Die EU hat mit der zweiten Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) einen klaren Fahrplan für die Cybersicherheit vorgegeben. Im Jahr 2023 in Kraft getreten, müssen die Mitgliedsstaaten NIS 2 seit 17. Oktober 2024 in nationales Recht umsetzen. Dieser Schritt markiert eine dringende Reaktion auf die sich verändernde Cyberbedrohungslandschaft, insbesondere wenn wir uns an die Vorgängerin, NIS 1, erinnern.
NIS 1, eingeführt 2016, verpflichtete die EU-Mitgliedsstaaten, Betreiber "kritischer Dienste" zu identifizieren und spezifische Cybersecurity-Verfahren zu implementieren. Die nationalen Umsetzungen waren jedoch uneinheitlich und unterschiedlich, was zu einer variablen Anzahl von als kritisch eingestuften Unternehmen führte.
Die Zeiten haben sich geändert, und mit ihnen sind raffiniertere Cyberbedrohungen aufgetaucht. NIS 2 ist die Antwort der EU auf diese Herausforderungen und setzt klare Leitlinien, um Unternehmen vor den modernsten Bedrohungen zu schützen.
NIS 2 erweitert den Geltungsbereich über die bekannten Schlüsselunternehmen im Bereich kritischer Infrastrukturen hinaus. Wesentliche Einrichtungen, darunter Energie, Verkehr, Wasser, digitale Infrastruktur und mehr, müssen ihre Sicherheitsmaßnahmen verbessern und strengeren Standards entsprechen.
Unternehmen, die unter NIS 2 fallen, müssen selbstständig prüfen, ob die Richtlinie auf sie zutrifft. Die Dringlichkeit, sich auf die verschärften Anforderungen vorzubereiten, ist evident.
NIS 2 führt zu einer strengeren Meldepflicht für Sicherheitsvorfälle und verschärften Sanktionen. Die Bußgelder können erheblich sein, und Geschäftsführer haften möglicherweise mit ihrem Privatvermögen.
Links:
NIS-2-Richtlinie (PDF, deutsche Fassung aus dem Amtsblatt der Europäischen Union)
Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes NIS2UmsuCG