Mit NIS2 wird eine neue EU-Richtlinie für die Informationssicherheit eingeführt

NIS2 ist eine EU-Richtlinie, die am 14. Dezember 2022 vom Europäischen Parlament und dem Rat verabschiedet wurde. Die Richtlinie hat das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der Union zu gewährleisten und die Cyberresilienz in der Union zu stärken. Die Mitgliedstaaten sind verpflichtet, eine nationale Cybersicherheitsstrategie zu verabschieden und nationale Computer Security Incident Response Teams (CSIRTs) zu benennen. Die NIS2-Richtlinie tritt am 16. Januar 2023 in Kraft und muss von den Mitgliedstaaten bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden.

 Was genau ist die NIS2-Richtlinie? 

Die sogenannte NIS2-Richtlinie ist ein von der Europäischen Union ins Leben gerufenes Gesetz zur Erhöhung der Cybersicherheit im EU-Gebiet. Die verwendete Abkürzung „NIS“ steht dabei für „Network and Information Systems“ und bezieht sich somit auf alle Arten von Kommunikations- und Informationstechnologie, die für kritische Infrastrukturen und Dienstleistungen innerhalb der EU angewendet werden. Die NIS2-Richtlinie wurde im Dezember des Jahres 2020 verabschiedet und ist eine Aktualisierung der NIS-Richtlinie aus dem Jahr 2016. Wichtigstes Merkmal ist eine höhere Resilienz gegenüber Cyberangriffen und Hackern, die durch den Schutz von Infrastruktur und IT sichergestellt werden soll. So beinhaltet die Richtlinie unter anderem, dass die Mitgliedstaaten nationale Strategien und Konzepte in Sachen Cybersicherheit entwickeln, eine nationale Behörde für Cybersicherheit benennen und verschiedene Mindestanforderungen für die Sicherheit von Netzwerk- und Informationssystemen verankern. Außerdem sind regelmäßige Risikobewertungen und Analysen vorgesehen. Die Richtlinie ist gültig für Betreiber von kritischen Diensten, zu denen insbesondere Energieversorger, Krankenhäuser und Verkehrsbetriebe zählen. Darüber hinaus ist sie ebenso verpflichtend für Anbieter digitaler Dienste, wie Cloud-Service-Provider, Online-Marktplätze und ähnliches. Sie soll dazu beitragen, dass die Auswirkungen von Angriffen aus dem Netz für kritische und sensible Strukturen der Gesellschaft minimiert und im Idealfall sogar gänzlich vermieden werden – die Sicherheit und Stabilität des EU-Raumes in puncto Wirtschaft und Gesellschaft steht dabei im Vordergrund.

Zusammenfassung

  • Die NIS2-Richtlinie ist ein Gesetz zur Erhöhung der Cybersicherheit im EU-Gebiet.
  • Sie bezieht sich auf alle Arten von Kommunikations- und Informationstechnologie, die für kritische Infrastrukturen und Dienstleistungen innerhalb der EU angewendet werden.
  • Die Richtlinie wurde im Dezember 2020 verabschiedet und ist eine Aktualisierung der NIS-Richtlinie aus dem Jahr 2016.
  • Die Richtlinie beinhaltet unter anderem, dass die Mitgliedstaaten nationale Strategien und Konzepte in Sachen Cybersicherheit entwickeln, eine nationale Behörde für Cybersicherheit benennen und verschiedene Mindestanforderungen für die Sicherheit von Netzwerk- und Informationssystemen verankern.
  • Die Richtlinie ist gültig für Betreiber von kritischen Diensten, zu denen insbesondere Energieversorger, Krankenhäuser und Verkehrsbetriebe zählen.
  • Darüber hinaus ist sie ebenso verpflichtend für Anbieter digitaler Dienste, wie Cloud-Service-Provider, Online-Marktplätze und ähnliches.
  • Sie soll dazu beitragen, dass die Auswirkungen von Angriffen aus dem Netz für kritische und sensible Strukturen der Gesellschaft minimiert und im Idealfall sogar gänzlich vermieden werden.

Welche Ziele verfolgt die NIS2-Richtlinie?

 Das oberste Ziel dieser Richtlinie ist das Bestreben, einen einheitlichen Rahmen für den Umgang mit Cyber-Sicherheitsbedrohungen im EU-Raum zu schaffen. Dadurch bekommen Firmen, Unternehmer und Sicherheitsbeamte einen Handlungsspielraum und konkrete Schritte geliefert, die im Ernstfall eines Angriffs greifen und an denen man sich orientieren kann. Auch der rechtliche Rahmen ist so abgesteckt und ein justiziables Handeln wird ermöglicht. Da durch die Richtlinie ein einheitliches Prozedere entsteht, wird ein Flickenteppich vermieden und von Lissabon bis Warschau sind die gleichen Vorschriften gültig. Ein weiteres Ziel der Richtlinie ist der Ausbau des bereits vorhandenen Schutzes in Sachen Cybersicherheit. Handeln alle EU-Länder im Gleichschritt, wird die Sicherheit im Netz und für vulnerable Systeme Schritt für Schritt ausgebaut und gestärkt. So können aktuelle Lücken geschlossen werden, zu niedrige Standards sukzessive erhöhte werden und Dienste länderübergreifend einfacher und schneller zusammenarbeiten, wenn Gefahren aufziehen oder bereits am Wirken sind. Politisch gesehen wird außerdem das Ziel erreicht, dass die EU im Rahmen einer Krisenbekämpfung geschlossen auftritt und nach außen hin ein Signal der Einigkeit und Stärke vermittelt. Gerade das 21. Jahrhundert fordert die EU stark und birgt die Gefahr, zwischen die Mahlsteine USA im Westen und Russland mit China im Osten zu geraten. Ist man als Europa beim Thema Cybersicherheit weiter geschlossen und stark unterwegs, kann man auch weitere Ziele und Projekte zusammen auf die Agenda bringen und gemeinsam im Sinne der Einwohner der EU umsetzen.

Was passiert, wenn gegen die Richtlinie verstoßen wird?

  • Die Strafen umfassen nicht-monetäre Maßnahmen, administrative Geldstrafen und strafrechtliche Sanktionen
  • Die Höhe der Geldstrafen hängt von der Art des Verstoßes und der Art des Unternehmens ab
  • Geldstrafen für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
  • Geldstrafen für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes betragen
  • Wichtig: Strafrechtliche Sanktionen können auch gegen das Management verhängt werden, wenn grobe Fahrlässigkeit nachgewiesen wird

Welche Zielgruppe steht bei der Richtlinie besonders im Fokus?

Davon profitieren Sie bei der NIS2-Beratung von Benjamin Richter

Benjamin Richter unterstützt ihr Unternehmen, die Anforderungen der NIS2-Richtlinie zu erfüllen und ein hohes Cybersicherheitsniveau zu erreichen. Ein Beratungsprozess beginnt mit einer Analysephase, in der Benjamin Richter & Team den Grad der Auswirkungen der Richtlinie auf das Unternehmen bestimmt. Anschließend findet eine  Readiness-Bewertung statt, um die betroffenen Bereiche des Unternehmens zu identifizieren. Basierend auf dieser Bewertung werden die notwendigen Maßnahmen definieret, um die Anforderungen der NIS2-Richtlinie erfolgreich zu erfüllen. Die definierten Maßnahmenpakete würden wichtige Bereiche wie Governance, Zusammenarbeit mit Behörden, einschließlich Benachrichtigungs- und Meldepflichten, und regulatorische Überwachung während der Umsetzung abdecken. Benjamin Richter und sein Team führen auch Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter durch, um das Bewusstsein für Cybersicherheit im gesamten Unternehmen zu erhöhen.

Unser Fazit

Durch das Projekt NIS2-Richtlinie hat die EU eine funktionierende Waffe an ihre Mitgliedstaaten vergeben, die für Schutz und eine erfolgreiche Gefahrenabwehr sorgt, wenn sie eingehalten und befolgt wird. Außerdem kann die EU hier ein einheitliches Handeln und starkes Auftreten in Geschlossenheit nach außen transportieren, was durchaus eine positive Signalwirkung für die Zukunft der EU und weitere gemeinsame Projekte haben kann. Die Gefahren innerhalb der Cyberwelt werden in den kommenden Jahrzehnten sicher nicht geringer werden und auch nicht wieder verschwinden – dafür hat das Netz und seine Möglichkeiten einfach eine zu große Wichtigkeit in einer modernen Welt der Wirtschaft und Kommunikation.

Mit uns in die sichere, digitale Transformation

Melden Sie sich jetzt zum unverbindlichen Erstgespräch!

To top