+499921 807780

Dr. Informationssicherheit

Die NIS-2-Richtlinie (vollständig: Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist die zweite europäische Richtlinie zur Netzwerk- und Informationssicherheit und bildet den zentralen Rechtsrahmen der EU für Cybersicherheit. Sie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und ersetzt die bisherige NIS-Richtlinie (EU) 2016/1148.

Ihr Ziel ist es, das Cybersicherheitsniveau in Europa zu erhöhen, die Resilienz kritischer und wichtiger Einrichtungen zu stärken und einheitliche Sicherheitsanforderungen in allen Mitgliedstaaten zu schaffen.

Kernpunkte der NIS-2-Richtlinie sind:

  1. Erweiterter Geltungsbereich:
    NIS 2 betrifft deutlich mehr Sektoren als ihre Vorgängerrichtlinie, darunter Energie, Verkehr, Gesundheitswesen, Trinkwasserversorgung, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Abfallwirtschaft, Chemie, Raumfahrt sowie Hersteller kritischer Produkte wie IT-Hardware oder Medizinprodukte.
  2. Pflichten für Unternehmen:
    Betroffene Organisationen müssen technische, organisatorische und personelle Maßnahmen zur Informationssicherheit nachweisen. Dazu gehören Risikoanalysen, Business Continuity, Incident Response, Sicherheitsrichtlinien, Schulungen und Lieferkettenmanagement.
  3. Meldepflichten:
    Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden (Initialmeldung), gefolgt von einem detaillierten Bericht nach spätestens 72 Stunden.
  4. Haftung und Governance:
    Die Verantwortung der Geschäftsleitung wird ausdrücklich betont. Führungskräfte müssen sicherstellen, dass Cybersicherheitsmaßnahmen umgesetzt werden, und können bei Verstößen haftbar gemacht werden.
  5. Sanktionen:
    Bei Nichteinhaltung drohen hohe Bußgelder, die sich an der DSGVO orientieren (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes).
  6. Zusammenhang mit ISO/IEC 27001:
    Die NIS 2-Richtlinie orientiert sich inhaltlich stark an den Grundprinzipien der ISO/IEC 27001. Eine Zertifizierung nach ISO 27001 kann daher als Nachweis für die Umsetzung der NIS-2-Pflichten dienen, da beide Systeme auf einem risikobasierten Ansatz und kontinuierlicher Verbesserung der Informationssicherheit basieren.

In Deutschland wird NIS 2 durch das neue NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt, dessen Inkrafttreten für Oktober 2024 bis Mitte 2025 vorgesehen ist.

Quellen:
Europäische Union. (2022). Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Amtsblatt der Europäischen Union, L333/80.
Bundesministerium des Innern und für Heimat (BMI). (2024). Umsetzung der NIS-2-Richtlinie in Deutschland. Berlin: BMI.
European Union Agency for Cybersecurity (ENISA). (2023). NIS 2 Directive Overview. Athen: ENISA.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Suche

Archiv

Kategorien

Aktuelle Beiträge

Tags