ISGroup Cybersicherheitsberatung

Was sind die Schlüsselelemente der NIS2-Richtlinie zur Behebung der Mängel der vorherigen NIS-Richtlinie?

Die NIS2-Richtlinie wurde entwickelt, um die Cybersicherheit in der Europäischen Union zu stärken und verschiedene Lücken zu schließen, die in der ursprünglichen NIS-Richtlinie identifiziert wurden.

[Callforaction-NIS2]

Hier sind die Schlüsselelemente der NIS2 und wie sie auf diese Mängel reagieren:

  1. Erweiterung des Anwendungsbereichs:
  • Breitere Abdeckung von Sektoren und Einheiten: Die NIS2 erweitert den Geltungsbereich, indem sie weitere Sektoren einbezieht, die für Wirtschaft und Gesellschaft als entscheidend erachtet werden. Während sich die NIS1 auf sieben kritische Sektoren konzentrierte, umfasst die NIS2 zusätzliche Bereiche, um dem zuvor beobachteten „unzureichenden Niveau der Cyber-Resilienz von Unternehmen in der EU“ entgegenzuwirken.
  • Schwellenwert basierend auf der Unternehmensgröße: Die Richtlinie führt eine Größenregelung ein, die vorschreibt, dass alle mittleren und großen Unternehmen in den ausgewählten Sektoren die Anforderungen erfüllen müssen. Dies stellt sicher, dass Einheiten mit einer signifikanten digitalen Präsenz und potenziellen Auswirkungen für ihre Cybersicherheitslage verantwortlich sind.
  • Abschaffung der Unterscheidung zwischen OES und DSP: Die NIS2 hebt die Unterscheidung zwischen Betreibern wesentlicher Dienste (OES) und Anbietern digitaler Dienste (DSP) auf und klassifiziert Einheiten stattdessen als „wesentlich“ oder „wichtig“, mit unterschiedlichen Aufsichtsniveaus. Dies vereinfacht die Kategorisierung und fördert einen kohärenteren Ansatz bei der Aufsicht.
  1. Gestärkte Sicherheitsanforderungen:
  • Risikomanagement-Ansatz: Die NIS2 führt einen risikobasierten Ansatz ein und schreibt eine Mindestliste grundlegender Sicherheitselemente vor, die alle betroffenen Unternehmen umsetzen müssen.
  • Standardisierung von Sicherheitsmaßnahmen: Dies umfasst das Incident-Management, die Sicherheit der Lieferkette, das Schwachstellenmanagement und die Offenlegung von Schwachstellen sowie den Einsatz von Verschlüsselung. Durch die Festlegung einer gemeinsamen Basis für Cybersicherheitsmaßnahmen zielt die NIS2 darauf ab, Inkonsistenzen bei der Umsetzung der Sicherheitsanforderungen unter der NIS1 zu korrigieren.
  1. Verbesserte Meldung von Sicherheitsvorfällen:
  • Mehrstufiger Meldeprozess:
    • Frühwarnung: Unternehmen haben 24 Stunden Zeit, um nach Kenntniserlangung eines Vorfalls eine erste Meldung an die zuständigen Behörden zu senden. Dieses Frühwarnsystem ermöglicht schnellere Reaktionszeiten.
    • Vorfallmeldung: Innerhalb von 72 Stunden muss eine detailliertere Meldung des Vorfalls erfolgen.
    • Abschlussbericht: Ein vollständiger Abschlussbericht ist innerhalb eines Monats nach dem Vorfall erforderlich.
  • Ausgleich zwischen Schnelligkeit und Vollständigkeit: Dieser strukturierte Ansatz zielt darauf ab, die Notwendigkeit eines schnellen Informationsaustauschs mit der Bedeutung einer gründlichen Analyse und dem Lernen aus Vorfällen in Einklang zu bringen.
  1. Strengere Aufsicht und Durchsetzung:
  • Verstärkte Aufsichtsmaßnahmen: Die NIS2 bietet eine Mindestliste von Aufsichtsinstrumenten für nationale Behörden, darunter Audits, Vor-Ort-Inspektionen, Informationsanfragen und Zugang zu Dokumentationen.
  • Differenzierte Aufsicht: Sie implementiert unterschiedliche Aufsichtsniveaus für „wesentliche“ und „wichtige“ Einheiten, was einen gezielteren und verhältnismäßigeren Ansatz gewährleistet.
  • Harmonisierte Sanktionen: Sie schafft einen Rahmen für konsistente Sanktionen in der gesamten EU bei Verstößen gegen die Richtlinie, einschließlich einer Mindestliste administrativer Sanktionen, die die Größe der Einheit und die Schwere des Verstoßes berücksichtigen.
  1. Gestärkte Zusammenarbeit:
  • Gestärkte Rolle der NIS-Kooperationsgruppe: Die NIS2 stärkt die Rolle der NIS-Kooperationsgruppe bei der Erleichterung der strategischen Entscheidungsfindung, des Informationsaustauschs und der Koordinierung zwischen den Mitgliedstaaten im Bereich der Cybersicherheit.
  • Verbesserung des CSIRT-Netzwerks: Ziel ist es, die operative Zusammenarbeit innerhalb des CSIRT-Netzwerks zu verbessern, indem der schnelle Informationsaustausch und koordinierte Reaktionen auf Cybersicherheitsvorfälle gefördert werden, insbesondere bei grenzüberschreitenden Auswirkungen. Um mehr über die spezifischen Verpflichtungen im Zusammenhang mit dem CSIRT zu erfahren, ist es hilfreich, auch die Verpflichtung zur Benennung eines CSIRT-Ansprechpartners für NIS-Subjekte zu lesen.
  • Einrichtung von EU-CyCLONe: Die Schaffung von EU-CyCLONe, einem europäischen Netzwerk für Cyber-Krisenverbindungen, ist eine bedeutende Ergänzung der NIS2, die speziell darauf ausgelegt ist, die Vorbereitung und Reaktion der EU auf großflächige Cybersicherheitsvorfälle und -krisen zu verbessern.

Die NIS2-Richtlinie stellt einen bedeutenden Fortschritt in der Cybersicherheitsstrategie der EU dar. Indem sie die Mängel der NIS1 behebt und sich an die sich entwickelnde Bedrohungslandschaft anpasst, zielt die NIS2 darauf ab, ein sichereres und widerstandsfähigeres digitales Umfeld für Unternehmen und Bürger in der gesamten Europäischen Union zu schaffen. Wenn Ihr Unternehmen in den Anwendungsbereich der Richtlinie fällt, ist die Bewertung Ihres Compliance-Niveaus der erste konkrete Schritt: Der NIS2-Compliance-Pfad von ISGroup begleitet Unternehmen von der Gap-Analyse bis zur Umsetzung der geforderten Maßnahmen. Um zu verstehen, wo Ihr Unternehmen im Hinblick auf die ACN-Fristen steht, können Sie auch die Liste der NIS2-Subjekte und die ACN-Hinweise zum 31. März konsultieren.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *