darunter:
- die Entwicklung von Vereinbarungen zum Informationsaustausch, um den sicheren und gesetzeskonformen Austausch von sensiblen Cybersicherheitsinformationen zwischen Unternehmen und Behörden zu regeln.
- behördenübergreifende Zusammenarbeit, indem Regierungsbehörden, private Einrichtungen und Cybersicherheitsexperten zusammengebracht werden, um koordinierte Reaktionen zu üben. In gemeinsamen Übungen werden gängige Cyberangriffe simuliert, um das Risikomanagement und die Reaktionspläne eines Unternehmens auf die Probe zu stellen und aus den Erfahrungen der anderen zu lernen.
Einhaltung und Durchsetzung
NIS2 sieht ein abgestuftes Sanktionssystem für die Nichteinhaltung vor. Bei wesentlichen Unternehmen kann die Nichteinhaltung der NIS2-Anforderungen mit 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bestraft werden, je nachdem, welcher Betrag höher ist.
Bei wichtigen Unternehmen kann die Nichteinhaltung mit Geldbußen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Die Behörden können auch Sanktionen verhängen, wie z. B. die vorübergehende Aussetzung der von den Unternehmen angebotenen Dienste.
Um die NIS2-Konformität zu erreichen, sollten sich Unternehmen an den folgenden Rahmen halten.
- Finde heraus, zu welcher Kategorie von Unternehmen sie gehören – essentiell oder wichtig.
- Führe eine Lückenanalyse durch, um Bereiche zu ermitteln, in denen Verbesserungen erforderlich sind.
- Entwickle Strategien für das Risikomanagement, einschließlich der Umsetzung der notwendigen Sicherheitsrichtlinien, -prozesse und -kontrollen.
- Eine robuste Reaktion auf Vorfälle einrichten, um das Risiko im Falle von Cyberangriffen zu mindern.
- Beurteile und verwalte Cybersicherheitsrisiken in der Lieferkette.
- Sei auf mögliche Prüfungen, Inspektionen und Durchsetzungsmaßnahmen der Behörden vorbereitet.
NIS2-konforme Netzwerksicherheit mit Kertos
Obwohl die NIS2 zusätzliche Anforderungen für die Netzwerk- und Informationssicherheit in kritischen Sektoren einführt, stimmen viele ihrer Bestimmungen mit den bestehenden Standards wie ISO 27001 überein. Das bedeutet, dass die Einhaltung von ISO 27001 die Einhaltung von NIS2 in hohem Maße erleichtern kann.
Wir von Kertos bieten die Einhaltung der wichtigsten Datenschutzbestimmungen und international anerkannten Informationssicherheitsstandards. Unsere Unterstützung bei der Risikobewertung und dem Risikomanagement, bei der Vorbereitung auf Vorfälle sowie bei der Aufklärung und Sensibilisierung für Bedrohungen solltest du dir nicht entgehen lassen!