Die neue EU-Richtlinie NIS2 stellt strengere Anforderungen an die Cybersicherheit in der EU. Die Ziele sind:
Letztendlich soll hiermit die Resilienz gegenüber Cyberattacken in der gesamten EU tiefgreifend und umfassend gestärkt werden.
Die NIS2-Richtlinie enthält rechtliche Vorgaben sowohl zum Cyber-Risikomanagement als auch zu Meldepflichten bei Sicherheitsvorfällen. Damit hilft sie ungefähr 160.000 Unternehmen und Organisationen ihren Security-Status genau zu prüfen und das Sicherheitsniveau insgesamt zu erhöhen. Das Ziel: Europa zu einem sichereren Ort zum Leben und Arbeiten zu machen. Zudem hilft die Richtlinie, den Datenverkehr zwischen Unternehmen und Partnern in Europa und auf der ganzen Welt zu erleichtern.
Die NIS2-Richtlinie schafft die rechtliche Grundlage für mehr Cybersicherheit in der EU. Dazu:
Die NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS und bezieht sich nun auf alle mittleren und großen Unternehmen, die in den vom NIS2-Rahmen abgedeckten Sektoren tätig sind. Diese müssen somit die im Vorschlag enthaltenen Sicherheitsvorschriften einhalten und umsetzen.Zusätzlich nimmt die NIS2 die Überwachung und Verwaltung der Cybersicherheit mehr in den Fokus, mit u.a. Genehmigungs- und Prüfungspflichten für die jeweils oberste Führungsebene der Unternehmen.
Da es sich hier um eine EU-Richtlinie und keine Verordnung handelt, müssen die EU-Mitgliedsstaaten sie zunächst in nationales Recht überführen. Dafür haben sie Zeit bis zum 18. Oktober 2024.
Die NIS2-Richtlinie soll helfen, besser auf die Bedrohungen in der digitalen Welt zu reagieren, heute wie in der Zukunft. Hierfür werden verschiedene zentrale Vorgaben gemacht, die die Cybersicherheit von EU-Unternehmen verbessern sollen. Dazu gehören:
Erweiterung des Anwendungsbereichs
Eine der wichtigsten Änderungen durch die NIS2 ist ihr umfassenderer Anwendungsbereich. Die Richtlinie bezieht wesentlich mehr Organisationen mit ein als ihre Vorgängerin, darunter Online-Marktplätze, Suchmaschinen und Cloud Computing-Dienste. Mit dieser Erweiterung des Anwendungsbereichs werden nun mehr Unternehmen und Organisationen in die Pflicht genommen, sich mit der Netzwerk- und Informationssicherheit auseinanderzusetzen.
Meldung von Sicherheitsvorfällen
Nach Maßgabe der NIS2-Richtlinie besteht eine Meldepflicht gegenüber der zuständigen nationalen Behörde für gravierende Sicherheitsvorfälle. Diese gilt für alle Unternehmen, die sogenannte wesentliche Dienste leisten („Essential Service Providers“). Ziel ist es, die Reaktionszeit gegenüber Cyberangriffen zu verringern und sicherzustellen, dass alle Mitgliedsstaaten jederzeit einen Überblick über die aktuelle Sicherheitslage in ihrer Region haben. Da bereits einige EU-Mitgliedsstaaten vergleichbare Meldepflichten auf nationaler Ebene umgesetzt haben, baut die NIS2 auf diesen auf.
Verschärfung von Sicherheitsvorgaben
Die NIS2-Richtlinie verschärft auch die Sicherheitsvorgaben für Unternehmen, die wesentliche Dienste leisten und verpflichtet sie zum Beispiel, geeignete technische und organisatorische Maßnahmen für die unternehmenseigene Netzwerk- und Informationssicherheit einzuführen. Die Unternehmen sind außerdem aufgefordert, wirksame Reaktionspläne für Sicherheitsvorfälle zu implementieren und so die negativen Folgen solcher Vorfälle zu minimieren.
Zertifizierungs-Leitlinien
Die NIS2 gibt einen Rahmen vor für die Erstellung nationaler Zertifizierungs-Richtlinien für Securityprodukte und -dienstleistungen. Diese Leitlinien sollen Unternehmen helfen, Produkte und Dienstleistungen so auszuwählen, dass sie damit ein bestimmtes Sicherheitsniveau erreichen. Weiterhin wird die Entwicklung von Securityprodukten und -dienstleistungen unterstützt, die den Ansprüchen des europäischen Marktes genügen.
Die NIS2 bringt verschiedene Vorteile für Unternehmen in ganz Europa. Dazu zählen:
Mehr Cybersicherheit
Durch die Erweiterung des Anwendungsbereichs und die verstärkten Anforderungen an Unternehmen erhöht die NIS2 das Niveau der Cybersicherheit in Europa. Dadurch wird das Risiko von Cyberangriffen verringert und Unternehmen sind besser auf den Umgang mit Cyber-Bedrohungen vorbereitet.
Mehr Kooperation
Die NIS2-Richtlinie fördert die Kooperation zwischen den Mitgliedsstaaten und den Austausch von Informationen zu Cybersecurity-Vorfällen. Durch diese Zusammenarbeit ist es für Mitgliedsstaaten leichter, auf Vorfälle zu reagieren und insgesamt resilienter gegenüber Cybergefahren zu werden.
Mehr Innovation
Die NIS2 stärkt die Entwicklung von Cybersecurity-Produkten und -Dienstleistungen, die die Anforderungen des europäischen Marktes erfüllen. Dies steigert wiederum die Innovationskraft in der Security-Branche und schafft neue Chancen für Unternehmen in ganz Europa.
Die NIS2-Richtlinie ist ein wichtiger Schritt hin zu mehr Cybersicherheit in der EU. Sie hilft Unternehmen verschiedenster Branchen, sich vor Bedrohungen zu schützen und auf Angriffe zu reagieren sowie eine unternehmensweite Security-Kultur zu entwickeln.
Der europäischen Kommission zufolge wird die Richtlinie bis zum 17. Oktober 2024 (21 Monate nach Verabschiedung) in nationales Recht umgesetzt. Die Kommission wird dann in regelmäßigen Abständen die Umsetzung der Richtlinie prüfen und dem EU-Parlament und dem EU-Rat Bericht erstatten, zum ersten Mal am 17. Oktober 2027.ament und dem EU-Rat Bericht erstatten, zum ersten Mal am 17. Oktober 2027.
DataGuard hilft Unternehmen, die interne Cybersicherheit zu stärken. Egal ob mit branchenspezifischen Hilfestellungen und Hinweisen, bei der Implementierung eines Informationssicherheits-Managementsystems oder effektivem Cyber-Risikomanagement – wir sind Ihr starker Partner in Sachen Informationssicherheit, Datenschutz und Compliance.
Vereinbaren Sie noch heute Ihr unverbindliches Beratungsgespräch und erfahren Sie mehr!