Serverraum mit grafischem Overlay eines Schlosses und verbundenen Linien
© sdecoret | stock.adobe.com

NIS 2 – Directive on measures for a high common level of cybersecurity across the Union

Einigung auf EU-Ebene

Lesedauer: 3 Minuten

Auf politischer Ebene haben sich Rat und Europäisches Parlament im Mai auf eine Neuregelung der Cybersicherheit in der EU geeinigt. Der Inhalt der neuen sogenannten NIS-2-Richtlinie (Directive on measures for a high common level of cybersecurity across the Union) liegt damit vor. Nach der Veröffentlichung im Amtsblatt der EU und Umsetzung in nationales Recht ist davon auszugehen, dass die neuen umfassenden Regelungen für Cybersicherheit für Unternehmen ab Herbst 2024 gelten.

Hier die Details:

Cybersicherheit in der EU und NIS 1

Im Jahr 2016 legte die Europäische Kommission ein neues Cybersicherheitspaket, das auf einer überarbeiteten Fassung der Strategie vor Cybersicherheit aus dem Jahr 2013 beruhte.  

Zentrale Maßnahme der Europäischen Cybersicherheitsstrategie ist die "NIS-Richtlinie" ( Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union). Sie zielt darauf ab, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der EU zu erreichen und ist die erste umfassende EU-weite Gesetzgebung im Bereich Cybersicherheit. Neben Behördenstrukturen und Einrichtung von Computer-Notfallteams werden unternehmensseitig Betreiber wesentlicher Dienste und Anbieter digitaler Dienste verpflichtet IT—Sicherheitsmaßnahmen einzuführen und schwerwiegende Störfälle zu melden.

Die Regelungen werden in Österreich durch das Netz- und Informationssystemsicherheitsgesetz (NISG) und eine entsprechende Verordnung (NISV) umgesetzt. Darüber hinaus existieren auf EU-Ebene für diesen Bereich noch die Durchführungsverordnung (EU) 2018/151 (EU-NIS-Df-VO).

Weitere Infos:

Anlaufstelle Netz- und Informationssystemsicherheitsgesetz des Bundeskanzleramtes

NIS 2 – Entstehungsgeschichte und Zeitplan

Im Zuge der rasanten Entwicklungen im Bereich Cybersicherheit zeigten sich bald die Schwächen von NIS 1 und die Notwendigkeit die Regelungen an die aktuellen Risken anzupassen.

Im Dezember 2020 veröffentlichte die Europäische Kommission einen Vorschlag zur Aufhebung der aktuellen NIS-Richtlinie und zur sogenannten NIS-2-Richtlinie. 

Im Mai 2022 war es soweit: Die Verhandlungen zwischen Kommission, Rat und Parlament wurden abgeschlossen, die weitere Gesetzwerdung ist nun noch ein Formalakt. Nach Inkrafttreten der Richtlinie haben die EU-Mitgliedsstaaten 21 Monate Zeit die Richtlinie national umsetzen. 

Regelungen von NIS 2

NIS 2 ist deutlich umfassender als NIS 1. Die neue Richtlinie umfasst wesentlich mehr Unternehmen, sieht mehr Pflichten und strengere Sanktionen vor um die Cybersicherheit in der EU zu stärken:

  1. Ausweitung der Sektoren - wer ist betroffen: 

    Die bestehenden 8 Sektoren von NIS 1 werden auf 16 Sektoren ausgeweitet.

    Betroffen sind daher Unternehmen folgender Sektoren:

    Wesentliche Einrichtungen:

    • Energie
    • Verkehr
    • Bankwesen
    • Finanzmarktinfrastrukturen
    • Gesundheitswesen
    • Trinkwasser
    • Abwasser (neu)
    • Digitale Infrastruktur
    • ICT-service Management B2B (neu)
    • öffentliche Verwaltung (neu)
    • Weltraum (neu)

    Wichtige Einrichtungen:

    • Post- und Kurierdienste (neu)
    • Abfallbewirtschaftung (neu)
    • Chemie (neu), Lebensmittel (neu)
    • verarbeitendes/herstellendes Gewerbe (neu)
    • Anbieter digitaler Dienste
    • research organisations (neu; fakultativ)
  2. Schwellenwerte: Betroffen sind alle medium und large enterprises der genannten Sektoren.  (Es gibt keine separaten Schwellenwerte für Betreiber mehr.)
  3. Ausnahme: Ausgenommen sind kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft. 

    Achtung: Folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

    • providers of public electronic communications networks or publicly available electronic communications services
    • trust service providers
    • top-level-domain registries and domain name system (DNS) service providers
    • Unternehmen, die alleiniger Anbieter eines Services in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
  4. Cyber Security: Unternehmen und Organisationen benötigen aktiv einen verbesserten Risikomanagementansatz. Auch Lieferketten und Abhängigkeiten von Partnerunternehmen müssen betrachtet und inkludiert werden.
  5. Meldepflichten: Bei significant incidents muss binnen 24 Stunden Frühwarnung und binnen 72 Stunden eine Einschätzung an die Behörde erfolgen.
  6. Sanktionen: Bei Nichterfüllung drohen Sanktionen bis zu EUR 10 Mio und 2% des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. EUR 7 Mio und 1,4% des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.
  7. Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft.

Was ist zu tun?

Die neuen Regelungen betreffen das aktive Risikomanagement und die Ausweitung auf weitere Unternehmen, um die Cybersicherheit EU-weit zu verbessern. Unternehmen sollten sich schon jetzt aktiv vorbereiten und die entsprechenden Maßnahmen in ihrem Unternehmen implementieren. Wir empfehlen dringend rechtzeitig Kontakt mit einem (internen oder externen) IT-Sicherheitsexperten aufzunehmen. Sollten Sie Unterstützung benötigen, finden Sie hier IT-Sicherheitsexpertinnen und -experten.

Stand: 29.06.2022