ISGroup Cybersicherheitsberatung

Wie interagiert diese Initiative mit anderen EU-Politiken?

Die NIS2-Richtlinie existiert nicht isoliert. Sie ist Teil eines breiteren Rahmens von EU-Politiken, die darauf abzielen, die allgemeine Sicherheit und Widerstandsfähigkeit der Union zu stärken. Zu verstehen, wie sie mit anderen Vorschriften verknüpft ist, ist der erste Schritt zum Aufbau eines NIS2-Compliance-Prozesses, der den gesamten regulatorischen Kontext berücksichtigt, in dem das Unternehmen tätig ist. Um mehr über den allgemeinen Rahmen zu erfahren, können Sie auch lesen, was das Hauptziel der NIS2-Richtlinie ist.

[Callforaction-NIS2]

Hier erfahren Sie, wie die NIS2 mit einigen dieser Richtlinien interagiert:

NIS2 und die CER-Richtlinie: Gewährleistung einer ganzheitlichen Resilienz für kritische Einrichtungen

Die NIS2-Richtlinie und die Richtlinie über die Resilienz kritischer Einrichtungen (CER) sind eng miteinander verbunden, wobei sich ihre Anwendungsbereiche weitgehend überschneiden. Diese Angleichung zielt darauf ab, einen umfassenden Ansatz für die physische und die Cybersicherheit von Einrichtungen zu bieten, die in der EU als kritisch eingestuft werden.

  • Gemeinsamer Anwendungsbereich für kritische Einrichtungen: Einrichtungen, die gemäß der CER-Richtlinie als “kritisch” identifiziert wurden, fallen automatisch unter die Zuständigkeit der NIS2, wodurch sichergestellt wird, dass sie die Cybersicherheitsverpflichtungen einhalten.
  • Zusammenarbeit und Informationsaustausch zwischen den Behörden: Die gemäß beiden Richtlinien benannten nationalen zuständigen Behörden sind verpflichtet, zusammenzuarbeiten und regelmäßig relevante Informationen auszutauschen. Dies umfasst den Austausch von Daten über Cyberbedrohungen und -vorfälle sowie über nicht-cyberbezogene Risiken und Vorfälle, was ein ganzheitliches Verständnis der Bedrohungslage ermöglicht.
  • Regelmäßige Treffen zwischen den Kooperationsgruppen: Zur Verbesserung der strategischen Koordinierung müssen die NIS-Kooperationsgruppe und die gemäß der CER-Richtlinie eingerichtete Gruppe für die Resilienz kritischer Einrichtungen regelmäßig, mindestens einmal jährlich, zusammentreten. Dies fördert den Dialog und die Zusammenarbeit bei der Bewältigung von Resilienz-Herausforderungen.

NIS2 und DORA: Optimierung der Cybersicherheit im Finanzsektor

Obwohl die NIS2 Kreditinstitute, Betreiber von Handelsplätzen und zentrale Gegenparteien umfasst, hat die Verordnung über die digitale operationelle Resilienz im Finanzsektor (DORA) für diese Einrichtungen in Bezug auf das Cybersicherheitsrisikomanagement und die Meldepflichten Vorrang.

  • DORA als primäre Verordnung für Finanzunternehmen: Für Finanzunternehmen, die unter DORA fallen, haben die Bestimmungen zum Cybersicherheitsrisikomanagement und zur Meldung von Vorfällen gemäß DORA Vorrang vor denen der NIS2.
  • Kontinuierlicher Informationsaustausch und Zusammenarbeit:
  • Teilnahme an der NIS-Kooperationsgruppe: Die Europäischen Aufsichtsbehörden (ESAs) für den Finanzsektor und die nationalen zuständigen Behörden gemäß DORA können an den Diskussionen der NIS-Kooperationsgruppe teilnehmen, um sicherzustellen, dass die Perspektive des Finanzsektors in breitere Cybersicherheitsstrategien einfließt.
  • Informationsaustausch mit NIS2-Einrichtungen: Die zuständigen DORA-Behörden können relevante Informationen mit den gemäß NIS2 eingerichteten zentralen Anlaufstellen (SPOCs) und CSIRTs konsultieren und austauschen, was einen sektorübergreifenden Informationsfluss erleichtert und das Bewusstsein sowie die Reaktion auf Vorfälle verbessert. Zur operativen Rolle der CSIRTs im NIS2-Kontext ist es auch nützlich, sich mit der Pflicht zur Benennung eines CSIRT-Ansprechpartners für NIS-Subjekte zu befassen.
  • Meldung schwerwiegender IKT-Vorfälle: Behörden, die unter die NIS2 fallen, müssen Details zu schwerwiegenden Cybervorfällen von ihren DORA-Gegenstücken erhalten, um Sichtbarkeit und zeitnahe Reaktionen auf Vorfälle mit potenziellen Auswirkungen auf mehrere Sektoren zu gewährleisten.
  • Kontinuierliche Einbeziehung in nationale Strategien: Trotz der primären Rolle von DORA wird betont, wie wichtig es ist, den Finanzsektor weiterhin in nationale Cybersicherheitsstrategien einzubeziehen. Darüber hinaus können nationale CSIRTs den Finanzsektor in ihre Aktivitäten einbeziehen, um die Cybersicherheitslage weiter zu stärken.

NIS2 und andere sektorspezifische Vorschriften

Die NIS2 erkennt die Existenz sektorspezifischer EU-Vorschriften im Bereich der Cybersicherheit an. Wo diese Vorschriften ein gleichwertiges oder höheres Sicherheitsniveau als die NIS2 bieten, haben sie Vorrang. Dieser Grundsatz zeigt sich in der Interaktion mit DORA, erstreckt sich aber auch auf andere Sektoren. Die Richtlinie nennt jedoch keine spezifischen Beispiele für andere sektorspezifische Vorschriften als DORA, auf die dies zutrifft.

Wichtige Punkte

  • Interaktion und Komplementarität: Die NIS2 ist keine eigenständige Politik; sie interagiert mit anderen EU-Vorschriften und ergänzt diese, insbesondere in Bezug auf kritische Einrichtungen und den Finanzsektor.
  • Wesentliche Zusammenarbeit: Obwohl sektorspezifische Gesetze wie DORA in ihren jeweiligen Bereichen Vorrang haben können, bleiben die Zusammenarbeit und der Informationsaustausch zwischen diesen Sektoren und dem breiteren NIS2-Rahmen entscheidend, um eine starke und einheitliche Cybersicherheitslage in der gesamten EU aufrechtzuerhalten.
  • Gemeinsames Ziel der Resilienz: Das Hauptziel besteht darin, ein hohes und harmonisiertes Niveau der Cybersicherheitsresilienz in der EU zu gewährleisten, wobei die einzigartigen Merkmale und spezifischen Bedürfnisse der verschiedenen Sektoren berücksichtigt werden.

Die NIS2 spielt eine grundlegende Rolle bei der Stärkung der Cybersicherheit in der EU, indem sie eng mit anderen Politiken und Vorschriften interagiert, um einen integrierten und kohärenten Ansatz für die Resilienz kritischer Infrastrukturen und wesentlicher Dienste zu schaffen. Um den vollständigen Text einzusehen, steht das offizielle Dokument der NIS2-Richtlinie zur Verfügung.

Häufig gestellte Fragen

  • Wenn mein Unternehmen bereits DORA unterliegt, muss ich mich dann trotzdem um die NIS2 sorgen?
  • Im Allgemeinen haben für Finanzunternehmen, die unter DORA fallen, die Bestimmungen von DORA Vorrang vor denen der NIS2 in Bezug auf das IKT-Risikomanagement und die Meldung von Vorfällen. Die NIS2 gilt jedoch weiterhin für Aspekte, die nicht von DORA abgedeckt sind, und die zuständigen Behörden beider Regime sind zur Koordinierung verpflichtet. Es ist ratsam, von Fall zu Fall zu prüfen, welche Verpflichtungen sich überschneiden und welche getrennt bleiben.
  • Was bedeutet es in der Praxis, gemäß der CER-Richtlinie als “kritische Einrichtung” identifiziert zu werden?
  • Einrichtungen, die von der CER-Richtlinie als kritisch eingestuft werden, fallen automatisch auch in den Anwendungsbereich der NIS2. Das bedeutet, dass sie sowohl die von der CER vorgesehenen Verpflichtungen zur physischen Resilienz als auch die von der NIS2 auferlegten Cybersicherheitsverpflichtungen erfüllen müssen. Die nationalen zuständigen Behörden der beiden Richtlinien sind zur Zusammenarbeit und zum Informationsaustausch über Risiken und Vorfälle verpflichtet.
  • Wie arbeiten die nationalen Behörden zwischen den verschiedenen regulatorischen Regimen konkret zusammen?
  • Die NIS2 sieht strukturierte Kooperationsmechanismen vor: Die NIS-Kooperationsgruppe trifft sich mindestens einmal jährlich mit der Gruppe für die Resilienz kritischer Einrichtungen (CER), während DORA-Behörden an den Diskussionen der NIS-Kooperationsgruppe teilnehmen können. Nationale CSIRTs und zentrale Anlaufstellen (SPOCs) dienen als operative Kanäle für den Informationsaustausch über Vorfälle und Bedrohungen zwischen verschiedenen Sektoren.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *