NIS 2 Richtlinie

Ziel und Bedeutung der NIS-2-Richtlinie

Die NIS-2-Richtlinie ist eine überarbeitete und erweiterte Version der ursprünglichen NIS-Richtlinie (EU) 2016/1148, die als erste EU-weite Gesetzgebung zur Verbesserung der Cybersicherheit eingeführt wurde. Die neue Richtlinie wurde am 14. Dezember 2022 verabschiedet und zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union sicherzustellen.

Sie reagiert auf den gestiegenen Bedarf an grenzüberschreitender Zusammenarbeit und den zunehmenden digitalen Bedrohungen. Die Digitalisierung, Vernetzung und Abhängigkeit von Informationssystemen hat deutlich zugenommen, was zu einer Zunahme von Cybervorfällen und Sicherheitsrisiken geführt hat.

Gründe für die Überarbeitung der bisherigen Richtlinie

Die alte NIS-Richtlinie hatte zwar die Sicherheitskultur in der EU verbessert, jedoch waren bei der Umsetzung erhebliche Unterschiede zwischen den Mitgliedstaaten festzustellen. Diese Unterschiede führten zu einem fragmentierten Binnenmarkt, der wiederum die Wirksamkeit der Sicherheitsmaßnahmen beeinträchtigte. Die NIS-2-Richtlinie will dieses Problem durch eine Harmonisierung der Anforderungen und verbindlichere Vorgaben beheben.

Erweiterter Anwendungsbereich

Die NIS-2-Richtlinie weitet den Anwendungsbereich erheblich aus. Während die alte NIS-Richtlinie sich auf sogenannte “Betreiber wesentlicher Dienste” und “Anbieter digitaler Dienste” beschränkte, gilt NIS-2 nun für eine viel breitere Gruppe:

• Wesentliche Einrichtungen: z. B. Energie, Verkehr, Trinkwasser, Gesundheit, Bankwesen, digitale Infrastruktur.
• Wichtige Einrichtungen: z. B. Postdienste, Lebensmittelproduktion, chemische Industrie, Forschungseinrichtungen.

Einheitliche Kriterien (z. B. Unternehmensgröße und Tätigkeitsbereich) legen fest, ob eine Einrichtung in den Anwendungsbereich fällt. Auch viele mittelständische Unternehmen sind nun verpflichtet, Cybersicherheitsmaßnahmen umzusetzen, wenn sie in kritischen Bereichen tätig sind.

Pflichten der betroffenen Einrichtungen

Unternehmen, die in den Anwendungsbereich der Richtlinie fallen, müssen strenge Sicherheitsanforderungen und Berichtspflichten erfüllen. Dazu gehören u. a.:

• Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Risikominimierung (z. B. Firewalls, Zugriffsmanagement, Verschlüsselung).
• Meldung von Sicherheitsvorfällen an nationale Behörden oder CSIRTs (Computer Security Incident Response Teams) binnen 24 Stunden.
• Durchführung regelmäßiger Sicherheitsaudits und Risikoanalysen.
• Maßnahmen zur Erkennung und Abwehr von Cyberangriffen sowie zur Wiederherstellung des Betriebs nach Vorfällen.

Diese Maßnahmen müssen risikobasiert und angemessen zur Größe und Bedeutung der Einrichtung sein.

Nationale Behörden und Aufsicht

Jeder Mitgliedstaat muss:

• eine oder mehrere zuständige Behörden für die Umsetzung der Richtlinie benennen,
• zentrale Anlaufstellen für Kommunikation und Berichterstattung einrichten,
• mindestens ein funktionsfähiges CSIRT-Team (Computer-Notfallteam) betreiben.

Diese Behörden haben umfassende Überwachungs- und Durchsetzungsbefugnisse. Bei Verstößen können hohe Bußgelder verhängt werden – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Koordination auf EU-Ebene

Die Zusammenarbeit der Mitgliedstaaten wird durch folgende Strukturen organisiert:

• Kooperationsgruppe: strategischer Austausch zwischen den Mitgliedstaaten zur Verbesserung der Cybersicherheit.
• CSIRTs-Netzwerk: operativer Austausch bei konkreten Vorfällen und Bedrohungen.
• EU-CyCLONe (Cyber Crisis Liaison Organisation Network): Koordination bei großangelegten Cyberkrisen.

Die Agentur der EU für Cybersicherheit ENISA spielt eine zentrale Rolle bei der Umsetzung der Richtlinie, der Entwicklung von Leitlinien und der Koordination.