ISGroup Cybersicherheitsberatung

Wie unterscheidet sich die NIS2-Richtlinie von der NIS1-Richtlinie?

Die NIS2-Richtlinie stellt eine bedeutende Weiterentwicklung gegenüber der NIS1-Richtlinie dar. Wenn Sie verstehen möchten, was das Hauptziel der NIS2-Richtlinie ist, ist es hilfreich, zunächst die strukturellen Unterschiede zum vorherigen Rahmenwerk zu betrachten.

[Callforaction-NIS2]

Hier ist eine Analyse der wichtigsten Unterschiede:

Erweiterter Anwendungsbereich und Größenschwellenwerte

  • Die NIS2-Richtlinie erweitert die Anzahl der Sektoren und Einrichtungen, die ihren Cybersicherheitsvorschriften unterliegen, erheblich. Während sich die NIS1 auf sieben kritische Sektoren konzentrierte, erweitert die NIS2 den Geltungsbereich auf elf Sektoren, die als „hochkritisch“ gelten, und fügt sieben weitere „kritische Sektoren“ hinzu. Diese Ausweitung spiegelt die zunehmende Digitalisierung und Vernetzung verschiedener Bereiche sowie deren Auswirkungen auf die Wirtschaft und Gesellschaft der EU wider.
  • Darüber hinaus führt die NIS2 einen Größenschwellenwert ein, der vorschreibt, dass alle mittleren und großen Unternehmen in den benannten Sektoren ihre Vorschriften einhalten müssen. Diese Änderung gewährleistet einen umfassenderen Ansatz für die Cybersicherheit, da anerkannt wird, dass Bedrohungen von Unternehmen jeder Größe ausgehen können. Die Mitgliedstaaten behalten jedoch die Flexibilität, auch kleinere Einrichtungen mit potenziell hohen Risikoprofilen zu identifizieren und einzubeziehen.

Klassifizierung von Einrichtungen und Aufsichtsregime

  • Die NIS2 schafft die bisherige Unterscheidung zwischen „Betreibern wesentlicher Dienste“ und „Anbietern digitaler Dienste“ ab. Stattdessen implementiert sie ein schlankeres Klassifizierungssystem, das auf der Bedeutung der Einrichtung basiert: „wesentliche Einrichtungen“ und „wichtige Einrichtungen“. Diese Kategorisierung ermöglicht gezieltere und angemessenere Aufsichtsregime und richtet die behördliche Aufsicht an den potenziellen Auswirkungen von Cybersicherheitsvorfällen aus.

Gestärkte und vereinfachte Sicherheits- und Meldepflichten

  • Die NIS2 fördert eine größere Kohärenz und Strenge bei Sicherheitsmaßnahmen und der Meldung von Vorfällen zwischen den Mitgliedstaaten und beseitigt damit eine erhebliche Einschränkung der NIS1-Richtlinie. Die Richtlinie schreibt einen risikobasierten Ansatz vor, der eine Mindestbasis grundlegender Sicherheitselemente definiert, die alle Unternehmen übernehmen müssen. Dazu gehören das Vorfallmanagement, die Sicherheit der Lieferkette, das Schwachstellenmanagement und die Offenlegung sowie die Verwendung von Kryptografie (und Verschlüsselung, wo anwendbar). Für Organisationen, die ihren Anpassungsprozess strukturieren oder überprüfen müssen, kann eine Unterstützung bei der NIS2-Compliance helfen, Lücken gegenüber den Mindestanforderungen zu identifizieren und notwendige Maßnahmen zu planen.
  • Die Richtlinie führt einen mehrstufigen Ansatz für die Meldung von Vorfällen ein, der ein Gleichgewicht zwischen zeitnaher Meldung und gründlicher Analyse herstellt. Unternehmen haben nun 24 Stunden Zeit, um eine erste „Frühwarnung“ an das CSIRT (Computer Security Incident Response Team) oder die zuständige nationale Behörde zu übermitteln, sobald ein Vorfall erkannt wurde. Eine detaillierte Meldung muss innerhalb von 72 Stunden folgen, gefolgt von einem Abschlussbericht innerhalb eines Monats nach dem Vorfall.

Stärkung der Durchsetzung und des Sanktionsregimes

  • In Anerkennung der inkonsistenten Anwendung der in der NIS1 vorgesehenen Sanktionen etabliert die NIS2 einen robusteren und harmonisierten Rahmen für Sanktionen in allen Mitgliedstaaten. Sie führt eine Mindestliste administrativer Sanktionen für die Nichteinhaltung der Verpflichtungen zum Risikomanagement und zur Meldung ein, darunter:
    • Verbindliche Anweisungen
    • Verpflichtende Umsetzung der Empfehlungen aus Sicherheitsaudits
    • Anordnungen zur Anpassung der Sicherheitsmaßnahmen an die NIS2-Anforderungen
    • Administrative Geldbußen

Stärkung der Zusammenarbeit und des Informationsaustauschs

  • Die NIS2 stärkt die strategische und operative Zusammenarbeit zwischen den Mitgliedstaaten, da sie die zunehmende Vernetzung von Cyberbedrohungen und die Notwendigkeit einer koordinierten Reaktion erkennt. Sie erweitert die Rolle der Kooperationsgruppe, was solidere strategische politische Entscheidungen und einen Informationsaustausch zwischen den nationalen Cybersicherheitsbehörden erleichtert.
  • Sie stärkt das CSIRT-Netzwerk und verbessert die operative Zusammenarbeit zwischen den nationalen CSIRTs, um schnelle und wirksame Reaktionen auf grenzüberschreitende Vorfälle zu gewährleisten. Darüber hinaus richtet die NIS2 das EU-CyCLONe (European Cyber Crisis Liaison Organisation Network) ein, das eine entscheidende Rolle bei der Koordinierung des Managements großflächiger Cybersicherheitsvorfälle und -krisen in der gesamten EU spielt.

Fokus auf die Sicherheit der Lieferkette

  • Die NIS2 befasst sich mit einem entscheidenden Aspekt der Cybersicherheit, der in früheren Vorschriften oft vernachlässigt wurde: der Sicherheit der Lieferkette. Sie schreibt vor, dass einzelne Unternehmen Cyberrisiken innerhalb ihrer Lieferketten und Lieferantenbeziehungen angehen müssen. Darüber hinaus ermöglicht sie es den Mitgliedstaaten, in Zusammenarbeit mit der Kommission und der ENISA koordinierte Risikobewertungen der Sicherheit kritischer Lieferketten auf EU-Ebene durchzuführen, basierend auf dem Modell, das für die Cybersicherheit von 5G-Netzen verwendet wird.

Koordinierte Offenlegung von Schwachstellen und EU-Schwachstellendatenbank

  • Um einen proaktiveren Ansatz für die Cybersicherheit zu fördern, schafft die NIS2 einen Rahmen für die koordinierte Offenlegung von Schwachstellen, an der wichtige Interessengruppen in der gesamten EU beteiligt sind. Dieser Rahmen ermöglicht die verantwortungsvolle Meldung und Verwaltung neu entdeckter Schwachstellen in IKT-Produkten und -Diensten. Darüber hinaus sieht die NIS2 die Einrichtung einer von der ENISA verwalteten EU-Schwachstellendatenbank vor, die Informationen über öffentlich bekannte Schwachstellen zentralisiert, um das allgemeine Bewusstsein und die Vorbereitung im Bereich der Cybersicherheit zu verbessern.

Häufig gestellte Fragen

  • Woher weiß ich, ob mein Unternehmen in den NIS2-Anwendungsbereich fällt?
  • Der Anwendungsbereich hängt vom Tätigkeitssektor und der Größe der Organisation ab. Die NIS2 gilt grundsätzlich für mittlere und große Unternehmen in den von der Richtlinie aufgeführten „hochkritischen“ und „kritischen“ Sektoren. In Italien verwaltet die ACN (Nationale Cybersicherheitsagentur) den Registrierungs- und Meldeprozess: Sie können die ACN-Hinweise zur NIS2-Liste und den Compliance-Fristen einsehen, um die für Ihre Organisation geltenden Kriterien zu prüfen.
  • Was ist der praktische Unterschied zwischen einer „wesentlichen Einrichtung“ und einer „wichtigen Einrichtung“?
  • Die Unterscheidung betrifft nicht nur die Bezeichnung: Wesentliche Einrichtungen unterliegen einer strengeren Ex-ante-Aufsicht, während wichtige Einrichtungen hauptsächlich Ex-post kontrolliert werden. Die maximal anwendbaren Sanktionen unterscheiden sich zwischen den beiden Kategorien. Der vollständige Text der Richtlinie kann im offiziellen Dokument der NIS2-Richtlinie eingesehen werden.
  • Was passiert, wenn ein Unternehmen einen Vorfall nicht innerhalb der vorgeschriebenen Fristen meldet?
  • Die Nichtmeldung innerhalb der festgelegten Fristen (Frühwarnung innerhalb von 24 Stunden, detaillierte Meldung innerhalb von 72 Stunden) setzt die Organisation den in der NIS2 vorgesehenen administrativen Sanktionen aus. Dazu gehören verbindliche Anweisungen, Anpassungsanordnungen und in schwerwiegenderen Fällen erhebliche Geldbußen. Die Einhaltung der Meldefristen ist eine der Verpflichtungen, die von den zuständigen Behörden überprüft werden.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *