Neuerungen durch NIS2
Die Richtlinie über die Netz- und Informationssicherheit (NIS) ist die erste EU-weite Rechtsvorschrift zur Cybersicherheit, deren spezifisches Ziel es war, ein hohes gemeinsames Niveau der Cybersicherheit in den Mitgliedstaaten zu erreichen.
Während sie die Kapazitäten der Mitgliedstaaten im Bereich der Cybersicherheit erhöhte, erwies sich ihre Umsetzung als schwierig, was zu einer Fragmentierung auf verschiedenen Ebenen des Europäischen Binnenmarktes führte. Um auf die wachsenden Bedrohungen im Zusammenhang mit der Digitalisierung und die Zunahme von Cyberangriffen zu reagieren, hat die Kommission einen Vorschlag zur Ersetzung der NIS-Richtlinie vorgelegt und dadurch die Sicherheitsanforderungen verschärft, die Sicherheit der Lieferketten behandelt, die Meldepflichten vereinheitlicht und strengere Aufsichtsmaßnahmen sowie strengere Durchsetzungsvorschriften, einschließlich EU-weit harmonisierter Sanktionen, eingeführt.
Die NIS2 Bestimmungen definieren neue kritische Sektoren (wie u.a. Raumfahrt, Pharma, Post & Kurierdienste) welche von NIS nicht oder nur teilweise betroffen waren. Darüber hinaus unterscheidet NIS2 zwischen wesentlichen und wichtigen Betreibern.
Konkret sieht das Bild der kritischen Sektoren gemäß NIS2 wie folgt aus:
Am 13. Mai 2022 einigten sich der Rat und das Europäische Parlament auf die NIS2 Neuerungen. Bevor die Vereinbarung in Kraft treten kann, muss sie noch vom Europäischen Parlament und vom Rat genehmigt werden. Nach ihrer Verabschiedung wird die NIS2 Richtlinie die derzeitige Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS)ersetzen.
Die Mitgliedstaaten haben ab dem Inkrafttreten der Richtlinie 21 Monate Zeit, um die Bestimmungen in ihr nationales Recht zu übernehmen.
Die Neuerungen der NIS2 werden beitragen, das Niveau der Cybersicherheit in Europa längerfristig zu erhöhen, da mehr Einrichtungen und Sektoren dadurch verpflichtet werden Maßnahmen zu ergreifen.
Die wesentlichen und wichtigen Betreiber sollen angemessene und verhältnismäßige technische und organisatorische Maßnahmen zum Management der Risiken für die Sicherheit von Netz- und Informationssystemen ergreifen.
Die geforderten Maßnahmen umfassen:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
- Prozesse zum Umgang mit Vorfällen (Vorbeugung, Erkennung und Reaktion auf Vorfälle)
- Vorkehrungen iZm. Geschäftskontinuität und Krisenmanagement
- Verfahren in Bezug auf die Sicherheit der Lieferkette
- Prozesse zur Sicherheit bei Erwerb, Entwicklung und Instandhaltung von Netzwerk- und Informationssystemen einschließlich Handhabung und Offenlegung von Schwachstellen;
- Erstellung der Richtlinien und Verfahren (Testen und Auditieren) zur Bewertung der Wirksamkeit von Maßnahmen zur Verwaltung des Cybersicherheitsrisikos
- Prozesse für die Verwendung von Kryptografie und Verschlüsselung
Die Nichteinhaltung der Vorschriften durch die Betreiber kann in Form von Bußgeldern – Strafen von zumindest EUR 10 Mio., bzw. wenn höher, 2% des weltweiten Umsatzes für das vergangene Geschäftsjahr – und persönliche Haftung für die Leitungsorgane bestraft werden.
Die Implementierung der Maßnahmen erfordert einen intensiven Ressourceneinsatz, weshalb der Beginn der Umsetzung noch vor der Übernahme der NIS2 Bestimmungen ins nationale Recht empfohlen wird. Hierbei können Sie die Experten von Certitude sowohl bei der operativen Umsetzung der NIS2 Maßnahmen als auch bei der Überprüfung der ordnungsgemäßen Berücksichtigung der Bestimmungen in den Prozessen und Verfahren der Organisation unterstützen.