ISGroup Cybersicherheitsberatung

NIS2-Richtlinie: Wie wird sie bewertet?

Die NIS2-Richtlinie setzt neue Standards für die Cybersicherheit, doch wie werden die betroffenen Akteure bewertet? Unternehmen müssen strengere Kriterien erfüllen, aber welche Kontrollparameter werden dabei angewendet? Das Verständnis des Bewertungsprozesses ist entscheidend, um sich auf die neuen Regeln vorzubereiten und Sanktionen zu vermeiden. Für Organisationen, die gerade einen Weg zur NIS2-Konformität einschlagen, ist die Kenntnis der in der Richtlinie vorgesehenen Kontrollmechanismen der erste konkrete Schritt.

[Callforaction-NIS2]

NIS2-Richtlinie: Die regelmäßige Überprüfung durch die Europäische Kommission

Die Europäische Kommission ist damit beauftragt, die Funktionsweise der Richtlinie zu untersuchen und dem Europäischen Parlament sowie dem Rat einen Bericht vorzulegen. Die erste Überprüfung ist für den 17. Oktober 2027 vorgesehen, danach folgen Überprüfungen alle 36 Monate. Diese Revision wird die Auswirkungen der Richtlinie bewerten, Verbesserungsbereiche identifizieren und die Notwendigkeit möglicher legislativer Vorschläge prüfen.

  • Peer-Reviews: Die NIS2-Richtlinie führt einen Mechanismus für freiwillige Peer-Reviews zwischen den Mitgliedstaaten ein. Diese Überprüfungen zielen darauf ab, die Cybersicherheitskapazitäten der Mitgliedstaaten sowie die Richtlinien zur Umsetzung der Richtlinie zu bewerten und zu verbessern. Die Kooperationsgruppe definiert unter Unterstützung der Kommission und der ENISA die Methodik und die organisatorischen Aspekte dieser Überprüfungen.
    • Die Peer-Reviews konzentrieren sich auf verschiedene Aspekte, darunter die Umsetzung von Risikomanagementmaßnahmen im Bereich Cybersicherheit, Prozesse zur Meldung von Vorfällen, die Kapazitäten der zuständigen Behörden und CSIRTs, Vereinbarungen zur gegenseitigen Unterstützung, Mechanismen zum Informationsaustausch sowie grenzüberschreitende oder sektorübergreifende Problematiken.
    • Die Ergebnisse dieser Überprüfungen liefern Hinweise auf die Wirksamkeit der Umsetzung der Richtlinie in den Mitgliedstaaten und identifizieren potenzielle Verbesserungsbereiche.
  • Berichte der Kooperationsgruppe: Die Kooperationsgruppe setzt sich aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA zusammen. Sie ist für die Erstellung von Berichten verantwortlich, die auf den auf strategischer Ebene gesammelten Erfahrungen und den Peer-Reviews basieren. Diese Berichte werden an die Kommission, das Europäische Parlament und den Rat übermittelt und tragen zur Gesamtbewertung der Wirksamkeit der Richtlinie bei.
  • Berichte zum Stand der Cybersicherheit: Die ENISA ist verpflichtet, in Zusammenarbeit mit der Kommission und der Kooperationsgruppe einen zweijährlichen Bericht über den Stand der Cybersicherheit in der EU zu veröffentlichen. Dieser Bericht bewertet verschiedene Aspekte der Cybersicherheit, darunter:
    • Cybersicherheitsrisiken auf EU-Ebene unter Berücksichtigung der Bedrohungslage.
    • Entwicklung der Cybersicherheitskapazitäten im öffentlichen und privaten Sektor.
    • Bewusstsein der Bürger und Unternehmen für Cybersicherheit und Cyber-Hygiene.
    • Aggregierte Ergebnisse der Peer-Reviews.
    • Aggregiertes Reifegradniveau der Cybersicherheitskapazitäten und -ressourcen in der EU, einschließlich spezifischer Sektoren, sowie der Grad der Angleichung der nationalen Cybersicherheitsstrategien der Mitgliedstaaten.
    Diese Berichte liefern wertvolle Daten und Erkenntnisse über den allgemeinen Stand der Cybersicherheitslage der EU und die Auswirkungen der NIS2-Richtlinie.
  • Berichte des CSIRT-Netzwerks: Das CSIRT-Netzwerk, das für die operative Zusammenarbeit zwischen den nationalen CSIRTs verantwortlich ist, muss die Fortschritte in der operativen Zusammenarbeit bewerten und alle zwei Jahre einen Bericht erstellen. Der erste Bericht wird ab dem 17. Januar 2025 erstellt. Dieser Bericht, der an die Kooperationsgruppe übermittelt wird, bewertet die Fortschritte auf der Grundlage der Peer-Reviews der nationalen CSIRTs und enthält Schlussfolgerungen und Empfehlungen. Der Bericht trägt dazu bei, die Wirksamkeit der operativen Zusammenarbeit und der durch die Richtlinie eingeführten Mechanismen zur Reaktion auf Vorfälle zu verstehen.
  • Bewertungsbericht von EU-CyCLONe: EU-CyCLONe, das zur Unterstützung des koordinierten Managements von großflächigen Cyber-Vorfällen und -Krisen eingerichtet wurde, legt dem Europäischen Parlament und dem Rat einen Bewertungsbericht vor. Der erste Bericht ist für den 17. Juli 2024 geplant, weitere Berichte folgen alle 18 Monate. Dieser Bericht liefert Erkenntnisse über die Wirksamkeit der Mechanismen für das Cyber-Krisenmanagement auf EU-Ebene.

Durch die Kombination von Daten und Erkenntnissen aus diesen verschiedenen Quellen beabsichtigt die EU, die Wirksamkeit der NIS2-Richtlinie bei der Erreichung ihrer Ziele zur Verbesserung der Cybersicherheit in der gesamten Union umfassend zu bewerten.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *