Was ist die NIS-2-Richtlinie und wie bereitet man sich darauf vor?

Im Januar 2023 ist die aktualisierte EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) in Kraft getreten. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Was bedeutet das und wie bereitet man sich darauf vor?

Das heutige Thema ist die Richtlinie NIS 2, die darauf abzielt, die Cyberresilienz kritischer Infrastrukturen und essenzieller und wichtiger Einrichtungen zu verbessern. NIS 2 scheint für die Informationssicherheit in der EU das zu tun, was die DSGVO für den Datenschutz der Benutzer getan hat.

Es wird nicht lange dauern, bis die neue Richtlinie in nationales Recht umgesetzt wird. Wenn dein Unternehmen also noch nicht bereit ist, ist es jetzt an der Zeit, Schritte zu unternehmen.

 

Was ist NIS 2?

Die überarbeitete Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) ist die EU-weite Gesetzgebung zur Cybersicherheit. NIS 2 aktualisiert und ergänzt die ursprüngliche NIS-Richtlinie, die 2016 verabschiedet wurde, und schafft einen Rechtsrahmen, um das Gesamtniveau der Cybersicherheit in der EU zu verbessern.

Die aktualisierte NIS-2-Richtlinie konzentriert sich auf drei Hauptbereiche:

  • Erweiterung des Anwendungsbereichs: Die sieben Sektoren, die unter die ursprüngliche NIS-Richtlinie fallen, werden durch eine Reihe neuer Bereiche ergänzt
  • Neue Mechanismen für die Meldung von Vorfällen und den Informationsaustausch: NIS 2 schreibt vor, dass schwerwiegende Vorfälle zeitnah gemeldet werden
  • Strengere Durchsetzung der Einhaltung der Vorschriften: Die aktualisierte NIS 2 führt spezifische Sanktionen bei Verstößen ein, darunter Geldbußen von bis zu 2 % des weltweiten Jahresumsatzes

 

Für welche Organisationen gilt NIS 2?

Wie bereits erwähnt, erweitert die revidierte Richtlinie den Anwendungsbereich gegenüber der ursprünglichen Version von 2016 erheblich. Darüber hinaus führt NIS 2 eine Klassifikation ein, die die abgedeckten Sektoren in zwei Kategorien unterteilt:

  • Sektoren mit hoher Kritikalität (Anhang I):
    • Energie (Strom, Fernwärme und Kühlung, Gas, Wasserstoff, Öl)
    • Verkehr (Luft, Schiene, Wasser, Straße)
    • Bankwesen
    • Finanzmarktinfrastruktur
    • Gesundheit
    • Trinkwasser
    • Abwasser
    • Digitale Infrastruktur
    • ICT-Servicemanagement (MSP, MSSP)
    • Einrichtungen der öffentlichen Verwaltung
    • Weltraum
  • Andere kritische Sektoren (Anhang II):
    • Post- und Kurierdienste
    • Abfallwirtschaft
    • Herstellung, Herstellung und Vertrieb von Chemikalien
    • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
    • Herstellung (medizinische Geräte, Computer, elektronische oder optische Produkte, elektrische Geräte, Maschinen, Kraftfahrzeuge, andere Transportmittel)
    • Digitale Anbieter
    • Forschung

 

Neben der Klassifizierung von Sektoren führt NIS 2 eine zusätzliche Klassifizierung bestimmter Einheiten ein. Auch sie besteht aus zwei Kategorien:

  • Essenziell (Artikel 3.1):
    • Große Einheiten (Jahresumsatz über 50 Mio. €) in Sektoren hoher Kritikalität
    • Zertifizierungsstellen, Top-Level-Domain-Registrare und DNS-Anbieter, unabhängig von der Unternehmensgröße
    • Telekommunikationsanbieter ab dem Mittelstand (Umsatz über 10 Mio. €)
    • Institutionen der öffentlichen Verwaltung
    • Jede Einheit, die zu einem hochkritischen Sektor oder einem anderen kritischen Sektor gehört, der von einem EU-Mitgliedstaat als essenziell eingestuft wird
    • Unternehmen, die gemäß der Richtlinie (EU) 2022/2557 als kritisch eingestuft sind

 

  • Wichtig (Artikel 3.2):
    • Mittelständische Unternehmen (Jahresumsatz 10-50 Mio. €) in hochkritischen Sektoren
    • Mittlere und große Unternehmen in anderen kritischen Sektoren
    • Alle Entitäten, die von einem EU-Mitgliedstaat als wichtig eingestuft werden

 

Zu welcher Kategorie eine Entität gehört, hat erhebliche praktische Auswirkungen. Die Aktivitäten von Einrichtungen, die als essenziell eingestuft werden, unterliegen einer viel strengeren und proaktiven Kontrolle, einschließlich stichprobenartiger Razzien, besonderer Sicherheitskontrollen und Aufforderungen zum Nachweis der Konformität. Bei Nichteinhaltung von NIS 2 können essenzielle Einrichtungen mit einer Geldbuße von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes belegt werden.

Als wichtig eingestufte Einrichtungen haben mehr Luft – sie unterliegen weniger strengen Kontrollen. Für als wichtig eingestufte Entitäten sind die Strafen etwas geringer: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

 

Zeitleiste für NIS 2

NIS 2 ist im Gegensatz zur DSGVO eine Richtlinie und keine Verordnung der Europäischen Union. Dies bedeutet, dass die EU-Mitgliedstaaten gesetzlich verpflichtet sind, ihre nationalen Rechtsvorschriften innerhalb der festgelegten Frist zu ändern. Im Fall von NIS 2 endet die Frist am 17. Oktober 2024.

Darüber hinaus müssen die EU-Mitgliedstaaten bis zum 17. April 2025 Listen mit essenziellen und wichtigen Einrichtungen erstellen, die NIS 2 unterliegen.

Es ist sinnvoll, sich die Zeitleiste der Hauptphasen von NIS 2 noch einmal genauer anzusehen:

  • Juli 2016: Annahme der Richtlinie (EU) 2016/1148, der ursprünglichen NIS
  • Mai 2018: Frist für die Umsetzung der NIS-Richtlinie durch die EU-Mitgliedstaaten in nationales Recht
  • Juli 2020: Beginn der Konsultationen der Europäischen Kommission (EK) zur Überarbeitung der NIS
  • Dezember 2020: Veröffentlichung des Vorschlags für NIS 2 durch die Europäische Kommission
  • Mai 2022: Abstimmung im Europäischen Parlament über die Verabschiedung der Richtlinie NIS 2
  • November 2022: Verabschiedung der Richtlinie NIS 2 durch den Rat der EU
  • Dezember 2022: Veröffentlichung der Richtlinie NIS 2 im Amtsblatt der EU unter dem Titel Richtlinie (EU) 2022/2555
  • Januar 2023: Inkrafttreten der Richtlinie NIS 2
  • Oktober 2024: Frist für die Umsetzung der Richtlinie NIS 2 durch die EU-Mitgliedstaaten in nationales Recht
  • April 2025: Frist für die Erstellung von Listen der essenziellen und wichtigen Entitäten durch die EU-Mitgliedstaaten. Danach müssen diese Listen regelmäßig aktualisiert werden – mindestens alle zwei Jahre
  • Oktober 2027: Überprüfung der Richtlinie NIS 2

 

Wie bereitet man sich auf die Implementierung von NIS 2 vor?

  • Einstufung, ob und inwieweit die Anforderungen von NIS 2 auf dein Unternehmen zutreffen
  • Untersuchung, wie die NIS-Richtlinie in deinem EU-Mitgliedstaat in nationales Recht umgesetzt wurde
  • Befolgen der Empfehlungen der nationalen Cybersicherheitsbehörden
  • Bewertung und Entwicklung technischer, betrieblicher und organisatorischer Maßnahmen für die Verwaltung von Netzwerk- und Informationssystemen; Sicherheitsrisiken

Weitere Informationen über die aktualisierte EU-Richtlinie über die Netzwerk- und Informationssicherheit und darüber, wie Unternehmen sich auf ihr Inkrafttreten vorbereiten können, findest du auf unserer speziellen Webseite zu NIS 2.

Tipps