Die EU-Richtlinie zur Netz- und Informationssicherheit wird erneuert. Auf englisch spricht man hier von der Directive on security of network and information systems oder kurz: NIS2
Mit der NIS2-Richtlinie sollen auch kleinere Unternehmen verpflichtet werden, mehr Cybersicherheit zu betreiben. Betroffen von der Richtlinie sind „Wesentliche Sektoren“, wie Energie, Verkehr, Finanzdienstleister, Gesundheit aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt. Die Richtlinie soll einen besonders großen Geltungsbereich haben, sodass auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge umfasst sein können. Dabei ist ein Schwellenwert ausschlaggebend dafür, ob ein Unternehmen oder Dienstleister der Richtlinie unterliegt (ca. 50 Beschäftigte und ein Jahresumsatz von 10 Millionen Euro). Zusätzlich kann jeder Mitgliedstaat entscheiden, dass die Richtlinien auch für derartige Einrichtungen auf lokaler Ebene gelten.
Derzeitiger legislative Stand:
Am 10.11.2022 hat das EU-Parlament eine Legislative Entschließung zur Neufassung der NIS-Richtlinie in erster Lesung abgegeben. Stimmt der Ministerrat dem Gesetzesvorschlag zu, wird die zurzeit noch geltende EU-Richtlinie zur Netz- und Informationssicherheit (EU 2016/1148) aufgehoben und durch die neue NIS2-Richtlinie ersetzt. Die in der Legislativen Entschließung des Parlaments vorgesehene Umsetzungsfrist für die Mitgliedsstaaten beträgt 21 Monate.
Die großen Neuerungen der Richtlinie zur Netz- und Informationssicherheit im Vergleich zu der alten NIS-Richtlinie sind:
„Wesentliche Sektoren“, wie Energie, Verkehr, Finanzdienstleister, Gesundheit aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt. Die Richtlinie soll einen besonders großen Geltungsbereich haben, sodass auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge umfasst sein können. Dabei ist ein Schwellenwert ausschlaggebend dafür, ob ein Unternehmen oder Dienstleister der Richtlinie unterliegt (ca. 50 Beschäftigte und ein Jahresumsatz von 10 Millionen Euro). Zusätzlich kann jeder Mitgliedstaat entscheiden, dass die Richtlinien auch für derartige Einrichtungen auf lokaler Ebene gelten.
Nicht erfasst sind Bereiche wie Verteidigung, nationale Sicherheit, öffentliche Sicherheit, Strafverfolgung und Justiz. Auch Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen.
Wesentliche und wichtige Einrichtungen sollen den zuständigen Behörden/Einrichtungen unverzüglich jeden Sicherheitsvorfall melden, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat.
In Art. 18 Abs. 2 der neuen EU-Richtlinie zur Netz- und Informationssicherheit werden die Anforderungen an die Risikomanagementmaßnahmen konkretisiert. Dazu zählen insbesondere die Schaffung von Risikoanalyse- und Sicherheitskonzepten für die Informationssysteme, die Offenlegung von Schwachstellen sowie die Gewährleistung der Sicherheit in der Lieferkette. Für die Meldung ist ein zweistufiger Ansatz vorgesehen. Nach Bekanntwerden eines Vorfalls haben die Unternehmen 24 Stunden Zeit, einen vorläufigen Bericht zu übermitteln, gefolgt von einem Abschlussbericht spätestens einen Monat später.
Im Seminar "NIS 2 und Cyber Resilience Act -Die neuen IT-Sicherheitsvorgaben der EU " liefert Rechtsanwältin Sabine Sobola einen kompakten Überblick über die gesetzliche Verpflichtung von Unternehmen zur IT-Sicherheit sowie die aktuellen Neuerungen rund um die NIS2-Richtlinie und dem derzeitigen Entwurf des Cyber-Resilience-Acts.
Stand: November 2022
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
