Was versteht man unter der NIS2-Richtlinie?

NIS2 (Netz- und Informationssicherheitsrichtlinie II) ist ein Gesetz der Europäischen Union mit dem Ziel, die Cybersicherheit in der gesamten Union zu verbessern. Stellen Sie sich das Gesetz als ein Regelwerk für Unternehmen vor, die mit sensiblen Daten arbeiten oder wichtige Dienste anbieten. Das Regelwerk soll sicherstellen, dass solche Unternehmen über angemessene Schutzmaßnahmen gegen Cyberangriffe verfügen.

„Diese Richtlinie legt Maßnahmen fest, die darauf abzielen, ein hohes gemeinsames Niveau der Cybersicherheit in der gesamten Union zu erreichen, um das Funktionieren des Binnenmarktes zu verbessern.“

Wichtige Eckdaten zu NIS2 und CER

NIS2

• 17. Oktober 2024: NIS2 soll in nationales Recht umgesetzt werden
• 17. Januar 2025: Jedes Land soll der Kommission die Regeln und Maßnahmen mitteilen
• 17. Oktober 2027: Beginn der Überprüfung durch die Kommission (Überprüfung alle 36 Monate)

CER

• • 17. Oktober 2024: Die Länder müssen die Maßnahmen zur Einhaltung dieser Richtlinie verabschieden und veröffentlichen
  • 18. Oktober 2024: Anwendung dieser Maßnahmen.

Wer hat die NIS2-Richtlinie verfasst und durchgesetzt?

Die Europäische Kommission hat die NIS2 eingeführt. Die EU-Mitgliedsstaaten sind nun dafür verantwortlich, sie bis zum Oktober 2024 in ihre nationalen Gesetze zu integrieren.

Bis zum 17. Oktober 2027 und danach alle 36 Monate überprüft die Kommission die Funktionsweise dieser Richtlinie und erstattet dem Europäischen Parlament und dem Rat einen Bericht. Dieser soll insbesondere die Relevanz der Größe der betroffenen Unternehmen sowie der Sektoren, Teilsektoren und Unternehmensarten bewerten, die betroffen sind.

Wer ist von NIS2 betroffen und muss die Richtlinie einhalten?

Während die ursprüngliche NIS-Richtlinie auf bestimmte Sektoren wie Energie und Finanzen abzielte, ist die NIS2 breiter angelegt und umfasst auch kleine und mittlere Unternehmen (KMU). Sie gilt vor allem für die Bereiche Energie, Verkehr, Banken, Gesundheit, Trinkwasserversorgung und Abwasserentsorgung, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt sowie Lebensmittelproduktion und -verteilung.

Anforderungen unter NIS2?

NIS2 wird strengere Anforderungen an die Cybersicherheit und eine bessere Berichterstattung über Vorfälle für die Unternehmen mit sich bringen. Die Unternehmen müssen einen Plan für die Bewältigung von Cyber-Risiken haben, einschließlich Maßnahmen zur Verhinderung von Angriffen und zur Minimierung von Schäden, wenn ein Angriff erfolgt.

Die NIS2-Richtlinie der EU erfordert:

• Erhöhte Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste und digitale Dienstleister.
• Einrichtung von CSIRTs zur Koordination von Sicherheitsvorfällen.
• Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden.
• Angemessene Sicherheitsmaßnahmen und Risikomanagement.
• Zusammenarbeit und Informationsaustausch zwischen Mitgliedstaaten und der EU.
• Sicherung von Schlüsseltechnologien und kritischen Infrastrukturen.

NIS2 – Die Regeln ignorieren? Keine Option

Die genauen Sanktionen werden von Land zu Land unterschiedlich sein, wobei regelmäßige Kontrollen und Audits vorgesehen sind (Artikel 32)

Die Mitgliedstaaten legen Regelungen zu den Strafen fest, die bei Verstößen gegen nationale Maßnahmen gemäß dieser Richtlinie anzuwenden sind. Sie ergreifen alle erforderlichen Maßnahmen, um sicherzustellen, dass diese Strafen wirksam, angemessen und abschreckend sind. Bis zum 17. Januar 2025 übermitteln die Mitgliedstaaten der Kommission diese Vorschriften und Maßnahmen und informieren umgehend über etwaige anschließende Änderungen.

Was ist zu tun?

Seit Juli 2023 liegt in Deutschland ein Referentenentwurf des Bundesinnenministeriums vor, der als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) bekannt ist. Die genaue Dokumentation bzw. ein Regelwerk für Deutschland wurde noch nicht veröffentlicht.

Jeder Mitgliedstaat verabschiedet eine nationale Cybersicherheitsstrategie, welche die strategischen Ziele sowie die erforderlichen Ressourcen bereitstellt, um diese Ziele zu erreichen. Dazu sind geeignete Richtlinien und Vorschriften erforderlich, um ein hohes Niveau an Cybersicherheit zu erreichen und zu halten.

CER (Critical Entities Resilience Directive)

Die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) ist eine maßgebliche Vorschrift der Europäischen Union (EU), die entwickelt wurde, um den zunehmenden Herausforderungen in einer Welt mit vielfältigen Krisen gerecht zu werden. Ihr Hauptziel besteht darin, die Widerstandsfähigkeit von kritischen Einrichtungen gegen verschiedene Arten von Bedrohungen und Risiken zu stärken, einschließlich Naturkatastrophen, Terroranschlägen, Cyberangriffen und Sabotage.

CER ist für die Zusammenarbeit mit NIS2 konzipiert, konzentriert sich jedoch nicht ausschließlich auf Cybersicherheit, sondern untersucht auch physische Sicherheit und Widerstandsfähigkeit.

Gemäß Artikel 26 erlassen und veröffentlichen die Mitgliedstaaten bis zum 17. Oktober 2024 die Maßnahmen, die erforderlich sind, um dieser Richtlinie nachzukommen und wenden diese Maßnahmen ab dem 18. Oktober 2024 an (https://www.critical-entities-resilience-directive.com/Transposition/Germany.html)

NIS2 und CER – Ein Anwendungsfall

Stellen Sie sich ein Krankenhaus (unter CER) vor. NIS2 stellt sicher, dass seine IT-Systeme vor Cyberangriffen geschützt sind, während die CER-Richtlinie vom Krankenhaus verlangen könnte, dass es über Notstromaggregate verfügt, um die Funktionalität während eines Stromausfalls aufrechtzuerhalten.

Sie benötigen Unterstützung bei der Umsetzung der NIS2-Richtlinie? Kontaktieren Sie uns gerne.

Tool Tipp

Entdecken Sie Raycast: Ihr Turbo für mehr Mac-Produktivität! Raycast ist mehr als nur ein Anwendungsstarter. Es ist Ihr persönlicher Assistent, der Ihnen hilft, Aufgaben schneller zu erledigen, Dateien zu finden und nahtlos mit Tools wie Trello und GitHub zu interagieren. Mit natürlicher Sprachverarbeitung und benutzerdefinierten Workflows unterstützt Raycast jeden Mac-Nutzer, der seine Produktivität verbessern möchte.

Über Business Automatica GmbH:

Business Automatica senkt Prozesskosten durch Automatisierung manueller Tätigkeiten, hebt die Qualität beim Datenaustausch in komplexen Systemarchitekturen und verbindet On-premise Systeme mit modernen Cloud- und SaaS-Architekturen. Angewandte künstliche Intelligenz im Unternehmen ist dabei ein integraler Bestandteil. Zudem bietet Business Automatica auf Cybersicherheit ausgerichtete Automatisierungslösungen aus der Cloud.