Zum Inhalt springen
Nis2 Content Hub

Allgemeines

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Erhöhung der Cybersicherheit. Sie wurde entwickelt, um die Resilienz und die Reaktionsfähigkeit innerhalb der EU auf Cybervorfälle zu verbessern.

Warum wurde die NIS2-Richtlinie eingeführt?

Die NIS2-Richtlinie wurde eingeführt, um die bestehenden Maßnahmen zur Cybersicherheit zu stärken und um den zunehmenden Bedrohungen im Bereich der Informationssicherheit besser begegnen zu können. Hintergrund ist, die fortschreitende Digitalisierung zu schützen und dabei ein einheitlicheres Sicherheitsniveau in der EU zu gewährleisten.

Welche Ziele verfolgt die NIS2-Richtlinie?

Die Hauptziele der NIS2-Richtlinie sind die Verbesserung der Cybersicherheit in der EU, der Schutz kritischer Infrastrukturen und die resilientere Verfügbarkeit wesentlicher Prozesse und digitaler Dienste. Das geschieht durch einen erhöhten Mindeststandard an IT Sicherheit für die betroffenen Sektoren.

Welche gesetzlichen Grundlagen unterstützen die NIS2-Richtlinie?

Die NIS2-Richtlinie basiert auf dem EU-Recht.

Wie verhält sich die NIS2-Richtlinie zu anderen europäischen und nationalen Gesetzen?

Die NIS2-Richtlinie ergänzt andere europäische und nationale Sicherheitsgesetze, wie die Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen sicherstellen, dass sie alle relevanten Vorschriften einhalten.

Welche Rolle spielt die Digitalisierung bei der Erhöhung der Anforderungen an die Cybersicherheit?

Die fortschreitende Digitalisierung bringt Effizienzsteigerungen und neue Geschäftsmodelle mit sich. Gleichzeitig erhöht sie jedoch die Anfälligkeit von Unternehmen und kritischen Infrastrukturen für Cyberangriffe. Durch die zunehmende Vernetzung und Abhängigkeit von digitalen Technologien entstehen neue Bedrohungen, die kontinuierlich weiterentwickelt und komplexer werden. Die NIS2-Richtlinie adressiert diese Herausforderungen, indem sie strengere Sicherheitsanforderungen und Meldepflichten einführt, um die Widerstandsfähigkeit und den Schutz vor Cybervorfällen zu erhöhen.

Gibt es Unterschiede in der Umsetzung zwischen den EU-Mitgliedstaaten?

Ja, die Umsetzung kann theoretisch zwischen den Mitgliedstaaten variieren, insbesondere hinsichtlich der spezifischen gesetzlichen Anforderungen und der zuständigen Behörden. Dennoch müssen alle Mitgliedstaaten die Mindestanforderungen der NIS2-Richtlinie erfüllen.

Welche Rolle spielen nationale Behörden bei der Umsetzung?

Nationale Behörden sind für die Überwachung der Umsetzung und Einhaltung der NIS2-Richtlinie zuständig. Sie bieten Unterstützung, führen Kontrollen durch und verhängen bei Bedarf Sanktionen. In Deutschland ist das BSI die federführend verantwortliche nationale Behörde.

Wie wird die NIS2-Richtlinie in Deutschland umgesetzt?

In Deutschland wurde ein Referentenentwurf zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) vorgelegt, der zahlreiche Anpassungen und Ergänzungen enthält. Das Gesetzgebungsverfahren hinkt jedoch derzeit dem Zeitplan hinterher, und es wird erwartet, dass das endgültige Gesetz bis 2025 verabschiedet wird (Uni Saarland Jura).

Was sind die wesentlichen Neuerungen in der NIS2 Richtlinie?

  • Erweiterte Anwendungsbereiche und Verpflichtungen: Die NIS2-Richtlinie betrifft nun ein breiteres Spektrum von Sektoren, darunter u.a. öffentliche Verwaltung, Energie, Transport, Finanzmarkt, Gesundheitswesen und digitale Infrastruktur. Auch kleinere Unternehmen, die kritische Dienstleistungen anbieten, sind nun erfasst (EY Law Germany, Taylor Wessing).
  • Erhöhte Anforderungen an das Risikomanagement: Unternehmen müssen verstärkt Risiken in ihren Lieferketten bewerten und absichern. Dies umfasst die Identifizierung kritischer IKT-Dienste und Systeme sowie die Analyse relevanter Bedrohungen und Schwachstellen (EY Law Germany).
  • Persönliche Haftung der Führungskräfte: Leitungsorgane von wesentlichen und wichtigen Einrichtungen haften persönlich für die Einhaltung der Cybersicherheitsanforderungen. Sie sind verpflichtet, an Schulungen teilzunehmen und diese auch regelmäßig ihren Mitarbeitenden anzubieten (EY Law Germany).
  • Strenge Meldepflichten: Bei erheblichen Sicherheitsvorfällen müssen Unternehmen innerhalb von 24 Stunden eine Frühwarnung abgeben und innerhalb von 72 Stunden eine detaillierte Bewertung vorlegen. Ein Abschlussbericht ist spätestens einen Monat nach der ersten Meldung erforderlich (DSN News).
  • Erhöhte Bußgelder: Für Verstöße gegen die NIS2-Richtlinie drohen Unternehmen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dies gilt insbesondere für wesentliche Einrichtungen. Für wichtige Einrichtungen sind Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes vorgesehen (Datenschutzexperte, DSN News).