ISGroup Cybersicherheitsberatung

Wie definiert die NIS2-Richtlinie „wesentliche“ und „wichtige“ Einrichtungen und wie wirkt sich dies auf deren Meldepflichten aus?

Die NIS2-Richtlinie etabliert ein zweistufiges System zur Klassifizierung der in ihren Anwendungsbereich fallenden Einrichtungen: wesentliche Einrichtungen und wichtige Einrichtungen. Diese Klassifizierung, die auf der wahrgenommenen Bedeutung der Einrichtung und den potenziellen Auswirkungen auf wesentliche Dienste und die Gesellschaft basiert, beeinflusst direkt deren Cybersicherheitsverpflichtungen, einschließlich der Meldung von Vorfällen. Für eine vertiefende Analyse des regulatorischen Rahmens steht das offizielle Dokument der NIS2-Richtlinie zur Verfügung.

[Callforaction-NIS2]

Wesentliche Einrichtungen

  • Definition: Die NIS2-Richtlinie bietet eine facettenreiche Definition von “wesentlichen Einrichtungen”, die verschiedene Kategorien umfasst:
  • Einrichtungen gemäß Anhang I, die die Größenschwelle für mittlere Unternehmen gemäß der Empfehlung 2003/361/EG überschreiten. Anhang I umfasst Sektoren, die als “hochkritisch” eingestuft werden, wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastrukturen.
  • Spezifische Einrichtungen unabhängig von ihrer Größe, darunter qualifizierte Vertrauensdiensteanbieter, Registrare für Top-Level-Domain-Namen, DNS-Dienstanbieter sowie Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste.
  • Einrichtungen der öffentlichen Verwaltung auf zentraler Regierungsebene, wie sie durch das nationale Recht jedes Mitgliedstaats definiert sind.
  • Jede andere Einrichtung, die in den Anhängen I oder II aufgeführt ist (die “weitere kritische Sektoren” enthalten), die ein Mitgliedstaat auf der Grundlage der in Artikel 2(2)(b-e) dargelegten Kriterien als wesentlich einstuft. Diese Kriterien prüfen, ob eine Unterbrechung der Dienste der Einrichtung Folgendes bewirken könnte:
    • Erhebliche Auswirkungen auf die öffentliche Sicherheit, die nationale Sicherheit oder die öffentliche Gesundheit.
    • Ein erhebliches systemisches Risiko, insbesondere in Sektoren mit potenziellem grenzüberschreitendem Einfluss.
    • Aufgrund der besonderen Bedeutung der Einrichtung in diesem Sektor oder Dienstleistungsbereich erhebliche Auswirkungen auf kritische soziale oder wirtschaftliche Aktivitäten auf nationaler oder regionaler Ebene.
  • Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als “kritisch” eingestuft sind.
  • Einrichtungen, die vor dem 16. Januar 2023 gemäß der Richtlinie (EU) 2016/1148 oder nationalem Recht von einem Mitgliedstaat als Betreiber wesentlicher Dienste identifiziert wurden.
  • Meldepflichten: Wesentliche Einrichtungen unterliegen einem strengeren Aufsichtsregime und sind verpflichtet, alle in der NIS2-Richtlinie dargelegten Anforderungen zur Meldung von Vorfällen zu erfüllen. Dies umfasst:
  • Frühwarnung: Bereitstellung einer Warnmeldung an das CSIRT oder die zuständige Behörde innerhalb von 24 Stunden, nachdem sie Kenntnis von einem erheblichen Vorfall erlangt haben.
  • Vorfallmeldung: Übermittlung einer detaillierteren Meldung innerhalb von 72 Stunden.
  • Abschlussbericht: Bereitstellung eines vollständigen Berichts innerhalb von einem Monat nach der Meldung des Vorfalls.

Wichtige Einrichtungen

  • Definition: Die NIS2-Richtlinie definiert “wichtige Einrichtungen” als solche, die zu den in den Anhängen I oder II aufgeführten Sektoren gehören, aber nicht als wesentliche Einrichtungen klassifiziert sind. Diese Kategorie umfasst Einrichtungen, die von den Mitgliedstaaten auf der Grundlage der oben genannten Kriterien aus Artikel 2(2)(b-e) als wichtig eingestuft wurden.
  • Meldepflichten: Obwohl wichtige Einrichtungen den Anforderungen der NIS2-Richtlinie zur Meldung von Vorfällen unterliegen, unterliegen sie einem weniger strengen Aufsichtsregime als wesentliche Einrichtungen. Zudem ist das Niveau der Verwaltungssanktionen bei Verstößen gegen die Meldepflichten niedriger als das für wesentliche Einrichtungen vorgesehene.

Auswirkungen der Klassifizierung

Die Einstufung einer Einrichtung als “wesentlich” oder “wichtig” hat erhebliche Auswirkungen auf ihre Cybersicherheitsverpflichtungen gemäß der NIS2-Richtlinie:

  • Aufsichtsmaßnahmen: Wesentliche Einrichtungen unterliegen strengeren und proaktiveren Aufsichtsmaßnahmen durch die zuständigen Behörden als wichtige Einrichtungen. Dies umfasst regelmäßige Audits, Inspektionen vor Ort und Informationsanfragen.
  • Durchsetzung von Sanktionen: Die NIS2-Richtlinie legt einen Rahmen für Sanktionen bei Nichteinhaltung fest. Während beide Kategorien für Verstöße bestraft werden können, drohen wesentlichen Einrichtungen höhere Verwaltungssanktionen, was ihr größeres potenzielles Risiko für Gesellschaft und Wirtschaft widerspiegelt.
  • Verantwortlichkeit: Die Richtlinie betont die individuelle Verantwortung in Führungspositionen sowohl bei wesentlichen als auch bei wichtigen Einrichtungen, um sicherzustellen, dass auf organisatorischer Ebene eine Rechenschaftspflicht für die ergriffenen Cybersicherheitsmaßnahmen besteht.

Im Wesentlichen erkennt das zweistufige System der NIS2-Richtlinie die unterschiedlichen Risikostufen und potenziellen Auswirkungen an, die mit den verschiedenen in kritischen Sektoren tätigen Einrichtungen verbunden sind. Durch die Klassifizierung als “wesentlich” oder “wichtig” wendet die Richtlinie einen verhältnismäßigen Ansatz für Cybersicherheitsverpflichtungen an: Zu verstehen, in welche Kategorie die eigene Organisation fällt, ist der erste konkrete Schritt zur Festlegung eines strukturierten NIS2-Compliance-Pfads.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *