NIS2-Richtlinie: Sicherung von Netz- und Informationssystemen

Cybersicherheit umfasst den Schutz von Netzwerk- und Informationssystemen (NIS), deren Benutzern und anderen betroffenen Personen vor Cybervorfällen und -bedrohungen. Um auf die zunehmende Gefährdung Europas durch Cyberbedrohungen zu reagieren, ersetzte die Richtlinie 2022/2555, auch NIS2 genannt, ihren Vorgänger, die Richtlinie 2016/1148 oder die NIS1. Die NIS2 erhöht das gemeinsame Ambitionsniveau der EU im Bereich der Cybersicherheit durch einen breiteren Anwendungsbereich, klarere Vorschriften und stärkere Aufsichtsinstrumente. Sie verpflichtet die Mitgliedstaaten, ihre Cybersicherheitskapazitäten zu verbessern und gleichzeitig Risikomanagementmaßnahmen und Meldepflichten für Einrichtungen aus mehr Sektoren einzuführen und Vorschriften für die Zusammenarbeit, den Informationsaustausch, die Aufsicht und die Durchsetzung von Cybersicherheitsmaßnahmen festzulegen.

Die Richtlinie schreibt vor, dass jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie verabschiedet, die Strategien für die Sicherheit der Lieferkette, das Schwachstellenmanagement sowie die Aufklärung und Sensibilisierung im Bereich der Cybersicherheit umfasst. Die Mitgliedstaaten müssen außerdem eine Liste der Betreiber wesentlicher Dienste erstellen und regelmäßig aktualisieren, um sicherzustellen, dass diese Einrichtungen die Anforderungen der Richtlinie erfüllen.

Zusätzlich zu den bereits von NIS 1 abgedeckten Sektoren – Energie, Verkehr, Gesundheitswesen, Finanzen, Wasserwirtschaft und digitale Infrastruktur – gelten die neuen Vorschriften auch für Anbieter öffentlicher elektronischer Kommunikation, mehr digitale Dienste (wie soziale Plattformen), Abfall- und Abwasserbewirtschaftung, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung auf zentraler und regionaler Ebene sowie den Weltraumsektor. In der Regel müssen mittlere und große Einrichtungen in diesen kritischen Sektoren geeignete Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen und die zuständigen nationalen Behörden über erhebliche Sicherheitsvorfälle informieren. Dies sind Vorfälle, die erhebliche Störungen oder Schäden verursachen können.

Die Richtlinie enthält auch Bestimmungen für die Beaufsichtigung, Durchsetzung und freiwillige Peer Reviews, um das gegenseitige Vertrauen und die Cybersicherheitskapazitäten in der gesamten EU zu stärken. Außerdem wird die Rechenschaftspflicht des obersten Managements für die Nichteinhaltung von Maßnahmen zum Cybersicherheitsrisikomanagement eingeführt, wodurch der Vorstand auf Cybersicherheit aufmerksam gemacht wird.

Mit der Richtlinie wird ein Netzwerk von Computer Security Incident Response Teams (CSIRTs) eingerichtet, um Informationen über Cyberbedrohungen auszutauschen und auf Vorfälle zu reagieren. Diese Teams sind entscheidend für die Aufrechterhaltung des Situationsbewusstseins und die Bereitstellung von Hilfe. Um Cybersicherheitsvorfälle oder -krisen großen Ausmaßes zu bewältigen, wird mit der Richtlinie das europäische Netz der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) geschaffen. Dieses Netz unterstützt ein koordiniertes Management und sorgt für einen regelmäßigen Informationsaustausch zwischen den Mitgliedstaaten und den EU-Institutionen bei schwerwiegenden Vorfällen und Krisen. 

Parallel dazu ist die NIS-Kooperationsgruppe eine Plattform, die durch die NIS-Richtlinie eingerichtet wurde, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten, der Europäischen Kommission und der EU-Agentur für Cybersicherheit (ENISA) zu erleichtern. Die Gruppe veröffentlicht unverbindliche Leitlinien und Empfehlungen zur Unterstützung der Umsetzung der NIS-Richtlinie.

Am 20. Januar 2026 schlug die Kommission im Rahmen eines neuen Cybersicherheitspakets gezielte Änderungen der NIS2-Richtlinie vor, um die Rechtsklarheit zu erhöhen. Die Änderungen werden die Einhaltung der EU-Cybersicherheitsvorschriften und der Risikomanagementanforderungen für Unternehmen, die in der EU tätig sind, vereinfachen. Sie erleichtern die Einhaltung der Vorschriften für 28.700 Unternehmen, darunter 6.200 Kleinst- und Kleinunternehmen.  

Hintergrund

Die NIS 1 (Richtlinie 2016/1148) war die erste umfassende EU-Rechtsvorschrift zur Förderung der Cybersicherheit von Netz- und Informationssystemen zur Sicherung lebenswichtiger Dienste für die Wirtschaft und Gesellschaft der EU. Im Dezember 2020 schlug die Kommission eine Überarbeitung der NIS 1 vor, was zur Annahme der NIS 2 führte, die im Januar 2023 in Kraft trat. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen. NIS 2 hat NIS1 mit Wirkung vom 18. Oktober 2024 aufgehoben.