In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
NIS1 vs NIS2: Unterschied und Hintergrund der Richtlinien

NIS1 vs NIS2: Unterschied und Hintergrund der Richtlinien

November 6, 2023

5 min

Key Takeaways

Die NIS2 Richtlinie ist eine Weiterentwicklung der NIS1 Richtlinie der EU, die zum Ziel hat, die Cybersicherheit zu stärken und Kritische Infrastrukturen besser zu schützen.

Die NIS2 Richtlinie betrifft nun mehr Unternehmen aus Industrien, die besonders wichtig für den Erhalt der Gesellschaft sind.

Unternehmen, die unter die NIS2 Richtlinie fallen, müssen Sicherheitsvorfälle melden und geeignete Sicherheitsmaßnahmen ergreifen. Bei Verstößen drohen hohe Geldstrafen.

Die NIS2 Richtlinie soll bis Ende 2024 in nationales Recht umgesetzt werden und betont die persönliche Verantwortung des Managements für Cybersicherheit.

In diesem Artikel werden wir die wesentlichen Unterschiede zwischen NIS1 vs NIS2 genauer untersuchen und herausfinden, wie die EU ihre Bemühungen verstärkt, die Cybersicherheit zu gewährleisten und Kritische Infrastrukturen zu schützen.

NIS1 vs NIS2: Die Geschichte der Cybersecurity-Richtlinien

NIS1 – ein erster Schritt in Richtung Europäischer Cybersicherheit

Im Jahr 2016 wurde die erste Cybersecurity-Richtlinie von der Europäischen Union eingeführt, die heute als NIS-Richtlinie oder NIS1 bekannt ist. Diese Richtlinie wurde vor dem Hintergrund einer sich verschärfenden Bedrohungslage und steigender Anforderungen an die IT-Sicherheit in Europa entwickelt.

So versucht die EU, für die Gesellschaft bedeutende Branchen und Dienstleistungen vor Angriffen in der Cybersphäre zu schützen.

Die NIS1 enthält auch verbindliche Vorgaben zum Schutz der Systeme von Unternehmen, die als Betreiber „Kritischer Infrastrukturen“ (KRITIS) tätig sind. Diese KRITIS-Unternehmen spielen eine entscheidende Rolle in der Gesellschaft, da sie Dienstleistungen in wichtigen Bereichen wie Energieversorgung, Gesundheit und Transport erbringen.

Die NIS1 Richtlinie war ein wichtiger Bestandteil der europäischen Cybersecurity-Strategie, die darauf abzielt, die Cyberresilienz in der EU zu stärken. Sie gilt mittlerweile als eine der bedeutendsten europäischen Rechtsvorschriften im Bereich der Cybersicherheit.  

„Ransomware und andere Cyber-Bedrohungen haben Europa schon viel zu lange heimgesucht. Wir müssen handeln, um unsere Unternehmen, Regierungen und die Gesellschaft widerstandsfähiger gegen feindliche Cyberoperationen zu machen“, meint der Europaabgeordnete Bart Groothuis, einer der Mitgestalter der neuen Richtlinie.

Aufgrund der fortschreitenden Digitalisierung wird die NIS-Richtlinie von der EU stetig überarbeitet. Die Überarbeitung von NIS1 – NIS2 – ist das Ergebnis langer Abwägungen auf EU-Ebene und richtungsweisend für Unternehmen in der gesamten Europäischen Union.

NIS1 vs NIS2: NIS2 – eine Stärkung der Cybersicherheit in der EU ab 2024

Die NIS1 Richtlinie wird nun durch eine weitreichendere Neuauflage ersetzt: die NIS2.  

Die NIS2 verpflichtet KRITIS-Unternehmen zur Einhaltung festgelegter Mindeststandards, um den Schutz ihrer Systeme und Netzwerke sicherzustellen. Damit wird das Ziel verfolgt, die Integrität und Verfügbarkeit der Dienstleistungen, die diese Unternehmen erbringen, zu gewährleisten.

Ab 2024 werden Unternehmen und Organisationen dadurch mit strengeren Anforderungen an die Informationssicherheit konfrontiert sein. Die NIS2 wurde am 14. Dezember 2022 in einer aktualisierten Version verabschiedet und muss bis Ende 2024 in nationales Recht umgesetzt werden.

NIS1 vs NIS2: Die wichtigsten Unterschiede im Überblick

Mit der NIS2-Richtlinie soll die Cyberresilienz entscheidend gesteigert werden. Nach der aktualisierten Fassung unterliegen deutlich mehr Unternehmen der NIS2 als der NIS1, da die Schwellenwerte aktualisiert wurden. Die NIS2-Richtlinie betrifft Unternehmen mit mehr als 10 Millionen Euro Jahresumsatz sowie mehr als 50 Mitarbeitern aus Industrien, die besonders wichtig für den Erhalt der Gesellschaft sind.

Hierbei gilt der sogenannten Kritischen Infrastruktur (KRITIS) ein besonderes Augenmerk.

Kritische Infrastruktur umfasst lebenswichtige Einrichtungen und Systeme wie Energieversorgung, Telekommunikation und Verkehr, die für das Funktionieren einer Gesellschaft unerlässlich sind. Ihr Schutz ist entscheidend, um Störungen oder Angriffe zu verhindern, die zu schwerwiegenden Auswirkungen auf die öffentliche Sicherheit, das Wirtschaftswachstum und das tägliche Leben der Menschen führen könnten.

Die NIS2 Richtlinie ist eine Weiterentwicklung der NIS1 Richtlinie und stellt höhere Anforderungen an die Informationssicherheit der betroffenen Organisationen.

Hier sind einige der wichtigsten Unterschiede zwischen den beiden Richtlinien:

 

Anwendungsbereich:

Die NIS2 Richtlinie wurde verabschiedet, um den Anwendungsbereich zu erweitern und umfasst nun eine breitere Palette von Betreibern von wesentlichen Diensten, darunter auch digitale Diensteanbieter und einige neue Sektoren.

Meldepflichten:

Die NIS2 Richtlinie erweitert die Meldepflichten und verlangt von den Unternehmen, auch sicherheitsrelevante Vorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit von Diensten haben könnten, den nationalen Behörden zu melden.

Strafen und Sanktionen:

Die NIS2 Richtlinie stärkt die Sanktionen und legt einheitlichere Strafen für Verstöße gegen die Vorschriften fest.

Zertifizierung und Normen:

Die NIS2 Richtlinie hebt die Bedeutung der Zertifizierung und der Nutzung von EU-weit anerkannten Normen hervor, um die Cybersicherheit zu verbessern.

Zusammenarbeit und Koordinierung:

Die NIS2 Richtlinie verstärkt die Zusammenarbeit und die Rolle der EU-Agentur für Cybersicherheit (ENISA) bei der Unterstützung der Mitgliedstaaten in Fragen der Cybersicherheit.

Die Unterschiede von NIS1 vs NIS2 verdeutlichen, dass die NIS2 Richtlinie eine Weiterentwicklung und Ausweitung der NIS1 Richtlinie ist, um auf die sich ständig ändernde Bedrohungslandschaft und die wachsende Bedeutung der Cybersicherheit in Europa zu reagieren.

EU-weite Neuerungen durch NIS2 für die Mitgliedsstaaten

Zudem sollen EU-weit mit der NIS2 Richtlinie einige Neuerungen für die Mitgliedsstaaten eingeführt werden.  

Beispiele hierfür sind:

  • Die Mitgliedstaaten müssen über angemessene Ausstattung verfügen, wie etwa ein Computer Security Incident Response Team (CSIRT) und eine zuständige nationale Netz- und Informationssystembehörde (NIS).
  • Es wird eine Kooperationsgruppe eingesetzt, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten zu unterstützen und zu vereinfachen.
  • Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen den Sicherheits- und Meldepflichten gemäß der Richtlinie nachkommen.
  • Es wird eine sektorübergreifende Kultur der Sicherheit gefördert, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung ist und stark von Informations- und Kommunikationstechnologien wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitaler Infrastruktur abhängig ist.
  • Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den genannten Sektoren eingestuft werden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorkommnisse unterrichten.

NIS1 vs NIS2: Der geänderte Anwendungsbereich  

In der folgenden Infografik haben wir den geänderten Anwendungsbereich von NIS2 gegenüber NIS1 zusammengefasst.

Die Grafik zeigt in 2 Boxen die unterschiedlichen Anwendungsbereiche von NIS1 und NIS2.

In der NIS2 Richtlinie sind zudem bereits kritische und hochkritische Sektoren festgelegt, was bedeutet, dass die einzelnen Mitgliedsstaaten nicht mehr eigenständig darüber entscheiden können, welche Bereiche berücksichtigt werden sollen.

NIS1 vs NIS2: Auswirkungen der Unterschiede auf Unternehmen

Seit dem 16. Januar 2023 haben Deutschland und andere EU-Mitgliedsstaaten 21 Monate, also bis Oktober 2024 Zeit, um die neuen Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Betroffene Unternehmen sollten sich jetzt schon mit den Voraussetzungen der NIS2 Richtlinie auseinandersetzen.

Wenn Ihr Unternehmen innerhalb des Geltungsbereichs fällt, muss es die Bestimmungen erfüllen, die in den nationalen Durchführungsbestimmungen der NIS2 Richtlinie als verbindliches Gesetz umgesetzt werden.

NIS2 führt erstmals die „wichtigen Einrichtungen“ ein, die den Umfang der Kritischen Infrastruktur erweitern. Daher fallen nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS2 Richtlinie.  

‍‍

Fazit: NIS1 vs NIS2 – eine weitreichende Neuauflage der EU-Cybersicherheit

Zusammenfassend sind die wesentlichen Unterschiede zwischen NIS1 vs NIS2 die erweiterte Anwendung auf eine breitere Palette von Sektoren, strengere Anforderungen an die Informationssicherheit für betroffene Unternehmen, einheitlichere Standards und eine verstärkte Zusammenarbeit auf EU-Ebene.  

Mit den neuen Maßnahmen in NIS1 vs NIS2 wird somit ein weitaus höheres Niveau der Cybersicherheit angestrebt, um die digitale Infrastruktur Europas langfristig zu schützen und die Sicherheit der Bürger zu gewährleisten.

Mehr erfahren

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 7, 2023
12 min
Hinweisgeberschutzgesetz – das HinSchG im Überblick

In unserem neuesten Blogartikel geben wir Ihnen wichtige Einblicke in das Hinweisgeberschutzgesetz. Erfahren Sie mehr über die Bedeutung dieses Gesetzes und seine Hintergründe, was es genau umfasst und welche Vorteile es für Unternehmen bietet. Zudem werfen wir einen Blick auf die Pflichten und Verantwortlichkeiten, die mit der Umsetzung einhergehen. Mit praxisnahen Beispielen aus dem Unternehmensalltag und hilfreichen Tipps zur erfolgreichen Umsetzung des Gesetzes bieten wir Ihnen eine erste wertvolle Orientierung zum Hinweisgeberschutzgesetz.

Lesen
June 6, 2023
8 min
CEO Fraud – Informationssicherheitsexperten geben 3 Tipps zur Abwehr

‍Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Wie schützt man sich als CEO?

Lesen
November 24, 2023
6 min
ISO/IEC 27001:2013 – Die Evolution der ISO 27001 Zertifizierung

ISO/IEC 27001:2013 – Die Aktualisierung auf 2022: Entdecken Sie die neuesten Änderungen und Herausforderungen. Unser Artikel beleuchtet die Überarbeitung der Norm für Informationssicherheitsmanagementsysteme (ISMS) und ihre Bedeutung für Unternehmen. Von der Evolution der Standards bis hin zur Implementierung der neuen Anforderungen – erfahren Sie, wie Ihr Unternehmen vom Update profitieren kann und bis wann die Umstellung erfolgen sollte.

Lesen
Related Resources
Externer Datenschutzbeauftragter: Kann man auf ihn verzichten?
June 2, 2023
5 min
EU NIS2: Die NIS2 Richtlinie verändert, wie wir in der EU über Cybersicherheit nachdenken
November 23, 2023
8 min
NIS2 Deutschland: Wie beeinflusst die NIS2 Richtlinie deutsche Unternehmen?
October 11, 2023
7 min
Marketing Tips for Niche Industries
Google Analytics: Bald illegal? Das sagen die SECJUR-Experten!
June 2, 2023
8 min
Deutsche Unternehmen fürchten das Datenschutz-Risiko
June 5, 2023
NIS1 vs NIS2: Unterschied und Hintergrund der Richtlinien
November 6, 2023
5 min
TO TOP