Die NIS2-Richtlinie legt eine Reihe grundlegender Cybersicherheitsanforderungen für Unternehmen fest, die in ihren Anwendungsbereich fallen. Die folgende Antwort erläutert einige dieser zentralen Anforderungen.

[Callforaction-NIS2]

Wichtigste Cybersicherheitsanforderungen der NIS2-Richtlinie

• Risikomanagement: Gemäß der NIS2-Richtlinie müssen die Mitgliedstaaten sicherstellen, dass als „wesentlich“ oder „wichtig“ eingestufte Einrichtungen technische, operative und organisatorische Maßnahmen ergreifen, um die Cybersicherheitsrisiken ihrer Netz- und Informationssysteme zu bewältigen. Dieser Risikomanagement-Ansatz gilt sowohl für die internen Betriebsabläufe der Einrichtungen als auch für die Erbringung ihrer Dienstleistungen. Die Cybersicherheits-Risikomanagementmaßnahmen müssen unter anderem Folgendes umfassen:
  • Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme;
  • Umgang mit Vorfällen;
  • Betriebskontinuität (z. B. Backup-Management und Datenwiederherstellung im Katastrophenfall) sowie Krisenmanagement;
  • Sicherheit der Lieferkette;
  • Richtlinien und Verfahren für den Einsatz von Kryptographie (und Verschlüsselung, wo anwendbar).
• Meldung von Vorfällen: Die NIS2-Richtlinie verpflichtet Einrichtungen dazu, „erhebliche Vorfälle“ „ohne schuldhaftes Zögern“ an das nationale Computer Security Incident Response Team (CSIRT) oder die zuständige nationale Behörde zu melden. Ein „erheblicher Vorfall“ ist definiert als ein Ereignis, das „eine erhebliche Störung bei der Erbringung eines wesentlichen Dienstes verursacht hat oder verursachen kann“. Für NIS-pflichtige Stellen ist die Benennung eines CSIRT-Ansprechpartners eine der operativen Pflichten, die nicht vernachlässigt werden darf.
• Aufsichtsmaßnahmen: Die zuständigen Behörden jedes Mitgliedstaats sind damit beauftragt, die Einrichtungen zu beaufsichtigen, die unter die NIS2-Richtlinie fallen. Zu diesem Zweck stattet die Richtlinie diese Behörden mit verschiedenen Aufsichtsinstrumenten aus, darunter:
  • Regelmäßige und gezielte Audits;
  • Vor-Ort-Kontrollen und Fernprüfungen;
  • Informationsanfragen; und
  • Zugang zu Dokumenten und anderen Beweismitteln.
• Durchsetzung der Vorschriften: Die NIS2-Richtlinie harmonisiert die Sanktionsregime für Einrichtungen, die ihren Verpflichtungen nicht nachkommen. Sie legt eine Mindestliste an Verwaltungssanktionen für Verstöße gegen die Risikomanagement- und Meldepflichten fest. Diese Sanktionen umfassen:
  • Verbindliche Anweisungen;
  • Anordnungen zur Umsetzung der Empfehlungen aus einem Sicherheitsaudit;
  • Anordnungen zur Anpassung der Sicherheitsmaßnahmen an die Anforderungen der NIS2-Richtlinie; und
  • Verwaltungssanktionen.

Gleichwertigkeit mit sektorspezifischen Rechtsakten

Es ist wichtig zu beachten, dass die NIS2-Richtlinie einen Grundsatz der „Gleichwertigkeit“ mit bestehenden und zukünftigen sektorspezifischen EU-Rechtsakten enthält, die Cybersicherheit zum Gegenstand haben.

• Nach diesem Grundsatz gelten die Cybersicherheitsbestimmungen der NIS2-Richtlinie nicht für Einrichtungen, die bereits sektorspezifischen Cybersicherheitsverpflichtungen nach EU-Recht unterliegen, sofern die betreffenden Verpflichtungen mindestens gleichwertig mit denen der NIS2-Richtlinie sind.
• Um festzustellen, ob solche sektorspezifischen Verpflichtungen gleichwertig sind, muss bewertet werden, ob sie Maßnahmen zur Gewährleistung der Sicherheit von „Netz- und Informationssystemen“ enthalten. Dieser Begriff ist in der NIS2-Richtlinie recht weit gefasst und umfasst:
  • Elektronische Kommunikationsnetze;
  • Jedes Gerät oder jede Gruppe miteinander verbundener oder zusammenhängender Geräte, von denen eines oder mehrere mittels eines Programms die automatische Verarbeitung digitaler Daten ausführen; und
  • Digitale Daten, die über diese Netze oder Geräte zu Zwecken des Betriebs, der Nutzung, des Schutzes und der Wartung gespeichert, verarbeitet, abgerufen oder übertragen werden.
• Bei der Bestimmung der Gleichwertigkeit ist auch zu berücksichtigen, ob die Risikomanagementmaßnahmen des sektorspezifischen Rechtsakts die physische und umgebungsbezogene Sicherheit der Netz- und Informationssysteme berücksichtigen und sie vor Bedrohungen schützen, wie etwa:
  • Systemausfälle;
  • Menschliches Versagen;
  • Bösartige Handlungen; oder
  • Naturereignisse.

Die Europäische Kommission hat Leitlinien veröffentlicht, die verdeutlichen, wie dieser Grundsatz der Gleichwertigkeit anzuwenden ist. Beispielsweise hat die Kommission erklärt, dass die sektorspezifischen Cybersicherheitsverpflichtungen im Digital Operational Resilience Act (DORA) denen der NIS2-Richtlinie gleichwertig sind und folglich die Cybersicherheitsbestimmungen der NIS2 nicht für Einrichtungen gelten, die unter DORA fallen. Die Mitgliedstaaten sind jedoch weiterhin verpflichtet, die Bestimmungen der NIS2-Richtlinie in Bezug auf folgende Punkte auf Einrichtungen anzuwenden, die in den Anwendungsbereich von DORA fallen:

• Nationale Pläne zur Reaktion auf Cybersicherheitsvorfälle und -krisen;
• EU-CyCLONe; und
• Nationale Cybersicherheitsstrategien.

Anwendungsbereich der NIS2-Richtlinie

Die NIS2-Richtlinie gilt sowohl für öffentliche als auch für private Einrichtungen. Sie deckt Einrichtungen aus einer Vielzahl von Sektoren ab, darunter:

• Energie;
• Verkehr;
• Bankwesen;
• Finanzmarktinfrastrukturen;
• Gesundheitswesen (einschließlich der Herstellung von Arzneimitteln);
• Trinkwasser;
• Abwasser;
• Digitale Infrastrukturen;
• Verwaltung von IKT-Diensten;
• Öffentliche Verwaltung;
• Weltraum;
• Post- und Kurierdienste;
• Abfallwirtschaft;
• Chemikalien;
• Lebensmittel;
• Herstellung von medizinischen Geräten, Computern, Elektronik, Maschinen, Ausrüstungen, Kraftfahrzeugen, Anhängern und Aufliegern sowie sonstigen Transportmitteln;
• Digitale Anbieter (einschließlich Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke); und
• Forschungseinrichtungen.

Im Allgemeinen fallen nur mittlere und große Unternehmen in diesen Sektoren unter die NIS2-Richtlinie. Die Mitgliedstaaten haben jedoch die Befugnis, die Verpflichtungen der Richtlinie auch auf kleinere Einrichtungen anzuwenden, die ein hohes Risikoprofil aufweisen. Um zu verstehen, ob Ihre Organisation in den Anwendungsbereich fällt und welche Maßnahmen konkret erforderlich sind, ist es hilfreich, auch die Hinweise zu ACN und der NIS2-Liste der verpflichteten Stellen zu konsultieren. Wer bereits geprüft hat, ob er betroffen ist, kann den Anpassungsprozess mit der Unterstützung zur Einhaltung der NIS2-Richtlinie durch ISGroup vertiefen.

[Callforaction-NIS2-Footer]