NIS2: Alle Details und Hintergründe zur neuen EU Cybersecurity-Richtlinie
EU einigt sich auf neue Cybersecurity-Richtlinie: Was NIS2 für Unternehmen bringt
Es gibt eine neue EU-Richtlinie, die sich mit der Angleichung EU-weiter Standards im Bereich der Cybersecurity befasst und weitreichende Vorgaben für Unternehmen beinhaltet. Bis die Regelung nächstes Jahr in allen Mitgliedsstaaten in Kraft tritt bleibt nur noch wenig Zeit.
Bis zum 17. Oktober 2024 müssen die Mitgliedsstaaten der Europäischen Union die neue EU-Richtlinie NIS2 – zur Regulierung der Network and Information Security – in geltendes Recht übertragen. Unternehmen haben also nur noch etwas mehr als ein Jahr Zeit, um sich auf die Veränderungen einzustellen und ihre Prozesse und Systeme den neuen Vorgaben entsprechend auszurichten. Ziel der neuen Richtlinie ist „die Vertiefung und inhaltliche Erweiterung der Anforderung an die Cybersicherheit zu einem verbesserten Schutz im Sinne der Verstärkung, Modernisierung und Ausweitung von zentralen Vorgaben.“
Weit mehr Unternehmen betroffen
Im Klartext hat die EU zum Ziel, die europaweiten Standards in der Cybersecurity weiter zu vereinheitlichen und auf mehr Branchen und Unternehmen auszuweiten sowie die Widerstandsfähigkeit gegen Bedrohungen aus dem Cyberraum insgesamt zu stärken. NIS2 schließt daher jetzt auch Betriebe ab 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz mit ein. Zusätzlich beinhaltet die neue Richtlinie klare Vorgaben bezüglich der „wesentlichen“ und „wichtigen Sektoren“, für die besondere Regeln gelten.
In der Vorgängerversion NIS aus dem Jahr 2016 konnte jedes Mitgliedsland selbst diese Sektoren definieren. In NIS2 hat die EU eindeutig festgelegt, welche Branchen unter die jeweiligen Kategorien fallen. Dazu gehören für die „wesentlichen Sektoren“ die Bereiche Energie, Gesundheit, Transport, Banken und Versicherungen, Wasser und Abwasser, Netzwerkanbieter sowie ICT-Dienstleister, Raumfahrt und die öffentliche Verwaltung. Unter die „wichtigen Sektoren“ fallen Post und Kurier, Abfallwirtschaft, Chemie, Ernährung, Industrie, Digitale Dienste und Forschung.
Weitreichende Vorgaben für die Cybersecurity
NIS2 beinhaltet strenge Vorgaben für den Schutz der digitalen Infrastruktur der EU und geht dabei auch über das deutsche IT-Sicherheitsgesetz 2.0 hinaus. Zentrales Element der Richtlinie ist die Pflicht zur Integration einer IT-Sicherheitsstrategie in die globale Unternehmenssteuerung. Dazu gehören genaue Regeln bezüglich des Risikomanagements sowie der Sensibilisierung und Schulung von Mitarbeitenden, Vorgaben zur Meldung von Vorfällen und Bestimmungen zu Notfallplänen für den Ernstfall.
Zusätzlich beinhaltet NIS2 Vorgaben zu den Themen Datenschutz und -sicherung, Data Access Management, Schwachstellenmanagement und Verschlüsselung, die alle unter dem Begriff der „Cyberhygiene“ zusammengefasst sind. Für die Umsetzung müssen Unternehmen alle bisherigen Prozesse und Maßnahmen überprüfen, ihre eigenen Anforderungen mit den Vorgaben der Richtlinie in Einklang bringen und dabei die sich schnell wandelnde IT-Welt mit neuen Technologien und Herausforderungen durch Cyberkriminelle im Blick behalten.
Die Zeit läuft: Bis 17. Oktober 2024 müssen die EU-Mitgliedsstaaten NIS2 in nationales Recht übertragen. Bis dahin haben Unternehmen Zeit, um sich auf die Vorgaben einzustellen und ihre Systeme und Prozesse anzupassen.
Denn Vorsicht, bei Verstößen drohen hohe Bußgelder von bis zu 10 Millionen Euro!
