Beitrag teilen
HOME
/
blog
/
NIS1 vs NIS2: Unterschied und Hintergrund der Richtlinien

NIS1 vs NIS2: Unterschied und Hintergrund der Richtlinien

November 6, 2023

5 min

Key Takeaways

Die NIS2 Richtlinie ist eine Weiterentwicklung der NIS1 Richtlinie der EU, die zum Ziel hat, die Cybersicherheit zu stärken und Kritische Infrastrukturen besser zu schützen.

Die NIS2 Richtlinie betrifft nun mehr Unternehmen aus Industrien, die besonders wichtig für den Erhalt der Gesellschaft sind.

Unternehmen, die unter die NIS2 Richtlinie fallen, müssen Sicherheitsvorfälle melden und geeignete Sicherheitsmaßnahmen ergreifen. Bei Verstößen drohen hohe Geldstrafen.

Die NIS2 Richtlinie soll bis Ende 2024 in nationales Recht umgesetzt werden und betont die persönliche Verantwortung des Managements für Cybersicherheit.

In diesem Artikel werden wir die wesentlichen Unterschiede zwischen NIS1 vs NIS2 genauer untersuchen und herausfinden, wie die EU ihre Bemühungen verstärkt, die Cybersicherheit zu gewährleisten und Kritische Infrastrukturen zu schützen.

NIS1 vs NIS2: Die Geschichte der Cybersecurity-Richtlinien

NIS1 – ein erster Schritt in Richtung Europäischer Cybersicherheit

Im Jahr 2016 wurde die erste Cybersecurity-Richtlinie von der Europäischen Union eingeführt, die heute als NIS-Richtlinie oder NIS1 bekannt ist. Diese Richtlinie wurde vor dem Hintergrund einer sich verschärfenden Bedrohungslage und steigender Anforderungen an die IT-Sicherheit in Europa entwickelt.

So versucht die EU, für die Gesellschaft bedeutende Branchen und Dienstleistungen vor Angriffen in der Cybersphäre zu schützen.

Die NIS1 enthält auch verbindliche Vorgaben zum Schutz der Systeme von Unternehmen, die als Betreiber „Kritischer Infrastrukturen“ (KRITIS) tätig sind. Diese KRITIS-Unternehmen spielen eine entscheidende Rolle in der Gesellschaft, da sie Dienstleistungen in wichtigen Bereichen wie Energieversorgung, Gesundheit und Transport erbringen.

Die NIS1 Richtlinie war ein wichtiger Bestandteil der europäischen Cybersecurity-Strategie, die darauf abzielt, die Cyberresilienz in der EU zu stärken. Sie gilt mittlerweile als eine der bedeutendsten europäischen Rechtsvorschriften im Bereich der Cybersicherheit.  

„Ransomware und andere Cyber-Bedrohungen haben Europa schon viel zu lange heimgesucht. Wir müssen handeln, um unsere Unternehmen, Regierungen und die Gesellschaft widerstandsfähiger gegen feindliche Cyberoperationen zu machen“, meint der Europaabgeordnete Bart Groothuis, einer der Mitgestalter der neuen Richtlinie.

Aufgrund der fortschreitenden Digitalisierung wird die NIS-Richtlinie von der EU stetig überarbeitet. Die Überarbeitung von NIS1 – NIS2 – ist das Ergebnis langer Abwägungen auf EU-Ebene und richtungsweisend für Unternehmen in der gesamten Europäischen Union.

NIS1 vs NIS2: NIS2 – eine Stärkung der Cybersicherheit in der EU ab 2024

Die NIS1 Richtlinie wird nun durch eine weitreichendere Neuauflage ersetzt: die NIS2.  

Die NIS2 verpflichtet KRITIS-Unternehmen zur Einhaltung festgelegter Mindeststandards, um den Schutz ihrer Systeme und Netzwerke sicherzustellen. Damit wird das Ziel verfolgt, die Integrität und Verfügbarkeit der Dienstleistungen, die diese Unternehmen erbringen, zu gewährleisten.

Ab 2024 werden Unternehmen und Organisationen dadurch mit strengeren Anforderungen an die Informationssicherheit konfrontiert sein. Die NIS2 wurde am 14. Dezember 2022 in einer aktualisierten Version verabschiedet und muss bis Ende 2024 in nationales Recht umgesetzt werden.

NIS1 vs NIS2: Die wichtigsten Unterschiede im Überblick

Mit der NIS2-Richtlinie soll die Cyberresilienz entscheidend gesteigert werden. Nach der aktualisierten Fassung unterliegen deutlich mehr Unternehmen der NIS2 als der NIS1, da die Schwellenwerte aktualisiert wurden. Die NIS2-Richtlinie betrifft Unternehmen mit mehr als 10 Millionen Euro Jahresumsatz sowie mehr als 50 Mitarbeitern aus Industrien, die besonders wichtig für den Erhalt der Gesellschaft sind.

Hierbei gilt der sogenannten Kritischen Infrastruktur (KRITIS) ein besonderes Augenmerk.

Kritische Infrastruktur umfasst lebenswichtige Einrichtungen und Systeme wie Energieversorgung, Telekommunikation und Verkehr, die für das Funktionieren einer Gesellschaft unerlässlich sind. Ihr Schutz ist entscheidend, um Störungen oder Angriffe zu verhindern, die zu schwerwiegenden Auswirkungen auf die öffentliche Sicherheit, das Wirtschaftswachstum und das tägliche Leben der Menschen führen könnten.

Die NIS2 Richtlinie ist eine Weiterentwicklung der NIS1 Richtlinie und stellt höhere Anforderungen an die Informationssicherheit der betroffenen Organisationen.

Hier sind einige der wichtigsten Unterschiede zwischen den beiden Richtlinien:

 

Anwendungsbereich:

Die NIS2 Richtlinie wurde verabschiedet, um den Anwendungsbereich zu erweitern und umfasst nun eine breitere Palette von Betreibern von wesentlichen Diensten, darunter auch digitale Diensteanbieter und einige neue Sektoren.

Meldepflichten:

Die NIS2 Richtlinie erweitert die Meldepflichten und verlangt von den Unternehmen, auch sicherheitsrelevante Vorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit von Diensten haben könnten, den nationalen Behörden zu melden.

Strafen und Sanktionen:

Die NIS2 Richtlinie stärkt die Sanktionen und legt einheitlichere Strafen für Verstöße gegen die Vorschriften fest.

Zertifizierung und Normen:

Die NIS2 Richtlinie hebt die Bedeutung der Zertifizierung und der Nutzung von EU-weit anerkannten Normen hervor, um die Cybersicherheit zu verbessern.

Zusammenarbeit und Koordinierung:

Die NIS2 Richtlinie verstärkt die Zusammenarbeit und die Rolle der EU-Agentur für Cybersicherheit (ENISA) bei der Unterstützung der Mitgliedstaaten in Fragen der Cybersicherheit.

Die Unterschiede von NIS1 vs NIS2 verdeutlichen, dass die NIS2 Richtlinie eine Weiterentwicklung und Ausweitung der NIS1 Richtlinie ist, um auf die sich ständig ändernde Bedrohungslandschaft und die wachsende Bedeutung der Cybersicherheit in Europa zu reagieren.

EU-weite Neuerungen durch NIS2 für die Mitgliedsstaaten

Zudem sollen EU-weit mit der NIS2 Richtlinie einige Neuerungen für die Mitgliedsstaaten eingeführt werden.  

Beispiele hierfür sind:

  • Die Mitgliedstaaten müssen über angemessene Ausstattung verfügen, wie etwa ein Computer Security Incident Response Team (CSIRT) und eine zuständige nationale Netz- und Informationssystembehörde (NIS).
  • Es wird eine Kooperationsgruppe eingesetzt, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten zu unterstützen und zu vereinfachen.
  • Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen den Sicherheits- und Meldepflichten gemäß der Richtlinie nachkommen.
  • Es wird eine sektorübergreifende Kultur der Sicherheit gefördert, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung ist und stark von Informations- und Kommunikationstechnologien wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitaler Infrastruktur abhängig ist.
  • Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den genannten Sektoren eingestuft werden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorkommnisse unterrichten.

NIS1 vs NIS2: Der geänderte Anwendungsbereich  

In der folgenden Infografik haben wir den geänderten Anwendungsbereich von NIS2 gegenüber NIS1 zusammengefasst.

Die Grafik zeigt in 2 Boxen die unterschiedlichen Anwendungsbereiche von NIS1 und NIS2.

In der NIS2 Richtlinie sind zudem bereits kritische und hochkritische Sektoren festgelegt, was bedeutet, dass die einzelnen Mitgliedsstaaten nicht mehr eigenständig darüber entscheiden können, welche Bereiche berücksichtigt werden sollen.

NIS1 vs NIS2: Auswirkungen der Unterschiede auf Unternehmen

Seit dem 16. Januar 2023 haben Deutschland und andere EU-Mitgliedsstaaten 21 Monate, also bis Oktober 2024 Zeit, um die neuen Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Betroffene Unternehmen sollten sich jetzt schon mit den Voraussetzungen der NIS2 Richtlinie auseinandersetzen.

Wenn Ihr Unternehmen innerhalb des Geltungsbereichs fällt, muss es die Bestimmungen erfüllen, die in den nationalen Durchführungsbestimmungen der NIS2 Richtlinie als verbindliches Gesetz umgesetzt werden.

NIS2 führt erstmals die „wichtigen Einrichtungen“ ein, die den Umfang der Kritischen Infrastruktur erweitern. Daher fallen nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS2 Richtlinie.  

‍‍

Fazit: NIS1 vs NIS2 – eine weitreichende Neuauflage der EU-Cybersicherheit

Zusammenfassend sind die wesentlichen Unterschiede zwischen NIS1 vs NIS2 die erweiterte Anwendung auf eine breitere Palette von Sektoren, strengere Anforderungen an die Informationssicherheit für betroffene Unternehmen, einheitlichere Standards und eine verstärkte Zusammenarbeit auf EU-Ebene.  

Mit den neuen Maßnahmen in NIS1 vs NIS2 wird somit ein weitaus höheres Niveau der Cybersicherheit angestrebt, um die digitale Infrastruktur Europas langfristig zu schützen und die Sicherheit der Bürger zu gewährleisten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 2, 2023
8 min
Google Analytics: Bald illegal? Das sagen die SECJUR-Experten!

Dass der Statistik-Dienst von Google, Google Analytics, nicht ohne Weiteres auf Webseiten datenschutzkonform einsetzbar ist, dürfte bekannt sein. In den letzten Tagen gab es dennoch vermehrt Berichte über den Dienst und dessen mangelnde Datenschutzkonformität. Insbesondere die Aufsichtsbehörden innerhalb der Europäischen Union beschäftigen sich intensiv mit dem Dienst.

Lesen
November 22, 2023
7 min
ISMS Zertifizierung: Welches Audit lohnt sich wirklich?

Sichern Sie nicht nur die Informationssicherheit Ihres Unternehmens, sondern stärken Sie auch das Vertrauen von Kunden und Partnern durch eine ISMS Zertifizierung. Erfahren Sie, was ein ISMS ist und wie es Risiken minimiert, die durch interne und externe Faktoren entstehen können. Die Implementierung eines ISMS ist nicht nur entscheidend für den Schutz sensibler Daten, sondern auch für die Erfüllung gesetzlicher Anforderungen und die Sicherung von Geschäftsmöglichkeiten, insbesondere in Branchen wie Gesundheitswesen, Finanzwesen und Industrie.

Lesen
November 15, 2023
7 min
ISO 27001 Zertifizierung: Das Wichtigste zu Vorbereitung, Ablauf und Kosten

Erfahren Sie mehr über die ISO 27001, eine internationale Norm, die Unternehmen dazu verpflichtet, erstklassige Standards im Informationssicherheitsmanagement zu etablieren. Diese Zertifizierung ist nicht nur ein Maßstab für die Kontrolle von Informationen, sondern auch ein entscheidender Vertrauensbeweis für Kunden und Partner. Entdecken Sie, wie die ISO 27001 Transparenz fördert, Vertrauen stärkt und Unternehmen dabei unterstützt, sich effektiv vor Cyberbedrohungen zu schützen.

Lesen
TO TOP