IT-SECURITY,
Lieferketten rücken in den Fokus. Mit der Umsetzung wird die Stärkung der Widerstandsfähigkeit und Cybersicherheit deutlich angehoben, um Netz- u. Informationssicherheitssysteme europaweit vor Hackerangriffen zu schützen.
Ursprung: Die Richtlinie über die Netz- und Informationssicherheit (NIS, 2016) ist die erste EU-weite Rechtsvorschrift zur Cybersicherheit. Ihr spezifisches Ziel war es, ein hohes gemeinsames Niveau der Cybersicherheit in allen Mitgliedstaaten zu erreichen. Die 2016 eingeführten EU-Cybersicherheitsvorschriften (NIS), wurden überarbeitet und durch die NIS2-Richtlinie aktualisiert, die 2023 in Kraft trat.
Der Anwendungsbereich der NIS2-Richtlinie gilt für "wesentliche Einrichtungen" und "wichtige Einrichtungen", die in der Europäischen Union tätig sind. Sie modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und der sich entwickelnden Bedrohungslandschaft im Bereich der Cybersicherheit Schritt zu halten. Es erfolgte die Ausweitung des Geltungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen.
Die politische Einigung wurde vom Parlament und anschließend vom Rat im November 2022 förmlich angenommen. Sie trat am 16. Januar 2023 in Kraft und die Mitgliedstaaten haben nun 21 Monate, bis zum 17. Oktober 2024, Zeit, um die Maßnahmen in nationales Recht umzusetzen.
Organisationen, die unter die NIS2-Richtlinie fallen:
Der Anwendungsbereich der NIS2-Richtlinie gilt für "wesentliche Einrichtungen" und "wichtige Einrichtungen", die in der Europäischen Union tätig sind.
"Wesentliche Einrichtungen" sind Organisationen, deren Verlust oder Unterbrechung von Diensten direkt oder indirekt, vorübergehend oder langfristig schwerwiegende Auswirkungen auf die Wirtschaft, die Energieversorgung, das Gesundheitswesen, die Kommunikation und die öffentliche Verwaltung unserer Gesellschaft haben könnte. Im Anhang I der NIS2-Richtlinie sind die Sektoren der "wesentlichen Einrichtungen" aufgeführt, und zwar
- Energie (Elektrizität, Fernwärme und -kälte, Öl, Gas, Wasserstoff),
- Verkehr (Luft, Schiene, Wasser, Straße),
- Bankwesen,
- Finanzmarktinfrastrukturen,
- Gesundheit,
- Trinkwasserversorgung,
- Abwasser,
- digitale Infrastruktur (z.B. Anbieter von Internet-Austauschpunkten, DNS-Diensteanbieter, Anbieter von Cloud-Computing-Diensten, Anbieter von Vertrauensdiensten, usw.),
- IKT-Dienstleistungsmanagement (Business-to-Business),
- und öffentliche Verwaltung.
Die Kategorie der "wichtigen Einrichtungen" umfasst öffentliche und private Organisationen in den Sektoren, die für unsere sozialen und wirtschaftlichen Aktivitäten entscheidend sind. Kleinst- und Kleinunternehmen sind jedoch vom Anwendungsbereich der Richtlinie ausgeschlossen. In Anhang II der NIS2-Richtlinie sind die Sektoren der wichtigen Einrichtungen aufgeführt, und zwar
- Post- und Kurierdienste,
- Abfallwirtschaft,
- Herstellung, Produktion und Vertrieb von Chemikalien,
- Herstellung, Verarbeitung und Vertrieb von Lebensmitteln,
- verarbeitendes Gewerbe (z.B. medizinische Geräte, Elektrogeräte, Computer, Kraftfahrzeuge, Anhänger und Sattelanhänger),
- digitale Anbieter (z.B. Online-Marktplätze, Online-Suchmaschinen),
- sowie Forschungseinrichtungen.
Neuerungen für mehr Betroffenheit, Pflichten und Aufsicht in der EU:
NIS2 und deren neue Verpflichtungen:
Eine der größten Änderungen der NIS2 betrifft die Meldepflicht für Zwischenfälle. Nach NIS2 müssen "erhebliche" Vorfälle innerhalb von 24 Stunden gemeldet werden.
Wesentliche und wichtige Einrichtungen müssen Vorfälle an ihre nationalen Computer Security Incident Response Teams (CSIRTs) oder der für sie zuständigen Behörde melden. Die NIS2 führt einen dreistufigen Prozess für die Meldefristen ein:
- Eine Frühwarnung erfolgt innerhalb von 24 Stunden "nach Bekanntwerden des Vorfalls".
- Auf diese Warnung folgt innerhalb von 72 Stunden eine vollständige Meldung, einschließlich einer ersten Bewertung des Vorfalls.
- Innerhalb eines Monats nach der Meldung des Vorfalls wird ein Abschlussbericht erstellt, der eine detaillierte Beschreibung zur Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.
Die erste NIS-Richtlinie scheiterte, weil sie die unterschiedlichen Arbeitsweisen der einzelnen Länder nicht berücksichtigte. Daher wird NIS2:
- Einen verstärkten Datenaustauschs zwischen den Behörden fördern.
- Die Behörden verpflichten sich, an der Reaktion auf Vorfälle auf EU-Ebene und nicht nur auf nationaler Ebene zu beteiligen.
- Ein EU-Cyber Crisis Liaison Organisation Network (EU CyCLONe) einrichten, eine zentrale Stelle zur Koordinierung und Verwaltung von Reaktionen auf EU-weite Cybervorfälle.
Durch die Zentralisierung der Cybersicherheitskontrollen auf EU-Ebene und die Vorgabe, dass sich alle an dieselben Cybersicherheitsstandards halten müssen, soll die NIS2 ein bisher unzureichend koordiniertes System vereinfachen. Dies wird die gemeinsame Nutzung von Daten und effizientere Lösungen für Cybervorfälle erleichtern, sobald diese auftreten.
Setzen Sie sich gerne frühzeitig mit uns in Verbindung und erfahren Sie, was die Einführung der NIS2 für Ihr Unternehmen bedeutet.
Wir sind gerne für Sie da!