Vorschriften zur Cybersicherheit sollen sicherstellen, dass kritische Branchen die sehr reale Bedrohung durch Cyberangriffe ernst nehmen. Die Europäische Union (EU) hat mit der Einführung der NIS2-Richtlinie einen wichtigen Schritt zur Stärkung ihres bestehenden Cybersicherheitsrahmens getan. Die am 14. Dezember 2022 verabschiedete Richtlinie zielt darauf ab, ein hohes gemeinsames Niveau der Cybersicherheit in der gesamten Union zu schaffen und die Mängel ihrer Vorgängerin, der Richtlinie (EU) 2016/1148 (NIS), zu beheben. Die Mitgliedstaaten haben die Aufgabe, die erforderlichen Maßnahmen bis zum 17. Oktober 2024 umzusetzen, wobei die Durchsetzung am nächsten Tag beginnt.
Hintergrund
Die NIS2-Richtlinie ist eine Reaktion auf die in der vorherigen NIS-Richtlinie festgestellten Mängel, die eine bahnbrechende Initiative der Europäischen Union zur Stärkung der Cybersicherheit in den Mitgliedstaaten darstellte. Die ursprünglich im Juli 2016 verabschiedete und im August 2016 umgesetzte Richtlinie zielte darauf ab, ein gemeinsames Niveau der Netz- und Informationssicherheit zu schaffen. Sie konzentrierte sich in erster Linie auf die Verbesserung der allgemeinen Widerstandsfähigkeit von Betreibern grundlegender Dienste und Anbietern digitaler Dienste und trug damit der Verflechtung kritischer Infrastrukturen im digitalen Zeitalter Rechnung.
Die erste NIS-Richtlinie war ein wichtiger Schritt, um die wachsende Bedrohung durch Cybervorfälle anzuerkennen und eine koordinierte und harmonisierte Reaktion der EU-Mitgliedstaaten auf diese Herausforderungen zu gewährleisten. Indem die NIS-Richtlinie die Identifizierung von Betreibern wesentlicher Dienste vorschrieb, Risikomanagementpraktiken förderte und die Meldung von Vorfällen vorschrieb, legte sie den Grundstein für einen kooperativen Ansatz zur Cybersicherheit innerhalb der Europäischen Union. Die sich entwickelnde Natur der Cyberbedrohungen erfordert jedoch einen umfassenden und anpassungsfähigen Rahmen für die Cybersicherheit, was das Europäische Parlament und den Rat dazu veranlasste, die umfassenderen Maßnahmen der NIS2 zu erlassen.
7 Wichtige Änderungen und Erweiterungen
Erweiterung des Geltungsbereichs
Die NIS2-Richtlinie erweitert ihren Anwendungsbereich, indem sie neue, für Wirtschaft und Gesellschaft wichtige Sektoren einbezieht. Es wird eine klare Größenbeschränkung eingeführt, die mittlere und große Unternehmen umfasst und den Mitgliedstaaten die Möglichkeit gibt, kleinere Unternehmen mit hohem Sicherheitsrisikoprofil zu ermitteln.
Klassifizierung von Entitäten
Im Gegensatz zum bisherigen Ansatz wird in der Richtlinie nicht mehr zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste unterschieden. Unternehmen werden nun in wesentliche und wichtige Kategorien eingeteilt, für die unterschiedliche Aufsichtsregelungen gelten.
Anforderungen an Sicherheit und Berichterstattung
Zur Verbesserung der Cybersicherheitsmaßnahmen schreibt die Richtlinie den Unternehmen einen Risikomanagementansatz vor. Es wird eine Mindestliste grundlegender Sicherheitselemente eingeführt, die von genauen Bestimmungen über die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen begleitet wird.
Supply Chain Security
In Anerkennung der kritischen Rolle von Lieferketten verpflichtet die Richtlinie die einzelnen Unternehmen, sich mit Cybersicherheitsrisiken in ihren Lieferketten und Lieferantenbeziehungen zu befassen. Auf europäischer Ebene wird ein verstärkter Ansatz zur Sicherung wichtiger Informations- und Kommunikationstechnologien verfolgt.
Sehen Sie, wie OPSWAT zur Sicherung der Lieferkette von Hitachi Energy beiträgt.
Aufsichtsmaßnahmen und Durchsetzung
Strengere Aufsichtsmaßnahmen für nationale Behörden, verschärfte Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in den Mitgliedstaaten sollen einen einheitlicheren und wirksameren Rahmen für die Durchsetzung der Cybersicherheit schaffen.
Zusammenarbeit und Informationsaustausch
Die Richtlinie stärkt die Rolle der Kooperationsgruppe bei der Gestaltung strategischer politischer Entscheidungen und fördert den verstärkten Informationsaustausch und die Zusammenarbeit zwischen den Behörden der Mitgliedstaaten. Die operative Zusammenarbeit, insbesondere beim Cyber-Krisenmanagement, ist ein Schwerpunkt.
Koordinierte Offenlegung von Schwachstellen
Mit der NIS2-Richtlinie wird ein grundlegender Rahmen für die koordinierte Offenlegung von Sicherheitslücken eingeführt, in den die verantwortlichen Hauptakteure in der gesamten EU eingebunden sind. Sie richtet ein EU-Register ein, das von der EU-Agentur für Cybersicherheit (ENISA) betrieben wird, um den Offenlegungsprozess zu erleichtern.
Eine Union mit mehr Secure
Die NIS2-Richtlinie stellt einen wichtigen Meilenstein im Engagement der EU für die Cybersicherheit dar. Durch die Behebung der Mängel ihrer Vorgängerin und die Anpassung an aktuelle Bedürfnisse schafft diese Richtlinie einen umfassenden Rahmen für Unternehmen und Organisationen, um sich in der komplexen und sich ständig verändernden Landschaft der Cyber-Bedrohungen zurechtzufinden.
Suchen Sie nach weiteren Informationen zur Einhaltung von Cybersicherheitsvorschriften? Erfahren Sie in unserem Blog mehr über die wichtigsten Vorschriften auf der ganzen Welt.
Was kommt als Nächstes?
Da die Frist für die Einhaltung der Vorschriften immer näher rückt, müssen Unternehmen und Organisationen über die Bestimmungen der NIS2-Richtlinie informiert sein. Die proaktive Annahme der skizzierten Maßnahmen wird nicht nur die Einhaltung der Vorschriften gewährleisten, sondern auch zu einem widerstandsfähigeren und sichereren digitalen Umfeld in der gesamten Europäischen Union beitragen.
Entdecken Sie, wie OPSWAT Lösungen von IT bis OT und alles dazwischen Ihrem Unternehmen helfen können, NIS2 und andere wichtige Vorschriften einzuhalten - sprechen Sie noch heute mit einem Experten.
