NIS2 – Security of Network and Information Systems 2.0 für mehr Cybersicherheit in der EU

Die EU-Kommission legte Ende 2020 einen Entwurf für die Richtlinie Security of Network and Information Systems (NIS) 2.0 vor. Diese soll die NIS-Richtlinie, die als erstes EU-weites Gesetz zur Cybersicherheit im August 2016 in Kraft getreten war, ersetzen. Der neue Entwurf stellt weitere Anforderungen an Unternehmen in Bezug auf Cybersicherheit.

Cybersicherheitsstrategie der EU

Die NIS-Richtlinie ist Teil der Cybersicherheitsstrategie der EU. Erklärtes Ziel der NIS-Richtlinie ist ein hohes gemeinsames Maß an Cybersicherheit innerhalb der EU.

Bereits im Herbst 2020 hat im Rahmen der EU-Cybersicherheitsstrategie die ENISA (European Union Agency für Cybersecurity) zusammen mit den Mitgliedstaaten das EU-CyCLONe (European cyber crisis liaison organisation network) eingerichtet. Das Netzwerk soll die Koordination von Vorkehrungen und Bekämpfungsmaßnahmen gegen länderübergreifende, große Sicherheitsvorfälle innerhalb der EU unterstützen.

Evaluierung der NIS-Richtlinie

Die Prüfung der NIS-Richtlinie erfolgte in der zweiten Jahreshälfte 2020. Auf Basis der durchgeführten Konsultationen wurde der Entwurf für die Reformierung durch NIS2 vorgelegt. Dieser berücksichtigt sowohl die neuen Anforderungen durch die weitere Digitalisierung des Binnenmarktes sowie die durch die Corona-Pandemie sichtbar gewordenen Herausforderungen und wechselnden Bedrohungen der Cybersicherheit.

Mehr Kooperation im Bereich der Cybersicherheit

Durch den neuen Entwurf sollen weitere Maßnahmen getroffen werden, um dieses Ziel zu erreichen. Er betrifft die Cybersicherheit von öffentlichen und privaten Einrichtungen ebenso wie von kritischen Infrastrukturen. Erkenntnisse und das Wissen der Behörden einzelner Mitgliedstaaten sollen für alle Mitgliedstaaten nutzbar sein. Zudem erhofft sich die Kommission, dass mit dem Entwurf Probleme, die in einem Sektor oder Land entstehen und sich auf andere Bereiche oder Länder auswirken könnten, frühzeitig erkannt und behandelt sowie Synergien genutzt werden. Zudem soll es mehr europäische Kooperation bei der Bewältigung von Krisen geben und Maßnahmen sollen gemeinsam und effektiver ergriffen werden.

Erweiterung des Anwendungsbereichs durch NIS2-Richtlinie

Hierzu schlägt die Kommission auch die Erweiterung des Anwendungsbereichs vor. Hinzukommen sollen u.a. wesentliche Einrichtungen für Abwasser und die öffentliche Verwaltung. Die Unterscheidung in Anbieter digitaler Dienste und Betreibern wesentlicher Dienste soll aufgegeben werden.

Des Weiteren erhöhen sich die Anforderungen für die national zuständigen Behörden. Mitgliedstaaten sollen nationale Sicherheitsstrategien entwickeln und mehr für das Krisenmanagement tun. Hierzu gehört auch die verpflichtende Einrichtung von „Computer Security Incidence Response Teams“ (CSIRT) durch die Mitgliedstaaten, die EU-weit kooperieren sollen. Außerdem soll eine Ausweitung behördlichen Kontrollkompetenzen erfolgen.

Mehr Vorsorge und Reporting in der Cybersicherheit und Krisenbewältigung

Die Anforderungen gehen einher mit umfassenden Vorsorge- und Reportingpflichten. Ein weiterer Bestandteil des Entwurfs soll die Zusammenarbeit mit den Datenschutzaufsichtsbehörden institutionalisieren.

Sobald die NIS2-Richtlinie in Kraft getreten ist, müssen die EU-Staaten sie in nationales Recht umsetzen.

Unternehmen sollten die Entwicklungen der Gesetzeslage stets im Blick behalten und sich frühzeitig auf notwendige Änderungen vorbereiten. Wenn Sie unsicher sind, ob auch Sie von den Gesetzesänderungen betroffen sind, sprechen Sie uns an. Wir unterstützen Sie mit individuellen Lösungen für Ihr Unternehmen!

Verwenden Sie dazu einfach unser Kontaktformular. Außerdem können Sie uns in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 telefonisch erreichen.

Schlagworte: IT-Sicherheit, ISMS