iStock photo Getty images Plus
Die Vorschriften werden ein sichereres und stärkeres Europa gewährleisten, indem die Sektoren und Arten von Einrichtungen, die in ihren Anwendungsbereich fallen, erheblich ausgeweitet und die Sicherheitsanforderungen für Unternehmen verschärft werden.
Die jüngsten Bedrohungen haben die Notwendigkeit verstärkt, die Cybersicherheit der EU zum Schutz von Bürgern und Unternehmen rasch und gemeinsam zu erhöhen. Darüber hinaus ist es von entscheidender Bedeutung, dass kritische Sektoren und Infrastrukturen sicher und widerstandsfähig bleiben. Durch die Bewältigung dieser Herausforderungen ersetzt die NIS-2-Richtlinie die Vorschriften über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), bei denen es sich um die ersten EU-weiten Rechtsvorschriften zur Cybersicherheit handelte, die in vielen Mitgliedstaaten den Weg für einen innovativeren Regulierungsansatz für die Cybersicherheit ebneten.
Sicherung weiterer wichtiger Sektoren
Die zunehmende Vernetzung und Digitalisierung bestimmter Sektoren führt zu mehr Cyberbedrohungen. Wenn sichergestellt wird, dass mehr Sektoren und Einrichtungen Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen müssen, wird das Cybersicherheitsniveau in Europa erhöht. Die NIS-2-Richtlinie deckt nun weitere Sektoren ab, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, darunter Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Rechenzentrumsdienste, Abwasser- und Abfallwirtschaft, Herstellung kritischer Produkte, Post- und Kurierdienste und Einrichtungen der öffentlichen Verwaltung. Die Vorschriften gelten auch für den Gesundheitssektor im weiteren Sinne, z. B. durch die Einbeziehung der Forschung und Entwicklung von Arzneimitteln oder der Herstellung von Arzneimitteln. Die Mitgliedstaaten werden bei der Ermittlung kleinerer Einrichtungen mit hohem Sicherheitsprofil, die in den Anwendungsbereich der Richtlinie aufgenommen werden sollten, einen gewissen Ermessensspielraum haben.
Verbesserte Sicherheitsanforderungen für Unternehmen
Die NIS-2-Richtlinie verschärft auch die Anforderungen an das Cybersicherheitsrisikomanagement, die Unternehmen erfüllen müssen. Wie nach der NIS-Richtlinie müssen Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Cybersicherheitsrisiken zu bewältigen, die Auswirkungen potenzieller Sicherheitsvorfälle zu verhindern und so gering wie möglich zu halten. Diese Anforderung wird im Rahmen der NIS-2-Richtlinie mit einer Liste gezielter Maßnahmen, die unter anderem die Reaktion auf Sicherheitsvorfälle und das Krisenmanagement, den Umgang mit und die Offenlegung von Schwachstellen, Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen für das Cybersicherheitsrisikomanagement oder Cybersicherheitshygiene und -schulungen umfassen, viel konkreter.
Um den Informationsaustausch und die Zusammenarbeit beim Cyberkrisenmanagement sowohl auf nationaler als auch auf EU-Ebene zu verbessern, werden in der Richtlinie die Meldepflichten für Sicherheitsvorfälle durch präzisere Bestimmungen zu Meldung, Inhalt und Zeitplan gestrafft. Darüber hinaus gibt es strengere Aufsichtsmaßnahmen für die nationalen Behörden sowie strengere Durchsetzungsanforderungen sowie die Liste der Verwaltungssanktionen, einschließlich Geldbußen für Verstöße gegen das Cybersicherheitsrisikomanagement und Meldepflichten.
Weitere Schritte
Die Mitgliedstaaten haben 21 Monate Zeit, um die NIS2-Richtlinie in nationales Recht umzusetzen. Während dieser Zeit erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Maßnahmen, um dieser Richtlinie nachzukommen.
Im Dezember 2022 nahm der Rat eine Empfehlung für ein unionsweites Koordinierungskonzept zur Stärkung der Resilienz kritischer Infrastrukturen an, in der die Mitgliedstaaten aufgefordert werden, die Vorbereitungsarbeiten für die Umsetzung und Anwendung der NIS-2-Richtlinie und der Richtlinie über die Resilienz kritischer Einrichtungen zu beschleunigen.
Hintergrund
Cybersicherheit ist eine Priorität der Kommission und ein Eckpfeiler des digitalen und vernetzten Europas.
Das erste EU-weite Cybersicherheitsgesetz, die 2016 in Kraft getretene NIS-Richtlinie, trug dazu bei, bei den Netz- und Informationssystemen in der gesamten EU ein hohes gemeinsames Sicherheitsniveau zu erreichen. Die NIS-Richtlinie deckte mehrere Sektoren ab, darunter Energie, Verkehr, Banken und Finanzen, Gesundheit, Trinkwasserversorgung und -verteilung sowie digitale Infrastruktur. Sie umfasste auch Anbieter digitaler Dienste, insbesondere Anbieter von Cloud-Diensten, Online-Marktplätzen und Online-Suchmaschinen.
Als Teil ihres zentralen politischen Ziels, Europa für das digitale Zeitalter zu rüsten, schlug die Kommission im Dezember 2020 die Überarbeitung der NIS-Richtlinie vor. Durch den 2019 in Kraft getretenen EU-Rechtsakt zur Cybersicherheit wurde Europa mit einem Rahmen für die Cybersicherheitszertifizierung von Produkten, Diensten und Prozessen ausgestattet, zudem wurde dadurch das Mandat der EU-Agentur für Cybersicherheit (ENISA) gestärkt. Im September 2022 nahm die Kommission den Vorschlag für ein Gesetz über Cyberresilienz an, in dem Cybersicherheitsanforderungen für Produkte mit digitalem Element festgelegt sind, die sowohl Hardware als auch Software abdecken.