NIS2-Richtlinie der EU 

Neue Richtlinie zur Netz- und Informationssicherheit 

NIS2-Richtlinie der EU - Neue Richtlinie zur Netz- und Informationssicherheit

Die EU-Richtlinie zur Netz- und Informationssicherheit wird erneuert. Auf englisch spricht man hier von der Directive on security of network and information systems oder kurz: NIS2

Mit der NIS2-Richtlinie sollen auch kleinere Unternehmen verpflichtet werden, mehr Cybersicherheit zu betreiben. Betroffen von der Richtlinie sind „Wesentliche Sektoren“, wie Energie, Verkehr, Finanzdienstleister, Gesundheit aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt. Die Richtlinie soll einen besonders großen Geltungsbereich haben, sodass auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge umfasst sein können. Dabei ist ein Schwellenwert ausschlaggebend dafür, ob ein Unternehmen oder Dienstleister der Richtlinie unterliegt (ca. 50 Beschäftigte und ein Jahresumsatz von 10 Millionen Euro). Zusätzlich kann jeder Mitgliedstaat entscheiden, dass die Richtlinien auch für derartige Einrichtungen auf lokaler Ebene gelten.

Was steht in der NIS2-Richtlinie?

Derzeitiger legislative Stand:

Am 10.11.2022 hat das EU-Parlament eine Legislative Entschließung zur Neufassung der NIS-Richtlinie in erster Lesung abgegeben. Stimmt der Ministerrat dem Gesetzesvorschlag zu, wird die zurzeit noch geltende EU-Richtlinie zur Netz- und Informationssicherheit (EU 2016/1148) aufgehoben und durch die neue NIS2-Richtlinie ersetzt. Die in der Legislativen Entschließung des Parlaments vorgesehene Umsetzungsfrist für die Mitgliedsstaaten beträgt 21 Monate.

Kurzübersicht über den Inhalt der NIS2-Richtlinie

 

Die großen Neuerungen der Richtlinie zur Netz- und Informationssicherheit im Vergleich zu der alten NIS-Richtlinie sind:

  • Erhebliche Ausweitung des Anwendungsbereichs
  • Detaillierte Regelung der zu treffenden Sicherheitsmaßnahmen
  • Detaillierte Regelung von Meldepflichten, inklusive Höchstfristen
  • Detaillierte Regelung der Aufsichts- und Durchsetzungsbefugnisse des BSI
  • Verantwortlichkeit der Leitungs- und Überwachungsorgane

Wer oder was ist von der NIS2-Richtlinie betroffen?

„Wesentliche Sektoren“, wie Energie, Verkehr, Finanzdienstleister, Gesundheit aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt. Die Richtlinie soll einen besonders großen Geltungsbereich haben, sodass auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge umfasst sein können. Dabei ist ein Schwellenwert ausschlaggebend dafür, ob ein Unternehmen oder Dienstleister der Richtlinie unterliegt (ca. 50 Beschäftigte und ein Jahresumsatz von 10 Millionen Euro). Zusätzlich kann jeder Mitgliedstaat entscheiden, dass die Richtlinien auch für derartige Einrichtungen auf lokaler Ebene gelten.

Nicht erfasst sind Bereiche wie Verteidigung, nationale Sicherheit, öffentliche Sicherheit, Strafverfolgung und Justiz. Auch Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen.

Betrifft NIS2 auch Kommunen?

NIS2 gilt für Unternehmen ab einer bestimmten Größe und bei Tätigkeit in bestimmten Sektoren. Auch öffentliche Verwaltungen des Bundes sind davon explizit miteingeschlossen. 

Unter die NIS-2-Richtlinie können aber auch kommunale öffentliche Einrichtungen fallen. Voraussetzung ist hierfür, dass diese Einrichtungen ihre Dienste in der Union erbringen oder ihre Tätigkeit dort ausüben und einem der Sektoren zuordbar sind, die in den Anhängen I („Sektoren mit hoher Kritikalität“) und II („sonstige kritische Sektoren“) konkretisiert werden.

Die fehlende IT-Sicherheit stellt auch für Kommunen ein enormes Risiko dar (z.B. Cyberangriff an IT-Dienstleister für Kommunen im Oktober 2023). Die IT-Sicherheit ist in Deutschland laut dem aktuellen Lagebericht des BSI stark gefährdet.

Kommunale Eigenbetriebe unterliegen nach dem derzeitigen Entwurf dem NIS2UmsuCG, die Kommunen selber aber nicht. Allerdings sollen die Kommunen über eigene Ländergesetze trotzdem an die Verpflichtungen des NIS2UmsuCG gebunden werden. Es besteht die allgemeine Auffassung, dass dringend auch Kommunen in die Pflicht genommen werden müssen, IT-Sicherheit umzusetzen, um gegen Cyberangriffe gewappnet zu sein.

Mehr Infos vom BMI

In einem aktuellen Beschluss des IT-Planungsrats wird darum gebeten, Kommunen von der Pflicht auszuschließen.

Umsetzung NIS-2-Richtlinie - IT-Planungsrat | 03.11.2023 | 42. Sitzung | Beschluss 2023/39

Er nimmt den Sachstandsbericht der AG Informationssicherheit zur Kenntnis und bittet die Länder und den Bund, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen.“

Mehr Informationen vom IT-Planungsrat

Welche Meldepflichten regelt die NIS2-Richtlinie?

Wesentliche und wichtige Einrichtungen sollen den zuständigen Behörden/Einrichtungen unverzüglich jeden Sicherheitsvorfall melden, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat.

In Art. 18 Abs. 2 der neuen EU-Richtlinie zur Netz- und Informationssicherheit werden die Anforderungen an die Risikomanagementmaßnahmen konkretisiert. Dazu zählen insbesondere die Schaffung von Risikoanalyse- und Sicherheitskonzepten für die Informationssysteme, die Offenlegung von Schwachstellen sowie die Gewährleistung der Sicherheit in der Lieferkette. Für die Meldung ist ein zweistufiger Ansatz vorgesehen. Nach Bekanntwerden eines Vorfalls haben die Unternehmen 24 Stunden Zeit, einen vorläufigen Bericht zu übermitteln, gefolgt von einem Abschlussbericht spätestens einen Monat später.

NIS-2: Entwurf zur Umsetzung in deutsches Recht

Es gibt bereits einen Referentenentwurf des Bundesministeriums des Innern und Heimat.
Im Referentenentwurf wird sowohl die Umsetzung der NIS-2-Richtlinie in deutsches Recht als auch die wesentlichen Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung geregelt.

Betitelt wird dieser Entwurf, nicht wie erwartet als IT-Sicherheitsgesetz 3.0, sondern als
NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Wesentliche Inhalte des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

  • Einführung der und Ausweitung der betroffenen Kategorien von Unternehmen
  • Katalog der Mindestsicherheitsanforderungen aus Art. 21 der NIS-2-Richtlinie
  • Ausweitung der Meldepflicht (3-stufig)
  • Ausweitung des BSI
  • Gesetzliche Regelungen zum Management der nationalen Informationssicherheit (Definition von Rollen und Verantwortlichkeiten)
  • Vereinheitlichung des nationalen und unionsrechtlichen Vorgaben
  • Einrichtung eines CISO Bund als Koordinationszentrum
  • Neue Bußgeldvorschriften
  • Überarbeitung des BSIG

Sie brauchen mehr Infos?

Das IT-Sicherheitsgesetz 3.0 kommt als NIS2UmsuCG

Online-Seminar

IT-Sicherheitsrecht 3.0 nach NIS-2-Richtlinie, NIS2UmsuCG und Cyber Resilience Act

Das Online-Seminar wird die wichtigsten Inhalte des Entwurfs systematisch aufbereitet darstellen. Das Seminar bietet damit die frühzeitige Möglichkeit, sich mit den neuen IT-sicherheitsrelevanten Inhalten auseinanderzusetzen und rechtzeitig die notwendigen Weichen im eigenen Unternehmen oder in der Beratungspraxis zu stellen.

Mehr Infos

Stand: Juni 2023

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation