12.5.22
Lesezeit 5 Minuten
NIS2 Richtlinie - Die neue EU-Regulierung im Bereich der Cybersicherheit

Cybersicherheit ist zu einem wichtigen Thema auf der politischen Agenda der Europäischen Union (EU) und ihrer Mitgliedstaaten, wie z. B. Deutschland, geworden. Infolgedessen veröffentlicht und überarbeitet die EU aktiv eine Vielzahl von Rechtsvorschriften, darunter DORA, CRA, DSA, usw. Die neueste Ergänzung ist die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union (NIS2).

Was ist die NIS-Richtlinie und was ist NIS2?

NIS2 ist eine überarbeitete Version der bestehenden Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie), die Kriterien zur Identifizierung von Betreibern kritischer Infrastrukturen und Anforderungen an die Informationssicherheit festlegt. Das bedeutet, dass Einrichtungen, die bestimmte Schwellenwerte erfüllen, wie z.B. die Versorgung vieler Bürger mit Strom, als systemrelevant gelten und damit bestimmte gesetzliche Anforderungen erfüllen müssen. Da die Digitalisierung immer weiter voranschreitet, wurde die NIS-Richtlinie seit ihrer ersten Veröffentlichung von der EU überarbeitet. Eine neue Version - NIS2 - wurde am 14. Dezember 2022 verabschiedet.

Was sind die wichtigsten Änderungen der NIS?

Die wichtigsten Anforderungen der NIS-Richtlinie bleiben erhalten, wie z.B., dass die der NIS2 unterliegenden Stellen umfangreiche Anforderungen an die Informationssicherheit erfüllen müssen, d.h. dass sie praktisch ein Informationssicherheitsmanagementsystem (ISMS) unterhalten müssen.

Einige der wichtigsten Änderungen, die mit NIS2 eingeführt werden, sind:

  • Mehr und neue Sektoren fallen in den Anwendungsbereich von NIS2, was bedeutet, dass mehr Unternehmen die Richtlinie und die nachfolgenden nationalen Vorschriften, die in den kommenden Jahren veröffentlicht werden, einhalten müssen.
  • Mit der NIS2 wird eine "size-cap"-Regel eingeführt, die besagt, dass Unternehmen, die mindestens mittelgroße Unternehmen sind und unter die speziellen Sektoren fallen, nun der NIS2 unterliegen.  
  • Die Sanktionen und Strafen werden erheblich verschärft und können bis zu max. 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes betragen.
  • Unternehmen sind für ihre gesamte Informationssicherheits-Lieferkette verantwortlich.
  • Es wird ein europäisches Verbindungsnetz für Cyberkrisen (EU - CyCLONe) geschaffen, das für die Koordinierung größerer Cybersicherheitsvorfälle und den Informationsaustausch zwischen den Mitgliedstaaten und den EU-Institutionen zuständig sein wird.
Previous Article
Next Article

NIS2 Richtlinie - Die neue EU-Regulierung im Bereich der Cybersicherheit

Cybersicherheit ist zu einem wichtigen Thema auf der politischen Agenda der Europäischen Union (EU) und ihrer Mitgliedstaaten, wie z. B. Deutschland, geworden. Infolgedessen veröffentlicht und überarbeitet die EU aktiv eine Vielzahl von Rechtsvorschriften, darunter DORA, CRA, DSA, usw. Die neueste Ergänzung ist die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union (NIS2).

Was ist die NIS-Richtlinie und was ist NIS2?

NIS2 ist eine überarbeitete Version der bestehenden Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie), die Kriterien zur Identifizierung von Betreibern kritischer Infrastrukturen und Anforderungen an die Informationssicherheit festlegt. Das bedeutet, dass Einrichtungen, die bestimmte Schwellenwerte erfüllen, wie z.B. die Versorgung vieler Bürger mit Strom, als systemrelevant gelten und damit bestimmte gesetzliche Anforderungen erfüllen müssen. Da die Digitalisierung immer weiter voranschreitet, wurde die NIS-Richtlinie seit ihrer ersten Veröffentlichung von der EU überarbeitet. Eine neue Version - NIS2 - wurde am 14. Dezember 2022 verabschiedet.

Was sind die wichtigsten Änderungen der NIS?

Die wichtigsten Anforderungen der NIS-Richtlinie bleiben erhalten, wie z.B., dass die der NIS2 unterliegenden Stellen umfangreiche Anforderungen an die Informationssicherheit erfüllen müssen, d.h. dass sie praktisch ein Informationssicherheitsmanagementsystem (ISMS) unterhalten müssen.

Einige der wichtigsten Änderungen, die mit NIS2 eingeführt werden, sind:

  • Mehr und neue Sektoren fallen in den Anwendungsbereich von NIS2, was bedeutet, dass mehr Unternehmen die Richtlinie und die nachfolgenden nationalen Vorschriften, die in den kommenden Jahren veröffentlicht werden, einhalten müssen.
  • Mit der NIS2 wird eine "size-cap"-Regel eingeführt, die besagt, dass Unternehmen, die mindestens mittelgroße Unternehmen sind und unter die speziellen Sektoren fallen, nun der NIS2 unterliegen.  
  • Die Sanktionen und Strafen werden erheblich verschärft und können bis zu max. 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes betragen.
  • Unternehmen sind für ihre gesamte Informationssicherheits-Lieferkette verantwortlich.
  • Es wird ein europäisches Verbindungsnetz für Cyberkrisen (EU - CyCLONe) geschaffen, das für die Koordinierung größerer Cybersicherheitsvorfälle und den Informationsaustausch zwischen den Mitgliedstaaten und den EU-Institutionen zuständig sein wird.

NIS2 Vorgaben entspannt umsetzen - mit dem Digital Compliance Office

Mit dem secjur Digital Compliance Office automatisieren Sie aufwändige Arbeitsschritte und ersparen Ihrem Unternehmen dadurch hunderte Stunden Arbeitsaufwand.

Wer fällt in den Anwendungsbereich der NIS2?

Es gibt zwei Hauptkriterien für die Bestimmung der Unternehmen, die in den Anwendungsbereich von NIS2 fallen, und zwar

  1. Die Unternehmensgröße: Alle Unternehmen, die mindestens mittlere Unternehmen sind, unterliegen der NIS2. Unternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz und/oder Jahresbilanzsumme 10 Mio. EUR nicht übersteigt, sind vom Anwendungsbereich ausgeschlossen. Daher unterliegen alle Unternehmen, die größer sind und in den unter Punkt 2 genannten Sektoren tätig sind, der NIS2.
  1. Der Sektor: Alle mittleren oder größeren Unternehmen in den folgenden Sektoren unterliegen der NIS2:
  • Energie
  • Transport
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheit
  • Trinkwasser
  • Abwässer
  • Digitale Infrastruktur
  • IKT-Dienstleistungsmanagement (B2B)
  • Öffentliche Verwaltungen
  • Weltraum
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Herstellung
  • Digitale Anbieter
  • Forschung

Natürlich gibt es bestimmte Ausnahmen, bei denen die Unternehmen entweder unabhängig von ihrer Größe in den Anwendungsbereich der NIS2 fallen oder ganz davon ausgenommen sind.

Was bedeutet die EU-Verordnung für deutsche Unternehmen?

Da die NIS2 eine EU-Richtlinie ist, muss sie in allen Mitgliedstaaten der EU in nationales Recht umgesetzt werden. Es handelt sich nicht um eine Verordnung wie die Datenschutz-Grundverordnung (DSGVO), die unmittelbar in allen Mitgliedstaaten gilt. Das bedeutet, dass die Mitgliedstaaten nach der offiziellen Veröffentlichung der NIS2 durch die EU 21 Monate Zeit haben, die Bestimmungen in ihr nationales Recht zu übernehmen. Dies hat zur Folge, dass Deutschland bestehende Regelungen im Bereich der Cybersicherheit anpassen oder neue veröffentlichen muss. Derzeit gehören das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung u.a. zu den nationalen Gesetzen, die die Anforderungen an die Informationssicherheit für Betreiber kritischer Infrastrukturen regeln. Es ist daher zu erwarten, dass innerhalb der nächsten 2 Jahre entweder bestehende Gesetze geändert oder neue Gesetze veröffentlicht werden, um die Anforderungen der NIS2 in nationale Vorgaben zu integrieren. Die genauen Verpflichtungen für Unternehmen werden sich demnach aus den kommenden Gesetzen ergeben.

Was bedeutet NIS2 für mein Unternehmen?

Sofern Ihr Unternehmen die oben genannten Kriterien erfüllt, gelten bald verschärfte Anforderungen an Ihre Informationssicherheit. Dazu gehören auch Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen sowie zeitkritische Melde- und Berichtspflichten. Darüber hinaus entsteht die Notwendigkeit ein effektives Risikomanagement zu betreiben. Der effektivste Weg die Vorgaben umzusetzen, ist die Implementierung eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS).