Richtlinie der EU 2022/2555 vom 14. Dezember 2022 (NIS2-Richtlinie)
Inhalte der NIS2-Richtlinie
Offiziell heisst diese RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie). Die NIS2-Richtlinie ist bereits in Kraft. Dabei steht NIS als Abkürzung für “Netzwerk- und Informationssystem-Sicherheit”.
Die NIS2-Richtlinie überarbeitet und erweitert die NIS-Richtlinie der EU aus dem Jahr 2016 und bringt verschiedene Änderungen mit sich:
- Erweiterter Anwendungsbereich: Während die NIS1-Richtlinie die Sektoren kritischer Infrastrukturen (KRITIS) definiert erweitert die NIS2-Richtlinie den Anwendungsbereich auf mehr Sektoren und Arten von Organisationen. Sie schließt nicht nur die bisherigen KRITIS-Betreiber, wie z.B. digitale Infrastrukturen, Versorgungsdienstleistungen (Energie, Wasser, Gesundheitswesen, digitale Infrastrukturen) und sondern auch weitere digitale Dienstleister (wie Cloud-Computing-Dienste und Online-Marktplätze), sondern auch verarbeitendes Gewerbe / Industriebetrieb ein.
- Strenge Sicherheitsanforderungen: Die Richtlinie legt Sicherheitsanforderungen fest, die von allen betroffenen Organisationen umgesetzt werden müssen. Dazu gehören verschiedene Sicherheitskonzepte, Einführung von Mehrfaktorauthentifizierung, Maßnahmen zur Risikomanagement und zur Meldung von Vorfällen.
- Risikomanagementmaßnahmen: Die Richtlinie verlangt von den betroffenen Unternehmen, geeignete und verhältnismäßige technische und organisatorische Maßnahmen zur Risikobewältigung einzuführen.
- Mindeststandards für die Cybersicherheit: Die Richtlinie setzt EU-weite Mindeststandards für die Cybersicherheit fest, um eine kohärente Herangehensweise und ein einheitliches Schutzniveau sicherzustellen.
- Sanktionen: Bei Nichteinhaltung der Vorgaben sieht die Richtlinie Sanktionen vor, die streng genug sind, um eine wirksame Durchsetzung zu gewährleisten.
- Meldepflichten: Unternehmen müssen Sicherheitsvorfälle innerhalb einer vorgegebenen Frist den zuständigen nationalen Behörden melden. Diese Meldungen müssen detaillierte Informationen über die Art des Vorfalls und die betroffenen Daten enthalten.
- Kooperationsgruppe: Es wird eine Kooperationsgruppe eingerichtet, die den Informationsaustausch und die Kooperation zwischen den Mitgliedstaaten verbessern soll.
- Nationale Aufsichtsbehörden: Die Richtlinie stärkt die Rolle der nationalen Aufsichtsbehörden, indem sie ihnen mehr Befugnisse und Ressourcen zur Überwachung und Durchsetzung der Richtlinie zur Verfügung stellt.
Die NIS2-Richtlinie der EU ist ein Rechtsakt, der in nationales Recht transformiert werden muss. Das geschieht üblicherweise in einem Umsetzungsgesetz. Die Zeitvorgabe für die Bundesregierung zur Umsetzung der NIS2-Richtlinie in deutsches Recht ist der 17. Oktober 2024. (Dabei ist es immer unwahrscheinlicher, dass dieser Zeitplan gehalten werden kann, insbesondere dann, wenn die Ampel-Koalition zerbrechen sollte. Realistischer ist eher Anfang 2025.) Das dazu geplante Umsetzungsgesetz dazu ist das “NIS2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“. Dies ist aktuell noch im Entwurf und noch nicht verabschiedet. Immerhin gibt es inzwischen einen offiziellen Regierungsentwurf, der dem Parlament formell zugeleitet wurde.
Für grenzüberschreitende Dienste, wie z.B. Anbietern von DNS-Diensten, TLD-Namensregistern, Anbietern von Cloud-Computing-Diensten, Anbietern von Rechenzentrumsdiensten, Anbietern von Content-Delivery-Netzen, Anbietern von verwalteten Diensten (“Managed Services”), Anbietern von verwalteten Sicherheitsdiensten, Anbietern von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste sowie Anbietern von Vertrauensdiensten plant die EU zudem ein NIS2-Umsetzungsverordnung, die die NIS2-Anforderungen EU-weit harmonisiert.