-- WEBONDISK OK --

02110 Kurzhinweise: NIS2 – Evolution der Cybersicherheitsvorgaben für KRITIS-Unternehmen

von:
Vorbemerkung
Die NIS2-Richtlinie [1] bildet die Weiterentwicklung der erste EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie [2]). Das Gesetz ist 73 Seiten umfangreich und stellt Informationssicherheitsbeauftragte vor die Herausforderung zunächst zu bewerten, ob sie betroffen sind und welche neuen gesetzlichen Anforderungen sich aus der NIS2 für bestehende Prozesse und Organisationsstrukturen ergeben.
Der Beitrag gibt einen ersten zusammenfassenden Überblick der Richtlinie und die wesentlichen Anforderungen an die Cybersicherheit für KRITIS-Unternehmen und weitere betroffene Unternehmen. Zudem erhält der Leser eine Hilfestellung bei der Frage, ob sein Unternehmen von der NIS2-Richtlinie betroffen sein könnte.

1 Einführung und Zielsetzung

Richtlinie NIS2.2022/2555
Die Richtlinie NIS2 (2022/2555) ist die Nachfolgeregelung der Richtlinie NIS (2016/1148) und soll das allgemeine Niveau und die Widerstandsfähigkeit von kritischen Infrastrukturunternehmen und IT-Dienstleistern gegenüber Cyberangriffen erhöhen. Damit reagiert die EU auf die wachsende Bedeutung von Netz- und Informationssystemen und die zunehmenden Cyberbedrohungen, die durch den digitalen Wandel und die Vernetzung der Gesellschaft entstehen. Die Richtlinie wurde am 14.12.2022 verabschiedet und ist von den betroffenen Unternehmen seit dem 18.10.2024 anzuwenden.
Nationales Recht
Die Richtlinie sieht für Unternehmen erweiterte Anforderungen an das Cyber-Risikomanagement und Meldepflichten insbesondere bei erheblichen Sicherheitsvorfällen vor. Im Gegensatz zum Digital Operational Resilience Act (DORA), dem regulatorischen Pendant für die Finanzwirtschaft, muss die NIS2-Richtlinie durch nationales Recht konkretisiert werden. In Deutschland ist hierfür das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) [3] vorgesehen, dass laut NIS2-Richtlinie bis zum 17.10.2024 hätte verabschiedet werden müssen.
Inhalt des Kurzhinweis
Dieser Kurzhinweis beschreibt die wesentlichen Inhalte der NIS2-Richtlinie, damit sich die betroffenen Einrichtungen/Unternehmen einen ersten Überblick über die Anforderungen verschaffen können. Wo erforderlich, wird auf weiterführende nationale Gesetze wie das NIS2UmsuCG verwiesen. Die folgenden Ausführungen zum NIS2UmsuCG basieren auf der Regierungsvorlage vom 22.07.2024. Es ist derzeit geplant, dass das NIS2UmsuCG im März in Kraft treten soll.
Abgrenzung
NIS2-Richtlinie enthält sowohl Vorgaben für betroffene Unternehmen als auch für die EU-Mitgliedsstaaten und deren zuständigen Behörden. Der Kurzhinweis konzentriert sich ausschließlich auf die Anforderungen an die betroffenen Unternehmen.

2 Struktur und Aufbau der NIS2

Präambel und Erwägungsgründe
Die einleitende Präambel beschreibt die Notwendigkeit der Richtlinie und ihre Ziele. Darüber hinaus gibt dieser Abschnitt wichtige Hinweise auf die Überlegungen der EU, wie diese Richtlinie zur Bewältigung der aktuellen Herausforderungen im Bereich der Cybersicherheit beitragen soll. Betroffene Unternehmen sollten auch diesen Abschnitt der Richtlinie lesen, um den Ansatz und die Ansichten der EU zur NIS2-Richtlinie nachzuvollziehen.

Weiterlesen und den „Information Security Management“ 4 Wochen gratis testen:

  • Das komplette Know-how in Sachen Informationssicherheit und Datenschutz
  • Zugriff auf über 230 Fachbeiträge und 210 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal