Gepostet am 25. Januar 2023 von
NIS 2-Richtlinie harmonisiert EU-weit Cybersicherheitsniveau
Risiko- und Sicherheitsvorfallmanagement gestärkt
Die Mitgliedsstaaten haben nun 21 Monate Zeit, die Richtlinie in nationales Recht zu überführen.
Durch die NIS 2 werden stringentere Überwachungs- und Durchsetzungsmaßnahmen eingeführt. Zudem nahmen die europäischen Gesetzgeber Verwaltungssanktionen in Form von Geldbußen für Verstöße gegen das Risikomanagement im Bereich der Cybersicherheit und gegen die Meldepflicht auf. Neu eingeführt wird ein europäisches Netz von Verbindungsstellen für Cyberkrisen (EU-CyCLONe) zur Unterstützung der koordinierten Bewältigung groß angelegter Vorfälle und Krisen im Bereich der Cybersicherheit auf EU-Ebene.
Die NIS 2-Novelle umfasst: “Verschärfte Sicherheitsanforderungen mit einer Liste von gezielten Maßnahmen, darunter die Behandlung von Zwischenfällen und Krisenmanagement, den Umgang mit Schwachstellen und deren Offenlegung, Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit, grundlegende Praktiken der Computerhygiene und Schulungen zur Cybersicherheit, den wirksamen Einsatz von Kryptografie sowie die Sicherheit von Mitarbeitern, Zugangskontrollmaßnahmen und die Verwaltung von Vermögenswerten.”
Scope der NIS 2
Die NIS 2 deckt elf Sektoren der Kategorie „essentiell“ und sieben Sektoren der Kategorie „wichtig“ ab, diese ähneln der KRITIS und den UBI (Unternehmen im besonderen öffentlichen Interesse), gehen aber über diese hinaus. Banken und Finanzmärkte werden als „essentiell“ eingestuft. Die neue NIS führt eine „size-cap rule“ ein, zur Identifizierung regulierter Unternehmen. Alle mittleren und großen Unternehmen der Sektoren der Richtlinie fallen in den regulierten Bereich. Als ein kleines Unternehmen wird ein solches kategorisiert, welches weniger als 50 Mitarbeiter und einen Jahresumsatz unter 10 Mio. Euro vorzuweisen hat. Die Mitgliedsstaaten sind flexibel bei der Identifizierung kleinerer Unternehmen mit hohem Risikoprofil. Die NIS 2 wird auch für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten.
Anpassung der NIS insbesondere an DORA
Die NIS 2 wurde an sektorspezifische Rechtsvorschriften angelehnt. Dies gilt besonders für die Verordnung über die digitale operative Betriebsstabilität digitaler Systeme des Finanzsektors (DORA – Digital Operational Resilience Act) und die Richtlinie über die Resilienz kritischer Einrichtungen (CER – Critical Entities Resilience Directive). Auf diese Weise will der EU-Gesetzgeber Rechtssicherheit und Kohärenz schaffen.
Meldung von Sicherheitsverletzungen
Wesentliche und wichtige Stellen müssen dem Netzwerk nationaler Reaktionsteams für IT-Sicherheitsvorfälle (CSIRT – National Computer Security Incident Response Team) erhebliche Sicherheitsverletzungen innerhalb von 24 Stunden erstmelden und innerhalb von 72 Stunden eine Zweitmeldung mit einer Analyse einbringen, nachdem der Vorfall bekannt wurde.
Einheitliche Sanktionsmaßnahmen definiert
Der Höchstbetrag von mindestens EUR 10 Mio. oder 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) im Rahmen einer Sanktion wurde für wesentliche Einrichtungen festgelegt. Wichtige Einrichtungen liegen bei Höchstbetrag von mindestens EUR 7 Mio oder bei 1,4 Prozent des weltweiten Umsatzes.