Blick auf eine Person am Laptop

Adobe Stock

Themen

10.10.2024

NEWS: Die NIS2-Richtlinie

Europas neue Cybersicherheitsvorschriften

Autor:in: Gertrud W. Hilser

In den letzten Jahren hat die Europäische Union (EU) verstärkt auf Cybersicherheit gesetzt, um kritische Infrastrukturen und den Binnenmarkt vor zunehmenden digitalen Bedrohungen zu schützen. Ein zentraler Bestandteil ist hier die Überarbeitung der bestehenden Cybersicherheitsrichtlinie (NIS-Richtlinie) zur neuen NIS2-Richtlinie. Sie stellt einen bedeutenden Schritt dar, um die Resilienz von Unternehmen und Organisationen gegen Cyberangriffe zu erhöhen.

2016 trat die ursprüngliche NIS-Richtlinie (Network and Information Security) in Kraft mit dem ziel, die Cybersicherheit in der EU zu stärken. So verpflichtete sie Unternehmen aus bestimmten kritischen Sektoren wie Energie, Gesundheit oder Verkehr, Maßnahmen zu ergreifen, um ihre Netz- und Informationssysteme zu schützen. Angesicht der zunehmenden Digitalisierung und der stetig wachsenden Zahl von Cyberangriffen wurde schnell klar, dass diese Richtlinie nicht mehr ausreicht, um den Bedrohungen gerecht zu werden. Zudem wies sie Schwachstellen, wie beispielsweise Unterschiede bei der Umsetzung in den Mitgliedsstaaten und Lücken bei der Abdeckung weiterer Branchen, auf. Daraufhin verabschiedete die EU in 2022 die NIS2-Richtlinie, um diesen neuen Herausforderungen zu begegnen. Sie stellt eine umfassendere und strengere Regelung dar, die den gestiegenen Anforderungen im Bereich der Cybersicherheit gerecht werden soll.

Im Vergleich zur vorherigen Version bringt die neue NIS-Richtlinie mehrere bedeutende Veränderungen und Erweiterungen mit sich:

Erweiterter Anwendungsbereich
Ein zentraler Punkt der NIS2-Richtlinie ist die Ausweitung des Geltungsbereichs. Während die ursprüngliche NIS-Richtlinie nur eine begrenzte Anzahl von Sektoren erfasste, deckt die NIS2-Richtlinie nun eine breitere Palette von Branchen ab. Neben den bisherigen Sektoren wie Energie, Gesundheit, Wasser, Verkehr und digitale Infrastrukturen umfasst die NIS2-Richtlinie nun auch Sektoren wie Abfallwirtschaft, Raumfahrt, Lebensmittelproduktion und den öffentlichen Sektor.

Klarere Verantwortlichkeiten und Meldepflichten
Die NIS2-Richtlinie legt deutlichere Pflichten und Verantwortlichkeiten für die betroffenen Unternehmen fest. Organisationen müssen nun strenge Cybersicherheitsanforderungen erfüllen und sind verpflichtet, Cybervorfälle innerhalb von 24 Stunden zu melden. Dies soll sicherstellen, dass Bedrohungen frühzeitig erkannt und eingedämmt werden können. Zudem müssen Unternehmen regelmäßig Risikoanalysen durchführen und geeignete Maßnahmen zur Absicherung ihrer Systeme ergreifen.
NIS-2 macht die Mitglieder der Geschäftsleitung direkt und persönlich für Sicherheitsverletzungen verantwortlich. Werden Pflichten der NIS-2-Compliance verletzt, ergibt sich schon allein aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung.

Erhöhte Strafen
Ein weiterer wichtiger Punkt ist die Einführung verschärfter Sanktionen. Verstöße gegen die NIS2-Richtlinie können zu erheblichen Bußgeldern führen, die sich auf bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens belaufen können – je nachdem, welcher Betrag höher ist. Dies soll Unternehmen dazu anspornen, ihre Cybersicherheit ernst zu nehmen.

Stand der Technik
Zudem fordert die NIS-2-Richtlinie technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik: Unternehmen und Behörden müssen demnach die aktuellen technologischen Entwicklungen berücksichtigen und der individuellen Gefährdungslage angemessene Sicherheitsvorkehrungen treffen.

Harmonisierung und Zusammenarbeit
Die NIS2-Richtlinie zielt darauf ab, eine einheitlichere Umsetzung der Cybersicherheitsmaßnahmen in der gesamten EU zu gewährleisten. Die NIS1-Richtlinie ließ den Mitgliedstaaten einen großen Spielraum bei der Interpretation und Umsetzung der Vorschriften, was zu einem Flickenteppich an Regelungen führte. Die NIS2-Richtlinie versucht, dies zu beheben, indem sie klarere und detailliertere Anforderungen stellt, die für alle Mitgliedstaaten verbindlich sind.

Neben all diesen Veränderungen und Erweiterungen betont die NIS2 die Bedeutung der zusammenarbeit zwischen den EU-Mitgliedsstaaten und der Schaffung von netzwerken zur Bekämpfung von Cyberbedrohungen auf europäischer Ebene. Dadurch soll eine schnellere und effizientere Reaktion auf grenzüberschreitende Cyberangriffe ermöglicht werden.

Obwohl die NIS2 ein notwendiger Schritt ist, um die europäische Sicherheit zu stärken, bringt ihre Umsetzung auch Herausforderungen mit sich. Viele Unternehmen, besonders kleine und mittelständische Unternehmen, könnten bei der Erfüllung der Anforderungen Schwierigkeiten haben, da sie meist über begrenzte Ressourcen verfügen. Diese Situation könnte zudem zu einem erhöhten Bedarf an Unterstützung durch staatliche Stellen oder externe Dienstleister führen.
Somit bedeutet die NIS2-Richtlinie für viele Unternehmen eine tiefgreifende Veränderung. Organisationen, die bisher nicht unter die NIS-Richtlinie fielen, müssen jetzt ihre Sicherheitsstrategien überarbeiten und neue Maßnahmen implementieren, um den Anforderungen gerecht zu werden. Insbesondere die Pflicht, Cybervorfälle innerhalb von 24 Stunden zu melden, erfordert gut strukturierte Prozesse und klare Kommunikationswege. Darüber hinaus müssen Unternehmen damit rechnen, dass ihre Cybersicherheitspraktiken verstärkt geprüft werden. Regelmäßige Audits und Kontrollen sollen sicherstellen, dass die Unternehmen die Vorschriften einhalten und geeignete Maßnahmen zur Risikominderung ergreifen.

Die NIS2-Richtlinie ist in diesem Jahr eines der Themenschwerpunkte der Cybersecurity Conference, die am 16. und 17. Oktober im Barockschloss Mannheim stattfindet. Veranstalter der Conference ist das BVMW-Mitglied Sama Partners GmbH aus Mannheim.
Weitere Informationen und die Anmeldung zur Veranstaltung unter => diesem Link.

Verwandte Artikel