EU-RL NIS-2 NIS2 Umsetzungsgesetz
Stimmen aus der Presse:
| Zitat | Quelle |
|---|---|
| „Jetzt kommen die Cyber Gesetze“ | FAZ |
| „Cyber Sicherheit als Pflicht“ | Handelsblatt |
| „Mit NIS-2 wird die Cybersicherheit per Gesetz Chef:innensache“ | Tagesspiegel |
| „Wir erleben den Sicherheitsgurt-Moment in der Cybersicherheit“ | Heli Tiirmaa-Klaar, DSI-Direktorin an der ESMT |
Was ist NIS2?
Diese Übersicht bietet Einblicke in die zentralen Aspekte der NIS-2 Richtlinie. NIS-2 ist eine EU-Richtlinie, die das Hauptziel verfolgt, die Sicherheit von Netzwerken und Informationssystemen in kritischen Sektoren zu stärken. Ihr Schwerpunkt liegt auf der Erhöhung der Widerstandsfähigkeit von Diensten und Infrastrukturen gegenüber Cyberangriffen. Dabei wird angestrebt, einen einheitlichen Sicherheitsrahmen innerhalb der gesamten Europäischen Union zu etablieren. Die Umsetzung in Deutschland sowie der vorgegebene Zeitrahmen für die Umsetzung sind ebenfalls relevante Eckpunkte dieses Regelwerks.
| Aspekt | Beschreibung |
|---|---|
| Definition | EU-Richtlinie zur Stärkung der Netzwerksicherheit und Informationssysteme in kritischen Sektoren. |
| Schwerpunkt | Konzentration auf die Resilienz von Diensten und Infrastrukturen gegen Cyberangriffe. |
| Rahmen | Schaffung eines einheitlichen Rahmens für die Sicherheit in der gesamten Europäischen Union. |
| Deutsche Umsetzung | NIS2: Deutsche Umsetzung für Einrichtungen und Betreiber. |
| Gesetzlicher Zeitrahmen | Gesetze müssen im Oktober 2024 in Kraft treten. |
| Prüfung und Überwachung | Prüfungen Betreiber (KRITIS-Anlagen) Zyklus, dann alle drei Jahre. |
Warum ist NIS2 wichtig?
Warum NIS-2 von großer Bedeutung ist:
Die Dringlichkeit von NIS-2 ergibt sich aus mehreren entscheidenden Faktoren. Insbesondere die zunehmende Bedrohung durch Cyberangriffe auf kritische Infrastrukturen rückt in den Fokus. NIS-2 hat zum Ziel, die Stabilität der Wirtschaft und den Schutz der Bürger zu gewährleisten, indem es darauf abzielt, mögliche Auswirkungen von Sicherheitsvorfällen zu minimieren und sowohl die Bürger als auch die öffentliche Sicherheit sowie die Wirtschaft vor den Folgen von Cyberangriffen zu schützen. Des Weiteren trägt die Umsetzung von NIS-2 zur Schaffung einheitlicher Sicherheitsstandards in der gesamten Europäischen Union bei und stärkt das Vertrauen in digitale Dienste.
| Schlüsselpunkte | Bedeutung |
|---|---|
| Bedrohung durch Cyberangriffe | Zunehmende Bedrohung durch Cyberangriffe auf kritische Infrastrukturen. |
| Wirtschaftsstabilität und Bürgerschutz | Sicherstellung der Wirtschaftsstabilität und des Bürgerschutzes. |
| Schutz vor Cyberangriffen | Verringerung potenzieller Auswirkungen von Sicherheitsvorfällen auf wichtige Dienste und Systeme. |
| Wirtschaftliche Stabilität | Schutz vor Cyberangriffen, die die wirtschaftliche Stabilität gefährden. |
| Gewährleistung von Dienstkontinuität | Gewährleistung der Kontinuität von wichtigen Diensten. |
| Schutz der Bürger und der öffentlichen Sicherheit | Schutz der Bürger und der öffentlichen Sicherheit. |
| Bekämpfung von Cyberkriminalität | Bekämpfung von Cyberkriminalität. |
| EU-weite Vereinheitlichung | EU-weite Vereinheitlichung von Sicherheitsstandards. |
| Vertrauen in digitale Dienste | Förderung des Vertrauens in digitale Dienste. |
| Abbau bürokratischer Hürden für Unternehmen | Abbau bürokratischer Hürden für Unternehmen. |
| Zentrale Koordinationsstelle: ENISA | Einrichtung einer zentralen Koordinationsstelle: ENISA. |
| Einführung von IT-Security Verantwortung | Einführung von IT-Security Verantwortung. |
| Unionsweiter Strafenkatalog | Einführung eines unionsweiten Strafenkatalogs. |
| Betrachtung der (IT) Lieferkette | Betrachtung der (IT) Lieferkette. |
Überblick über die Anforderungen von NIS2
| Anforderung | Beschreibung |
|---|---|
| Nationale Umsetzungsgesetze in EU-Mitgliedstaaten | Nationale Umsetzungsgesetze in EU-Mitgliedstaaten. |
| Pflichten für Betreiber wesentlicher Dienste | Festlegung der Pflichten für Betreiber wesentlicher Dienste (OES) und Anbieter digitaler Dienste (DSP). |
| Sicherheitsvorkehrungen und Meldepflichten | Verpflichtende Sicherheitsvorkehrungen und Meldepflichten bei Sicherheitsvorfällen. |
| Rechtliche Verbindlichkeit | Rechtliche Verbindlichkeit der Sicherheitsstandards. |
| Verantwortlichkeiten für Betreiber | Festlegung der Verantwortlichkeiten für Betreiber. |
| Schutz kritischer Infrastrukturen | Schutz kritischer Infrastrukturen. |
| Meldepflicht für Sicherheitsvorfälle | Meldepflicht für Sicherheitsvorfälle. |
| Durchsetzung von Sicherheitsstandards | Durchsetzung von Sicherheitsstandards. |
| Vertrauensbildung und Transparenz | Vertrauensbildung und Transparenz. |
Was ist Relevant für NIS2
| Aspekt | Beschreibung |
|---|---|
| Neue Definition der Zugehörigkeit | Unternehmen > 50 Personen oder 10 Millionen € Umsatz/Bilanz. |
| Verantwortung von KRITIS Betreibern für ihre Lieferkette | Verantwortung von KRITIS Betreibern für ihre Lieferkette. |
Betroffene Unternehmensgrößen und Sektoren
| Unternehmensgröße | Beschreibung |
|---|---|
| Groß (Large) | Unternehmen mit mehr als 250 Beschäftigten oder einem Jahresumsatz von über 50 Millionen Euro oder einer Bilanzsumme von über 43 Millionen Euro. |
| Mittel (Medium) | Unternehmen mit 50 bis 249 Beschäftigten und einem Jahresumsatz zwischen 10 Millionen Euro und 50 Millionen Euro oder einer Bilanzsumme von weniger als 43 Millionen Euro. |
| Betroffene Sektoren |
|---|
| 1. Energie (Strom, Öl, Wasser, Wasserstoff) |
| 2. Gesundheit (Krankenhäuser, Labore, Forschung und Entwicklung, Pharmazeutika, Medizingerätehersteller) |
| 3. Verkehr (Luft, Schiene, Wasser, Straße) |
| 4. Banken und Finanzmärkte |
| 5. Wasser und Abwasser |
| 6. Digitale Infrastrukturen (IXPs, Cloud Provider, Rechenzentren, CDNs, TSPs, elektronische Kommunikation) |
| 7. Raumfahrt |
| 8. Öffentliche Verwaltung |
| 9. Post und Kurierdienste |
| 10. Abfallwirtschaft |
| 11. Chemische Produkte |
| 12. Lebensmittel |
| 13. Verarbeitende / herstellende Industrie |
| 14. Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) |
Essential-Sektoren
| Sektor |
|---|
| Energie (Strom, Öl, Wasser, Wasserstoff) |
| Gesundheit (Krankenhäuser, Labore, Forschung und Entwicklung, Pharmazeutika, Medizingerätehersteller) |
| Verkehr (Luft, Schiene, Wasser, Straße) |
| Banken und Finanzmärkte |
| Wasser und Abwasser |
| Digitale Infrastrukturen (IXPs, Cloud Provider, Rechenzentren, CDNs, TSPs, elektronische Kommunikation) |
| Raumfahrt |
| Öffentliche Verwaltung |
Important-Sektoren im Rahmen der NIS-2 Richtlinie:
| Sektor |
|---|
| Post und Kurierdienste |
| Abfallwirtschaft |
| Chemische Produkte |
| Lebensmittel |
| Verarbeitende / herstellende Industrie |