Kategorien
Produkthaftung Compliance IT-Sicherheit

NIS2-Richtlinie

Es ist so weit: Die NIS2-Richtlinie wird endlich kommen. Schon Ende des Jahres 2020 hatte man erkannt, dass die bisherige NIS-Richtlinie den Anforderungen nicht mehr hinreichend gewachsen ist und es wurde – entsprechend der Mitteilung über die Gestaltung der digitalen Zukunft Europas – die Überprüfung der Richtlinie bis Ende des Jahres 2020 beschleunigt, eine Folgenabschätzung durchgeführt und ein neuer Vorschlag vorgelegt.

Die Verhandlungen haben sich dann bis zum vergangenen Wochenende hingezogen, bis dann am 13.05.2022 der Berichterstatter des Europäischen Parlaments Bart Groothuis twitterte, dass man sich geeinigt habe und der dazu auch ein Interview gegeben hat:

NIS2-Richtlinie - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

NIS2: Mehr Cybersicherheit für Europa

Während die bisherige NIS-Richtlinie gewissermaßen die Grundfesten der IT-Sicherheit in der EU geschaffen hat, wird nun durch die nächste Version NIS2 ein Ausbau vorgenommen.

An erster Stelle steht dabei ein erweiterter Anwendungsbereich der bisher bestehenden NIS-Richtlinie, indem neue Sektoren auf der Grundlage ihrer Bedeutung für Wirtschaft und Gesellschaft hinzufügt werden – was bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Gleichzeitig wird den Mitgliedstaaten ein gewisser Spielraum gelassen, um kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil zu ermitteln.

Die bisher klare Unterscheidung zwischen kritischen Diensten und sonstigen Diensten wird voraussichtlich (und wohl nicht ganz zu Unrecht) verwässert werden. Damit werden aber auch die bisherigen gesetzgeberischen Intentionen, speziell zu Meldepflichten, zu überarbeiten sein. Die Meldepflichten der Art. 33, 34 nach Datenvorfällen orientieren sich an konkreten Gefährdungen – während sich die Meldepflichten der NIS, die sich im BSI-Gesetz widerspiegeln, an abstrakter Ausfallsicherheit orientieren. Ich prognostiziere schon länger, dass hier in absehbarer Zukunft eine Verschiebung stattfinden wird, was durch NIS2 sicherlich beschleunigt werden dürfte.

Wesentliche Änderungen durch NIS2

Neben der Erweiterung des Anwendungsbereichs gibt es einige Details, die man schon jetzt kennen sollte, da sie einen Ausblick darauf geben, was in der IT-Sicherheitspolitik auf die betroffenen Unternehmen zukommt:

  • Verschärft werden die Sicherheitsanforderungen für Unternehmen, indem ein Risikomanagementkonzept vorgeschrieben wird, das eine Mindestliste grundlegender Sicherheitselemente enthält, die angewandt werden müssen;
  • Es wird noch konkretere Bestimmungen über das Verfahren zur Meldung von Vorfällen, den Inhalt der Berichte und die Fristen geben;
  • Im Fokus wird die Sicherheit von Lieferketten und Lieferbeziehungen („Supply-Chain„) stehen. Ausgewählte Unternehmen werden verpflichtet, sich mit Cybersicherheitsrisiken in Lieferketten und Lieferbeziehungen zu befassen. Dies unter Berücksichtigung der Empfehlung der Kommission zur Cybersicherheit von 5G-Netzen;
  • Neu und mit Spannung im Detail zu erwarten sein sind die neuen Regelungen zur Sanktion: Es waren bereits strengere Aufsichtsmaßnahmen für die nationalen Behörden und strengere Durchsetzungsanforderungen vorgesehen. Nun ist, so wurde aus den Verhandlungen verlautbart, ein Bußgeld nach DSGVO-Vorbild bei Verstößen gegen Sicherungsmaßnahmen vorgesehen. NIS2 wird wohl insoweit einen Meilenstein darstellen, als dass nun endlich ein scharfes Schwert zur Durchsetzung einer IT-Sicherheitspolitik für die Behörden geschaffen wird;
  • Außerdem wird ein grundlegender Rahmen geschaffen, in dem zentrale Verantwortungen für die koordinierte Offenlegung neu entdeckter Sicherheitslücken in der EU und die Einrichtung eines EU-Registers, das von der Agentur der Europäischen Union für Cybersicherheit (ENISA) geschaffen werden;

Änderungen im Detail

Die Änderungen im Detail werden bei uns im Blog – in einem dann separaten und hier verlinkten Artikel – besprochen, sobald eine offizielle Vorlage existiert.

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)