02110 Kurzhinweise: NIS2 – Evolution der Cybersicherheitsvorgaben für KRITIS-Unternehmen
von:
Vorbemerkung
Die NIS2-Richtlinie [1] bildet die Weiterentwicklung der erste EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie [2]). Das Gesetz ist 73 Seiten umfangreich und stellt Informationssicherheitsbeauftragte vor die Herausforderung zunächst zu bewerten, ob sie betroffen sind und welche neuen gesetzlichen Anforderungen sich aus der NIS2 für bestehende Prozesse und Organisationsstrukturen ergeben.
Die NIS2-Richtlinie [1] bildet die Weiterentwicklung der erste EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie [2]). Das Gesetz ist 73 Seiten umfangreich und stellt Informationssicherheitsbeauftragte vor die Herausforderung zunächst zu bewerten, ob sie betroffen sind und welche neuen gesetzlichen Anforderungen sich aus der NIS2 für bestehende Prozesse und Organisationsstrukturen ergeben.
Der Beitrag gibt einen ersten zusammenfassenden Überblick der Richtlinie und die wesentlichen Anforderungen an die Cybersicherheit für KRITIS-Unternehmen und weitere betroffene Unternehmen. Zudem erhält der Leser eine Hilfestellung bei der Frage, ob sein Unternehmen von der NIS2-Richtlinie betroffen sein könnte.
1 Einführung und Zielsetzung
Richtlinie NIS2.2022/2555
Die Richtlinie NIS2 (2022/2555) ist die Nachfolgeregelung der Richtlinie NIS (2016/1148) und soll das allgemeine Niveau und die Widerstandsfähigkeit von kritischen Infrastrukturunternehmen und IT-Dienstleistern gegenüber Cyberangriffen erhöhen. Damit reagiert die EU auf die wachsende Bedeutung von Netz- und Informationssystemen und die zunehmenden Cyberbedrohungen, die durch den digitalen Wandel und die Vernetzung der Gesellschaft entstehen. Die Richtlinie wurde am 14.12.2022 verabschiedet und ist von den betroffenen Unternehmen seit dem 18.10.2024 anzuwenden.
Die Richtlinie NIS2 (2022/2555) ist die Nachfolgeregelung der Richtlinie NIS (2016/1148) und soll das allgemeine Niveau und die Widerstandsfähigkeit von kritischen Infrastrukturunternehmen und IT-Dienstleistern gegenüber Cyberangriffen erhöhen. Damit reagiert die EU auf die wachsende Bedeutung von Netz- und Informationssystemen und die zunehmenden Cyberbedrohungen, die durch den digitalen Wandel und die Vernetzung der Gesellschaft entstehen. Die Richtlinie wurde am 14.12.2022 verabschiedet und ist von den betroffenen Unternehmen seit dem 18.10.2024 anzuwenden.
Nationales Recht
Die Richtlinie sieht für Unternehmen erweiterte Anforderungen an das Cyber-Risikomanagement und Meldepflichten insbesondere bei erheblichen Sicherheitsvorfällen vor. Im Gegensatz zum Digital Operational Resilience Act (DORA), dem regulatorischen Pendant für die Finanzwirtschaft, muss die NIS2-Richtlinie durch nationales Recht konkretisiert werden. In Deutschland ist hierfür das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) [3] vorgesehen, dass laut NIS2-Richtlinie bis zum 17.10.2024 hätte verabschiedet werden müssen.
Die Richtlinie sieht für Unternehmen erweiterte Anforderungen an das Cyber-Risikomanagement und Meldepflichten insbesondere bei erheblichen Sicherheitsvorfällen vor. Im Gegensatz zum Digital Operational Resilience Act (DORA), dem regulatorischen Pendant für die Finanzwirtschaft, muss die NIS2-Richtlinie durch nationales Recht konkretisiert werden. In Deutschland ist hierfür das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) [3] vorgesehen, dass laut NIS2-Richtlinie bis zum 17.10.2024 hätte verabschiedet werden müssen.
Inhalt des Kurzhinweis
Dieser Kurzhinweis beschreibt die wesentlichen Inhalte der NIS2-Richtlinie, damit sich die betroffenen Einrichtungen/Unternehmen einen ersten Überblick über die Anforderungen verschaffen können. Wo erforderlich, wird auf weiterführende nationale Gesetze wie das NIS2UmsuCG verwiesen. Die folgenden Ausführungen zum NIS2UmsuCG basieren auf der Regierungsvorlage vom 22.07.2024. Es ist derzeit geplant, dass das NIS2UmsuCG im März in Kraft treten soll.
Dieser Kurzhinweis beschreibt die wesentlichen Inhalte der NIS2-Richtlinie, damit sich die betroffenen Einrichtungen/Unternehmen einen ersten Überblick über die Anforderungen verschaffen können. Wo erforderlich, wird auf weiterführende nationale Gesetze wie das NIS2UmsuCG verwiesen. Die folgenden Ausführungen zum NIS2UmsuCG basieren auf der Regierungsvorlage vom 22.07.2024. Es ist derzeit geplant, dass das NIS2UmsuCG im März in Kraft treten soll.
Abgrenzung
NIS2-Richtlinie enthält sowohl Vorgaben für betroffene Unternehmen als auch für die EU-Mitgliedsstaaten und deren zuständigen Behörden. Der Kurzhinweis konzentriert sich ausschließlich auf die Anforderungen an die betroffenen Unternehmen.
NIS2-Richtlinie enthält sowohl Vorgaben für betroffene Unternehmen als auch für die EU-Mitgliedsstaaten und deren zuständigen Behörden. Der Kurzhinweis konzentriert sich ausschließlich auf die Anforderungen an die betroffenen Unternehmen.
2 Struktur und Aufbau der NIS2
Präambel und Erwägungsgründe
Die einleitende Präambel beschreibt die Notwendigkeit der Richtlinie und ihre Ziele. Darüber hinaus gibt dieser Abschnitt wichtige Hinweise auf die Überlegungen der EU, wie diese Richtlinie zur Bewältigung der aktuellen Herausforderungen im Bereich der Cybersicherheit beitragen soll. Betroffene Unternehmen sollten auch diesen Abschnitt der Richtlinie lesen, um den Ansatz und die Ansichten der EU zur NIS2-Richtlinie nachzuvollziehen.
Die einleitende Präambel beschreibt die Notwendigkeit der Richtlinie und ihre Ziele. Darüber hinaus gibt dieser Abschnitt wichtige Hinweise auf die Überlegungen der EU, wie diese Richtlinie zur Bewältigung der aktuellen Herausforderungen im Bereich der Cybersicherheit beitragen soll. Betroffene Unternehmen sollten auch diesen Abschnitt der Richtlinie lesen, um den Ansatz und die Ansichten der EU zur NIS2-Richtlinie nachzuvollziehen.
