NIS2 – Regulierung für eine sicherere Zukunft
NIS2 ist die sogenannte EU-weite Cybersicherheitsrichtlinie, die im Oktober 2024 in Kraft tritt. Im Vergleich zur NIS1 führt die NIS2 erhebliche Änderungen ein, die auch mehr Organisationen strengere Cybersicherheitsverpflichtungen auferlegen werden. Die Mitgliedstaaten müssen neue Bestimmungen erlassen, die diese strengeren Kontroll- und Durchsetzungsmaßnahmen enthalten, um die Einhaltung der Richtlinie zu gewährleisten. Die NIS2 ersetzt die NIS1-Richtlinie und weist im Vergleich zur NIS1 mehrere wesentliche Unterschiede auf: Die NIS2 dehnt den Anwendungsbereich auf größere Unternehmen aus, wie z.B. Hersteller von chemischen und medizinischen Geräten, Lebensmittelhersteller und Anbieter sozialer Netzwerke, die bisher nicht unter die NIS1 fielen. Die NIS2 ersetzt die Unterscheidung zwischen „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ durch „wesentliche Einrichtungen“ und „kritische Einrichtungen“, die unter anderem auf Größe und Sektor basieren. Während beide ähnliche Verpflichtungen haben, unterliegen die wichtigen Unternehmen strengeren Durchsetzungs- und Kontrollmaßnahmen. Die Aufsichtsbehörde des Sektors muss für die Kontrollmaßnahmen rechenschaftspflichtig sein.
NIS2 erlegt „wesentlichen“ und „kritischen“ Einrichtungen neue Cybersicherheitsverpflichtungen auf, darunter Risiko- und Lieferkettenmanagement, Meldung von Cybervorfällen und Informationsaustausch. Um diese Anforderungen zu erfüllen, müssen die betroffenen Unternehmen neue Richtlinien und Verfahren entwickeln und umsetzen. Die NIS2 verlangt von den EU-Mitgliedstaaten, ihre nationalen Cybersicherheitsstrategien zu verbessern und auf die digitalen Bedrohungen zu reagieren, denen sie ausgesetzt sind. Für Organisationen ist es wichtig, sich über künftige Initiativen der Mitgliedstaaten in diesem Bereich auf dem Laufenden zu halten.
Erhöhte Sicherheitsanforderungen
NIS2 wird die Sicherheitsanforderungen der Unternehmen durch die Einführung einer Risikomanagement-Methodik und einer Mindestliste grundlegender Sicherheitselemente verbessern. Die Richtlinie enthält auch sehr viel detailliertere Bestimmungen zur Meldung von Vorfällen, z.B. zum Inhalt und zum Zeitpunkt der Meldung. Laut der Richtlinie muss die Meldung innerhalb von 24 Stunden nach dem Vorfall erfolgen und einen detaillierteren Meldeprozess beinhalten. Die NIS2 verlangt auch, dass die Sicherheit der Lieferkette berücksichtigt wird. Dazu gehören auch die Risiken, die sich aus den Beziehungen zu anderen Unternehmen ergeben. NIS2 unterstreicht auch die Verantwortung des Managements für die Cybersicherheit einer Organisation und legt den Leitungsgremien, wie z.B. dem Unternehmensvorstand und der Geschäftsführung, die Verantwortung für die effektive Umsetzung der Cybersicherheitsanforderungen auf. Organisationen können verschiedenen Durchsetzungsanordnungen unterliegen, und die Nichteinhaltung kann zu erheblichen Geldstrafen führen.
