ISGroup Cybersicherheitsberatung

Überblick über die NIS-2-Richtlinie

Die NIS-2-Richtlinie legt Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union fest. Diese Richtlinie zielt darauf ab, das Funktionieren des Binnenmarktes durch die Anhebung der Cybersicherheitsstandards zu verbessern. Wenn Sie verstehen möchten, was das Hauptziel der NIS2-Richtlinie ist, finden Sie dazu eine ausführliche Erläuterung in unserer Knowledge Base.

[Callforaction-NIS2]

Anwendungsbereich der Richtlinie

Die NIS-2-Richtlinie gilt für eine breite Palette von Einrichtungen, die als wesentlich oder wichtig eingestuft werden. Dazu gehören unter anderem:

  • Wesentlich Einrichtungen: Spezifiziert in Anhang I, tätig in Sektoren, die für Wirtschaft und Gesellschaft entscheidend sind. Sie überschreiten die Schwelle für mittlere Unternehmen. Beispiele sind:
  • Stromversorger
  • Wasserversorger
  • Krankenhäuser
  • Anbieter digitaler Dienste wie Online-Marktplätze und Suchmaschinen.
  • Wichtige Einrichtungen: Dargelegt in den Anhängen I und II, tätig in Sektoren, die als weniger kritisch als wesentliche Einrichtungen gelten. Es ist wichtig zu beachten, dass diese Kategorie Einrichtungen umfasst, die gemäß der Richtlinie (EU) 2022/2557 als kritisch identifiziert wurden. Beispiele sind:
  • Post- und Kurierdienste
  • Unternehmen der Lebensmittelverarbeitung und -verteilung
  • Forschungsorganisationen

Der Geltungsbereich der Richtlinie erstreckt sich auf Einrichtungen, die Dienste zur Registrierung von Domainnamen erbringen, unabhängig von ihrer Größe. Zudem haben die Mitgliedstaaten die Freiheit, die NIS-2-Richtlinie auf folgende Bereiche anzuwenden:

  • Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene
  • Bildungseinrichtungen, insbesondere solche, die in kritischen Forschungsaktivitäten tätig sind.

Wichtige Bestimmungen der NIS-2-Richtlinie

  • Nationale Cybersicherheitsstrategien: Die Mitgliedstaaten sind verpflichtet, nationale Cybersicherheitsstrategien zu entwickeln. Diese Strategien legen die Prioritäten und Ziele zur Verbesserung der Cybersicherheit innerhalb des Mitgliedstaats sowie den Governance-Rahmen zur Erreichung dieser Ziele fest.
  • Meldung von Vorfällen: Sowohl wesentliche als auch wichtige Einrichtungen sind verpflichtet, erhebliche Cybersicherheitsvorfälle an ihr zuständiges CSIRT (Computer Security Incident Response Team) oder die zuständige Behörde zu melden. Die Richtlinie sieht einen mehrstufigen Ansatz für die Meldung von Vorfällen vor:
  • Frühwarnung: Einrichtungen müssen eine Frühwarnung abgeben, in der Regel innerhalb von 24 Stunden, nachdem sie von einem erheblichen Vorfall Kenntnis erlangt haben.
  • Vorfallmeldung: Eine detailliertere Meldung des Vorfalls, einschließlich einer ersten Bewertung, ist in der Regel innerhalb von 72 Stunden erforderlich.
  • Abschlussbericht: Ein Abschlussbericht, der eine detaillierte Analyse und Minderungsmaßnahmen enthält, muss innerhalb eines Monats nach der Meldung des Vorfalls eingereicht werden.
  • Risikomanagementmaßnahmen: Wesentliche und wichtige Einrichtungen sind verpflichtet, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umzusetzen. Für Organisationen, die ihren Anpassungsprozess strukturieren oder überprüfen müssen, bietet die NIS2-Compliance-Unterstützung von ISGroup Begleitung bei der Gap-Analyse und der Implementierung der erforderlichen Maßnahmen. Diese Maßnahmen umfassen unter anderem:
  • Risikoanalyse und Sicherheitspolitik für Informationssysteme
  • Umgang mit Vorfällen
  • Betriebskontinuität und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheit der Humanressourcen
  • Aufsichtsmaßnahmen: Die NIS-2-Richtlinie gibt den zuständigen Behörden die Befugnis, wesentliche und wichtige Einrichtungen zu beaufsichtigen, um die Einhaltung sicherzustellen. Für wesentliche Einrichtungen umfassen diese Aufsichtsmaßnahmen:
  • Vor-Ort-Inspektionen
  • Sicherheitsaudits
  • Erteilung verbindlicher Anweisungen
  • Durchsetzungsmaßnahmen: Im Falle der Nichteinhaltung sieht die NIS-2-Richtlinie eine Reihe von Durchsetzungsmaßnahmen vor, darunter:
  • Verwaltungssanktionen
  • Öffentliche Rügen
  • Vorübergehende Aussetzung der Tätigkeiten oder Entzug von Rechten

Verhältnis zu sektorspezifischen Rechtsvorschriften

Die NIS-2-Richtlinie erkennt an, dass spezifische EU-Sektorvorschriften Cybersicherheitsverpflichtungen auferlegen können. Wenn diese Verpflichtungen eine Wirkung haben, die mindestens derjenigen der NIS-2-Richtlinie entspricht, gelten die entsprechenden Bestimmungen der Richtlinie, einschließlich derjenigen zur Aufsicht und Durchsetzung, nicht für diese Einrichtungen.

Zum Beispiel:

Die NIS-2-Richtlinie gilt nicht für Finanzinstitute, die unter die Verordnung (EU) 2022/2554 fallen. Dies liegt daran, dass diese Verordnung gleichwertige, wenn nicht sogar umfassendere Bestimmungen zur digitalen operativen Resilienz im Finanzsektor enthält. Dennoch sind die Mitgliedstaaten weiterhin verpflichtet, Finanzinstitute einzubeziehen, wenn sie Cybersicherheitsvorfälle großen Ausmaßes betrachten und nationale Reaktionspläne entwickeln.

Für Organisationen, die in den NIS2-Anwendungsbereich fallen und ihre Position in Bezug auf die von der ACN verwaltete Liste der NIS2-Subjekte noch überprüfen müssen, ist es hilfreich, auch die operativen Hinweise zur Benennung des CSIRT-Ansprechpartners zu konsultieren, eine der von der Richtlinie geforderten Pflichten.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *