Argana Consulting GmbH 
Lasst uns lieber darüber reden, wie sich die Probleme lösen lassen.

NIS Network Information Security

Die NIS-Richtlinie (Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union), die 2016 in Kraft trat, war die erste EU-Rechtsvorschrift zur Verbesserung der Cybersicherheit in den Mitgliedstaaten. Sie legte den Grundstein für einen koordinierten Ansatz im Bereich der Netz- und Informationssicherheit in der Europäischen Union.

NIS2 Network Information Security

Die NIS2-Richtlinie (Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Cybersicherheit in der Union) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Security Directive) der Europäischen Union, die 2016 in Kraft getreten ist. Die NIS2-Richtlinie wurde am 28. Dezember 2022 veröffentlicht und soll die Cybersicherheit in der EU stärken und an die sich verändernde Bedrohungslage anpassen.

Nachfolgend die wichtigsten Eckpunkte der NIS2-Richtlinie:

Erweiterter Anwendungsbereich

Die NIS2-Richtlinie erweitert den Anwendungsbereich auf größere Zahl von Sektoren und Unternehmen, die als "wesentliche" oder "kritische" Dienste gelten. Neben den Sektoren, die bereits unter die NIS-Richtlinie fielen (z.B. Energie, Verkehr, Wasser, Gesundheit), werden auch neue Sektoren erfasst, wie z.B.: 

  • Wasserversorgung und Abwasserentsorgung
  • Digitale Infrastruktur (z.B. DNS-Provider, Rechenzentren)
  • Öffentliche Verwaltung
  • Raumfahrt
  • Lebensmittelproduktion

Einbeziehung mittlerer und großer Unternehmen

Mittlerer und große Unternehmen in den betroffenen Sektoren sind nun verpflichtet, die Anforderungen der NIS2-Richtlinie zu erfüllen. 


Harmonisierung der Cyber-Sicherheitsanforderungen

Die Richtlinie legt harmonisierte Cybersicherheitsanforderungen fest, die von allen betroffenen Unternehmen und Organisationen erfüllt werden müssen. Dazu gehören technische und organisatorische Maßnahmen wie

  • Einführung und Umsetzung eines Cybersicherheits-Risikomanagementsystems.
  • Anforderungen an die Reaktionsfähigkeit bei Sicherheitsvorfällen (Incident Response), einschließlich Meldepflichten.
  • Regelmäßige Überprüfungen und Audits der Cybersicherheitsmaßnahmen
  • Unternehmen müssen Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung ihrer Dienstleistungen haben, innerhalb strikter Fristen melden. Dies gilt für Vorfälle, die die Vertraulichkeit, Integrität und Verfügbarkeit von Netzwerken und Informationssystemen betreffen. 

 

Strengere Überwachung und Durchsetzung

Die NIS2- Richtlinie stärkt die Aufsichts- und Durchsetzungsbefugnisse der nationalen Behörden. Dazu gehört die Möglichkeit, Unternehmen zur Verantwortung zu ziehen, Strafen zu verhängen und gegebenenfalls Sanktionen durchzusetzen. 

Einheitliche Durchsetzung in der EU: Es werden Maßnahmen zur Harmonisierung der Durchsetzung in der gesamten EU eingeführt, um sicherzustellen, dass die Richtlinie in allen Mitgliedstaaten einheitlich angewandt wird.


Verstärkte Zusammenarbeit und Informationsaustausch
Zusammenarbeit der Mitgliedsstaaten: Dir Richtlinie fördert eine verstärkte Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten. Dazu gehören auch gemeinsame Maßnahmen zur Bekämpfung grenzüberschreitender Cyber-Bedrohungen.  

CSIRT-Netzwerk: Die Rolle des Netzwerks der Computer Security Incident Response Teams (CSIRTs) wird gestärkt, um die Koordinierung und den Informationsaustausch zwischen den Mitgliedstaaten zu verbessern.


Verantwortung des Managements
Verantwortung der Unternehmensleitung: Die Richtlinie legt ausdrücklich fest, dass die oberste Leitung eines Unternehmens (d.h. der Vorstand oder die Geschäftsführung) für die Einhaltung der Cybersicherheitsanforderungen verantwortlich ist. Dazu gehört auch die Pflicht, sich regelmäßig über Cybersicherheitsrisiken und -Maßnahmen zu informieren und entsprechende Entscheidungen zu treffen.


Härtere Sanktionen
Straf- und Bußgeldvorschriften: Die NIS2-Richtlinie sieht härtere Strafen für die Nichteinhaltung von Cybersicherheitsanforderungen vor, einschließlich erheblicher Bußgelder. Die Höhe der Bußgelder kann je nach Schwere des Verstoßes variieren und soll eine abschreckende Wirkung haben.


Widerstandsfähigkeit und Lieferketten
Die Richtlinie betont die Notwendigkeit, die Belastbarkeit von Netzwerken und Informationssystemen zu erhöhen, insbesondere angesichts der zunehmenden Abhängigkeit von digitalen Technologien.

Unternehmen müssen auch die Cybersicherheitsrisiken in ihren Lieferketten und bei Drittanbietern bewerten und managen, was eine erweiterte Verantwortung für die Sicherheit über die eigenen Systeme hinaus bedeutet.


Übergangsfristen und Umsetzungspflichten
Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Unternehmen haben dann eine gewisse Zeit, um die neuen Anforderungen zu erfüllen.

NIS Anlaufstelle in der EU

Die Agentur der Europäischen Union für Cybersicherheit
https://www.enisa.europa.eu/about-enisa/about/de

Umsetzung in Österreich

Die Umsetzung in Österreich erfolgte über das Netz- und Informationssystem­sicherheitsgesetz (NISG)
Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) StF: BGBl. I Nr. 111/2018 (NR: GP XXVI RV 369 AB 418 S. 53. BR: AB 10099 S. 887.) [CELEX-Nr.: 32016L1148]

Österreich Anlaufstelle

Anlaufstelle Netz- und Informationssystem­sicherheitsgesetz (NISG)
https://www.nis.gv.at/

Umsetzung in Deutschland

Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union1, vom 23. Juni 2017

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), Vom 18. Mai 2021

BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist.

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), zuletzt durch die Artikel 1 Nummer 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert

Deutschland Anlaufstelle

Bundesamt für Sicherheit in der Informationstechnik (BSI)
https://www.bsi.bund.de/DE/Home/home_node.html