NIS2-Richtlinie: neue Vorschriften für die Cybersicherheit von Netz- und Informationssystemen

Mit der NIS2-Richtlinie wird ein einheitlicher Rechtsrahmen für die Aufrechterhaltung der Cybersicherheit in 18 kritischen Sektoren in der gesamten EU geschaffen. Ferner werden die Mitgliedstaaten aufgefordert, nationale Cybersicherheitsstrategien festzulegen und bei der grenzüberschreitenden Reaktion und Durchsetzung mit der EU zusammenzuarbeiten.

Cybersicherheit umfasst den Schutz von Netzwerk- und Informationssystemen (NIS), ihren Nutzern und anderen betroffenen Personen vor Cybervorfällen und Bedrohungen. Um auf die zunehmende Gefährdung Europas durch Cyberbedrohungen zu reagieren, ersetzte die Richtlinie 2022/2555, auch bekannt als NIS2, ihre Vorgängerrichtlinie, die Richtlinie 2016/1148 oder NIS1. NIS2 erhöht das gemeinsame Ambitionsniveau der EU im Bereich der Cybersicherheit durch einen breiteren Anwendungsbereich, klarere Vorschriften und stärkere Aufsichtsinstrumente. Sie verpflichtet die Mitgliedstaaten, ihre Cybersicherheitskapazitäten zu verbessern und gleichzeitig Risikomanagementmaßnahmen und Berichtspflichten für Einrichtungen aus mehr Sektoren einzuführen und Vorschriften für die Zusammenarbeit, den Informationsaustausch, die Beaufsichtigung und die Durchsetzung von Cybersicherheitsmaßnahmen festzulegen.

Die Richtlinie schreibt vor, dass jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie annimmt, die Strategien für die Sicherheit der Lieferkette, das Schwachstellenmanagement und die Aufklärung und Sensibilisierung im Bereich Cybersicherheit umfasst. Die Mitgliedstaaten müssen auch eine Liste der Betreiber wesentlicher Dienste erstellen und regelmäßig aktualisieren, um sicherzustellen, dass diese Einrichtungen die Anforderungen der Richtlinie erfüllen.

Zusätzlich zu den Sektoren, die bereits unter NIS 1 fallen, wie Energie, Verkehr, Gesundheitswesen, Finanzen, Wasserwirtschaft und digitale Infrastruktur, gelten diese Vorschriften für Anbieter öffentlicher elektronischer Kommunikationsdienste, mehr digitale Dienste wie soziale Plattformen, Abwasser- und Abfallbewirtschaftung, Herstellung kritischer Produkte, Post- und Kurierdienste, öffentliche Verwaltung sowohl auf zentraler als auch auf regionaler Ebene oder im Weltraum. In der Regel müssen mittlere und große Einrichtungen in diesen kritischen Sektoren geeignete Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen und die zuständigen nationalen Behörden über erhebliche Sicherheitsvorfälle informieren. Dabei handelt es sich um Vorfälle, die erhebliche Störungen oder Schäden verursachen können.

Die Richtlinie enthält auch Bestimmungen für Aufsicht, Durchsetzung und freiwillige Peer Reviews, um das gegenseitige Vertrauen und die Cybersicherheitskapazitäten in der gesamten EU zu stärken. Es führt auch die Rechenschaftspflicht des Top-Managements für die Nichteinhaltung von Maßnahmen zum Cybersicherheitsrisikomanagement ein und macht den Vorstand auf die Cybersicherheit aufmerksam.

Mit der Richtlinie wird ein Netzwerk von Computer Security Incident Response Teams (CSIRTs) eingerichtet, um Informationen über Cyberbedrohungen auszutauschen und auf Vorfälle zu reagieren. Diese Teams sind entscheidend für die Aufrechterhaltung des Situationsbewusstseins und die Bereitstellung von Unterstützung. Um Cybersicherheitsvorfälle oder -krisen großen Ausmaßes zu bewältigen, wird mit der Richtlinie das europäische Netz der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) geschaffen. Dieses Netz unterstützt ein koordiniertes Management und gewährleistet einen regelmäßigen Informationsaustausch zwischen den Mitgliedstaaten und den EU-Organen im Falle von Vorfällen und Krisen großen Ausmaßes.

Parallel dazu ist die NIS-Kooperationsgruppe eine Plattform, die mit der NIS-Richtlinie eingerichtet wurde, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten, der Europäischen Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) zu erleichtern. Die Gruppe veröffentlicht unverbindliche Leitlinien und Empfehlungen zur Unterstützung der Umsetzung der NIS-Richtlinie.

Hintergrund

Die NIS 1 (Richtlinie 2016/1148) war die erste umfassende EU-Rechtsvorschrift, die darauf abzielte, die Cybersicherheit von Netz- und Informationssystemen zu erhöhen, um lebenswichtige Dienste für die Wirtschaft und Gesellschaft der EU zu schützen. Im Dezember 2020 schlug die Kommission vor, NIS 1 zu überarbeiten, was zur Annahme von NIS 2 führte, das im Januar 2023 in Kraft trat. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen. NIS 2 hob NIS1 mit Wirkung vom 18. Oktober 2024 auf.

Die Kommission hat Vertragsverletzungsverfahren eingeleitet und Aufforderungsschreiben an 23 Mitgliedstaaten gerichtet, weil diese die NIS2-Richtlinie nicht bis zum 17. Oktober 2024 vollständig in nationales Recht umgesetzt haben. Die Mitgliedstaaten müssen reagieren und ihre Umsetzung der Richtlinie abschließen. Andernfalls kann die Kommission eine mit Gründen versehene Stellungnahme abgeben, bei der es sich um einen förmlichen Antrag auf Einhaltung des EU-Rechts handelt. Ein fortgesetzter Verstoß könnte schließlich dazu führen, dass der Fall an den Gerichtshof der Europäischen Union verwiesen wird, der finanzielle Sanktionen verhängen kann.

Neueste Nachrichten

Image representing the EU flag next to the Republic of Korea flag

Pressemitteilung
10 März 2025

EU und Korea vertiefen ihre Beziehungen zum wegweisenden digitalen Handelsabkommen

Die EU und die Republik Korea haben die Verhandlungen über ein wegweisendes Abkommen über den digitalen Handel (DTA) abgeschlossen und damit ihr Engagement für eine starke und zuverlässige Partnerschaft unterstrichen, die den rasanten digitalen Entwicklungen von heute gewachsen ist.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Pressemitteilung
24 Februar 2025

Kommission legt neuen Cybersicherheitsentwurf vor, um die EU-Koordinierung von Cyberkrisen zu verbessern

Die Kommission hat heute einen Vorschlag vorgelegt, um eine wirksame und effiziente Reaktion auf große Cybervorfälle zu gewährleisten.

Pressemitteilung
21 Februar 2025

Kommission und Hoher Vertreter präsentieren entschlossene Maßnahmen zur Verbesserung der Sicherheit von Seekabeln

Am 21. Februar stellte Exekutiv-Vizepräsidentin Henna Virkkunen in Helsinki (Finnland) die Gemeinsame Mitteilung der Kommission und der HRVP zur Stärkung der Sicherheit und Widerstandsfähigkeit von Seekabeln vor.

The IT system is accessed by a Doctor's fingerprint on the virtual screen.

Pressemitteilung
15 Januar 2025

Kommission stellt Aktionsplan zum Schutz des Gesundheitssektors vor Cyberangriffen vor

Die Kommission hat einen EU-Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgelegt. Dieser Aktionsplan wurde in den politischen Leitlinien von Präsidentin von der Leyen als eine der wichtigsten Prioritäten innerhalb der ersten 100 Tage des neuen Mandats angekündigt.

Durchsuchen Sie Cybersicherheit

Zugehöriger Inhalt

Gesamtbild

Cybersicherheitsrichtlinien

Die Europäische Union arbeitet an verschiedenen Fronten, um die Cyberresilienz zu fördern, unsere Kommunikation und Daten zu schützen und die Sicherheit der Online-Gesellschaft und -Wirtschaft zu gewährleisten.

NIS2-Richtlinie: neue Vorschriften für die Cybersicherheit von Netz- und Informationssystemen

Hintergrund

Neueste Nachrichten

Zugehöriger Inhalt

Gesamtbild

Last update