Die NIS-2-Richtlinie (Network and Information Systems Directive) ist ein wichtiger Schritt, um die Cybersicherheit innerhalb der Europäischen Union (EU) zu stärken. Wir möchten Ihnen die weitreichenden Auswirkungen der NIS-2-Richtlinie auf Unternehmen und öffentliche Einrichtungen in der gesamten EU vorstellen.
Hintergrund und Ziele der NIS-2-Richtlinie
Die ursprüngliche NIS-Richtlinie wurde im Jahr 2016 verabschiedet und bildete den ersten EU-weiten Rechtsrahmen für die Cybersicherheit. Sie verpflichtete die Mitgliedstaaten zur Einführung nationaler Cybersicherheitsstrategien und legte Anforderungen an Betreiber wesentlicher Dienste und Anbieter digitaler Dienste fest.
Die NIS-2-Richtlinie, veröffentlicht im Amtsblatt L333 der Europäischen Union am 27. Dezember 2022, aktualisiert und erweitert den bestehenden Rahmen erheblich. Ihr Hauptziel ist es, auf die zunehmende Komplexität und Vernetzung digitaler Systeme sowie auf die steigenden Cyberbedrohungen zu reagieren. Dabei soll die Widerstandsfähigkeit kritischer Infrastrukturen verbessert und ein hohes gemeinsames Sicherheitsniveau innerhalb der EU sichergestellt werden.
Das sind die wesentlichen Neuerungen der NIS-2-Richtlinie
- Erweiterter Anwendungsbereich
Die NIS-2-Richtlinie umfasst eine breitere Palette von Sektoren und Unternehmen. Neben den bereits von der NIS-Richtlinie erfassten Bereichen (z. B. Energie, Transport, Gesundheit, Finanzwesen) sind nun auch weitere Sektoren wie die öffentliche Verwaltung, Raumfahrt, Lebensmittelversorgung und digitale Infrastruktur einbezogen. - Strengere Sicherheitsanforderungen
Die Anforderungen an die Sicherheit der Netz- und Informationssysteme wurden deutlich erhöht. Unternehmen sind nun verpflichtet, umfassendere Maßnahmen zum Schutz vor Cyberangriffen zu ergreifen und deren Wirksamkeit regelmäßig zu überprüfen. - Erweiterte Meldepflichten
Die Richtlinie verschärft die Meldepflichten bei Sicherheitsvorfällen. Unternehmen sind verpflichtet, erhebliche Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden zu melden und innerhalb von 72 Stunden weitere detaillierte Informationen bereitzustellen. - Haftung und Sanktionen
Die NIS-2-Richtlinie führt strengere Haftungsregelungen und Sanktionen ein. Unternehmen, die ihren Pflichten nicht nachkommen, müssen mit empfindlichen Geldstrafen und weiteren rechtlichen Konsequenzen rechnen. - Verbesserte Zusammenarbeit und Koordination
Die Richtlinie fördert eine engere Zusammenarbeit zwischen den EU-Mitgliedstaaten, insbesondere durch die Schaffung eines Europäischen Zentrums für Cybersicherheit. Das Zentrum hat die Aufgabe, die Koordination und den Informationsaustausch zwischen den nationalen Behörden zu verbessern und die gemeinsame Reaktion auf grenzüberschreitende Cyberbedrohungen zu unterstützen.
Herausforderungen bei der Umsetzung der NIS-2-Richtlinie
Die Umsetzung der NIS-2-Richtlinie stellt die Mitgliedstaaten und Unternehmen vor erhebliche Herausforderungen. Dazu zählen:
- Rechtliche Anpassungen: Jedes EU-Land muss seine nationalen Gesetze und Vorschriften an die neuen Anforderungen anpassen. Dies erfordert eine enge Zusammenarbeit zwischen den nationalen Gesetzgebern und den EU-Institutionen.
- Ressourcenaufwand: Die Erfüllung der neuen Sicherheitsanforderungen erfordert erhebliche Investitionen in Technologien, Personal und Schulungen. Insbesondere kleine und mittlere Unternehmen (KMU) könnten Schwierigkeiten haben, die notwendigen Ressourcen bereitzustellen.
- Kultureller Wandel: Die Schaffung einer starken Sicherheitskultur innerhalb von Unternehmen ist essenziell. Dies erfordert ein Umdenken auf allen Ebenen der Organisation und die Etablierung von Cybersicherheit als zentrale Unternehmenspriorität.
Stand der rechtlichen Anpassung von NIS-2 in EU-Ländern
Spätestens ab dem 18. Oktober 2024 müssen die Vorgaben der EU über nationale Gesetze in den Mitgliedstaaten umgesetzt werden.
Drei von 27 EU-Mitgliedstaaten haben die rechtliche Anpassung bereits durchgeführt und entsprechende Vorschriften im jeweiligen Amtsblatt veröffentlicht: Belgien, Kroatien und Ungarn.
In Deutschland, Finnland, Italien, Lettland, Luxemburg, den Niederlanden, Österreich, Polen, der Slowakei, Slowenien, der Tschechischen Republik und Zypern wurden Entwürfe bereits vorgestellt.
In den restlichen zwölf EU-Mitgliedstaaten ist die zeitliche Umsetzung noch nicht bekannt. Es ist damit zu rechnen, dass in dem ein oder anderen Land die Frist nicht eingehalten werden kann.
Lese-Tipp: Die Bedeutung von Governance für Unternehmen
Diese Unternehmen und Einrichtungen sind von NIS-2 betroffen
Grundsätzlich sind Unternehmen ab 50 Beschäftigten mit einem Jahresumsatz von mindestens 10 Millionen Euro betroffen.
Außerdem richtet sich die NIS-2-Richtlinie an „wesentliche“ und „wichtige“ Einrichtungen und Unternehmen.
Zu den wesentlichen Einrichtungen („essential“) gehören Betriebe mit einer wesentlichen Bedeutung für das Gemeinwesen. Deren Ausfall hätte gravierende Folgen. NIS-2 nennt konkret elf Bereiche:
- Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
- Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen
- Finanzmärkte
- Gesundheit (auch Gesundheitsdienstleister, Medizinforschung, Pharmazeutik, Medizingeräte)
- Trinkwasser (Wasserversorgung)
- Abwasser (Abwasserentsorgung)
- Öffentliche Verwaltungen
- Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren, Elektronische Kommunikation)
- ICT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers)
- Weltraum
Zu den wichtigen Einrichtungen („important“) werden folgende sieben Branchen gezählt:
- Post- und Kurierdienste
- Abfall
- Lebensmittel
- Chemikalien
- Digitale Dienste ( Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke),
- Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten)
- Forschung
Fallen Unternehmensgröße und Branche zusammen, dann gilt die NIS-2-Richtline. Übt ein Unternehmen eine kritische Tätigkeit aus und drohen bei einem Ausfall dieser Tätigkeit Auswirkungen auf die öffentliche Ordnung, kann es ebenfalls unter NIS-2 fallen, wenn die Unternehmensgröße nicht erreicht wurde.
Die NIS2-Richtlinie gilt allerdings nicht für Einrichtungen, die Tätigkeiten in Bereichen wie Verteidigung , nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung ausüben. Ebenfalls ausgenommen sind Justiz, Parlamente und Zentralbanken.
Fazit: Unternehmen und öffentliche Einrichtungen sind ab Herbst 2024 gefordert, die neuen Anforderungen zügig umzusetzen und sich proaktiv gegen Cyberrisiken zu wappnen. Nur so kann ein hohes Maß an Sicherheit und Vertrauen in die digitale Infrastruktur der EU gewährleistet werden.