NIS2-Richtlinie auf den Weg gebracht (2021)

Bisher besteht die NIS-Richtlinie, die aktualisiert werden muss: Der Ausschuss für Industrie, Forschung und Energie (ITRE, „Committee on Industry, Research and Energy“) des EU-Parlaments hat nun am 28. Oktober 2021 den Vorschlag der NIS2-Richtlinie angenommen. Die NIS2-Richtlinie würde den Anwendungsbereich massiv erweitern, drastische Bußgelder einführen, Meldepflichten erhöhen und weitere Mindeststandards setzen.

Update: Die Verhandlungen sind abgeschlossen im Mai 2022, die NIS2-Richtlinie kommt!

Inhalte Anzeigen

Bisher geltende NIS-Richtlinie

Die bisher geltende NIS-Richtlinie („Cybersicherheitsrichtlinie“) wurde im Jahr 2017 erstellt. Die EU-Länder setzten sie jedoch unterschiedlich um und fragmentierten damit den Binnenmarkt, was zu einem unzureichenden Niveau der Cybersicherheit führte. Angesichts der hohen Bedrohungslage im Bereich der Cybersicherheit ist diese aktualisierte Gesetzgebung dringend erforderlich, so die Abgeordneten.

Überblick zur NIS2-Richtlinie

Der neue Gesetzentwurf würde strengere Cybersicherheitsverpflichtungen in Bezug auf Risikomanagement, Meldepflichten und Informationsaustausch festlegen. Mit dem am Donnerstag vom Industrieausschuss angenommenen Gesetzestext müssten die EU-Länder strengere Aufsichts- und Durchsetzungsmaßnahmen ergreifen und ihre Sanktionsregeln harmonisieren.

Im Vergleich zu den bestehenden Rechtsvorschriften würde die neue Richtlinie mehr Unternehmen und Sektoren dazu verpflichten, Maßnahmen zu ergreifen. „Wesentliche Sektoren“ wie Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt würden unter die neuen Sicherheitsbestimmungen fallen. Weiterhin würden die neuen Vorschriften auch sogenannte „wichtige Sektoren“ wie Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen, Kraftfahrzeuge und digitale Anbieter schützen. Alle mittleren und großen Unternehmen in ausgewählten Sektoren wären von den Rechtsvorschriften betroffen.

Konkret umfassen die Anforderungen unter anderem die Reaktion auf Zwischenfälle, die Sicherheit der Lieferkette, Verschlüsselung und die Offenlegung von Schwachstellen. Die Mitgliedstaaten könnten kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil ermitteln, während die Verantwortung für die Cybersicherheit auf die höchste Führungsebene übertragen würde.

Die Richtlinie schafft außerdem einen Rahmen für eine bessere Zusammenarbeit und einen besseren Informationsaustausch zwischen verschiedenen Behörden und Mitgliedstaaten und richtet eine europäische Datenbank für Sicherheitslücken ein.

Die NIS2-Richtlinie: ITRE-Ausschuss genehmigt neues Cybersicherheitsgesetz

Mit der NIS2-Richtlinie wird sich wieder viel verändern – der Schritt ist notwendig, wird die Anforderungen an das Vorgehen nach Sicherheitsvorfällen drastisch erhöhen und leider nur ein weiterer Zwischenschritt sein.

Ziele der NIS2-Richtlinie

Insgesamt setzt sich der Vorschlag für die NIS2-Richtlinie mehrere allgemeine Ziele:

Erhöhung der Cyber-Resilienz einer umfassenden Gruppe von Unternehmen, die in der Europäischen Union die in der Europäischen Union in allen relevanten Sektoren tätig sind, indem Regeln eingeführt werden, die sicherstellen, dass alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, verpflichtet sind, angemessene Cybersicherheitsmaßnahmen zu treffen.
Mit dem Vorschlag wird beispielsweise der Anwendungsbereich der aktuellen Richtlinie durch die Aufnahme neuer Sektoren wie Telekommunikation, soziale Medienplattformen und die öffentliche Verwaltung erweitert. Er sieht vor, dass alle mittleren und großen Unternehmen, die in den vom NIS2-Rahmen abgedeckten Sektoren tätig sind, automatisch die in dem Vorschlag enthaltenen Sicherheitsvorschriften einhalten müssen – sowie die Möglichkeit für die Mitgliedstaaten, die Anforderungen in wenigen Fällen anzupassen (so soll eine Fragmentierung wie bisher verhindert werden).
Mit der NIS2-Richtlinie wird die Unterscheidung zwischen OESs und digitalen DSPs aufgehoben, die derzeit in drei Kategorien unterteilt werden: Online-Marktplätze, Suchmaschinen und Cloud-Dienste Anbieter. Schließlich wird zum ersten Mal die Cybersicherheit der IKT-Lieferkette angesprochen (von besonderer Bedeutung im Falle des IoT).
Verringerung der Unstimmigkeiten bei der Widerstandsfähigkeit im gesamten Binnenmarkt in den Sektoren Sektoren, die bereits unter die Richtlinie fallen, durch eine weitere Angleichung i) des faktischen Anwendungsbereichs, ii) der Sicherheits- und Anforderungen an die Meldung von Zwischenfällen, iii) die Bestimmungen zur nationalen Aufsicht und Durchsetzung und iv) die Fähigkeiten der zuständigen Behörden der Mitgliedstaaten Behörden.
Der Vorschlag enthält eine Liste von sieben Schlüsselelementen, die alle Unternehmen als Teil der von ihnen getroffenen Maßnahmen, einschließlich der Reaktion auf Vorfälle, berücksichtigen oder umsetzen müssen. Hierzu gehören die Sicherheit der Lieferkette, Verschlüsselung und Offenlegung von Schwachstellen.
Darüber hinaus sieht der Vorschlag einen zweistufigen Ansatz für die Meldung von Vorfällen vor. Betroffene Unternehmen haben 24 Stunden nach Bekanntwerden eines Vorfalls Zeit, einen ersten Bericht zu übermitteln, gefolgt von einem Abschlussbericht spätestens einen Monat später.
Hinsichtlich der Durchsetzung wird eine Mindestliste von Verwaltungssanktionen festgelegt, wenn Verstöße gegen die in der NIS-Richtlinie festgelegten Regeln für das Risikomanagement im Bereich der Cybersicherheit oder gegen ihre Meldepflichten gemäß der NIS-Richtlinie verstoßen. Diese Sanktionen umfassen verbindliche Anweisungen, eine Anordnung zur Umsetzung der Empfehlungen eines Sicherheitsaudits, eine Anordnung um die Sicherheitsmaßnahmen mit den NIS-Anforderungen in Einklang zu bringen, sowie Verwaltungsstrafen
(bis zu 10 Millionen Euro oder 2 % des weltweiten Gesamtumsatzes der Unternehmen, je nachdem, welcher Betrag höher ist).