NIS-2-Richtlinie

Die NIS-2-Richtlinie ist eine EU-Richtlinie, die darauf abzielt, ein hohes gemeinsames Niveau der Cybersicherheit in der Europäischen Union zu gewährleisten. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und stärkt die Sicherheitsanforderungen, adressiert die Sicherheit von Lieferketten und führt harmonisierte Sanktionen ein. Die NIS-2-Richtlinie wurde Ende 2022 durch das Europäische Parlament und den Rat der EU verabschiedet und ist seit dem 18.10.2024 in der EU anzuwenden. Die Mitgliedstaaten müssen die Richtlinie in nationales Recht überführen.

Die NIS 2 adressiert in erster Linie Anforderungen an Unternehmen:

Während die NIS-1-Richtlinie vorwiegend für kritische Infrastrukturen und Anbieter relevanter digitaler Dienste galt, erweitert die NIS-2-Richtlinie die Sektoren unter anderem um das produzierende Gewerbe: Maschinenbau, Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau. Innerhalb dieser Branchen sind Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von über 10 Millionen Euro betroffen.

Um NIS-2-Konformität zu erreichen, müssen betroffene Organisationen mehrere Maßnahmen ergreifen, unter anderem:

• Risikomanagement: Implementierung von Prozessen zur Identifizierung und Bewertung von Risiken.
• Sicherheitsmaßnahmen: Einführung technischer und organisatorischer Maßnahmen zur Risikominderung.
• Meldung von Vorfällen: Etablierung von Verfahren zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden.
• Überwachung und Audits: Regelmäßige Überprüfung und Bewertung der Sicherheitsmaßnahmen.

Die Durchsetzung der NIS 2 erfolgt durch nationale Behörden in den EU-Mitgliedstaaten, die für die Überwachung und Einhaltung der Richtlinie verantwortlich sind. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Behörde.

Maßnahmen zur Durchsetzung:

1. Meldepflichten: Unternehmen müssen Sicherheitsvorfälle melden. Die NIS 2 führt ein dreistufiges Meldesystem ein, um die Transparenz und Reaktionsfähigkeit zu verbessern.
2. Aufsichtsmaßnahmen: Das BSI hat erweiterte Befugnisse zur Durchführung von Audits und Inspektionen, um die Einhaltung der Sicherheitsanforderungen zu überprüfen.
3. Sanktionen: Bei Nichteinhaltung der Richtlinie können Sanktionen verhängt werden, die je nach Schwere des Verstoßes variieren.

Unterstützung und Beratung:
Das BSI bietet betroffenen Unternehmen Unterstützung und Beratung, um die Umsetzung der NIS 2 zu erleichtern. Unternehmen sollten proaktiv Maßnahmen zur Verbesserung ihrer IT-Sicherheit ergreifen und sich auf die neuen Anforderungen vorbereiten. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) bietet viele nützliche Informationen zum Thema Cybersicherheit.

Die NIS 2, der Cyber Resilience Act und die Maschinenverordnung sind Teil eines umfassenden regulatorischen Rahmens der EU zur Stärkung der Cybersicherheit und Resilienz. Während die NIS 2 sich auf die Sicherheit von Netzwerken, Informationssystemen und Anforderungen auf Unternehmensebene konzentriert, zielt der Cyber Resilience Act darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Die Maschinenverordnung ergänzt diese Maßnahmen, indem sie Sicherheitsanforderungen für Maschinen und industrielle Produkte festlegt.

• Weitere Industrial Security Vorgaben (u. a. IEC 62443)
• Agentur der Europäischen Union für Cybersicherheit (ENISA)