Blogbeitrag
04.01.2023

Am 27. Dezember 2022 ist die RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) im Amtsblatt der Europäischen Union veröffentlicht worden.

Ziel der novellierten Richtlinie

Ziel der Richtlinie zur Netzwerk- und Informationssicherheit (NIS) war der Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit und zum reibungslosen Funktionieren der Wirtschaft und Gesellschaft beizutragen.

Mit der novellierten EU-Richtlinie (NIS-2) wird insbesondere das Ziel verfolgt, die großen Unterschiede zwischen den Mitgliedstaaten zu beseitigen,

  • indem insbesondere Mindestvorschriften für einen funktionierenden und koordinierten Rechtsrahmen festgelegt werden,
  • Mechanismen für die wirksame Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliederstaaten vorgesehen werden,
  • die Liste der Sektoren und Tätigkeiten, die Pflichten im Hinblick auf die Cybersicherheit unterliegen, aktualisiert wird und
  • wirksame Abhilfemaßnahmen und Durchsetzungsmaßnahmen, die für die wirksame Durchsetzung dieser Verpflichtungen von entscheidender Bedeutung sind, eingeführt werden.

Anwendungsbereich

Betroffen sind unter anderem Sektoren mit hoher Kritikalität:

  • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff),
  • Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr),
  • Bankenwesen,
  • Finanzmarktinfrastruktur,
  • Gesundheitswesen,
  • Trinkwasser,
  • Abwasser,
  • Digitale Infrastruktur,
  • Verwaltung von IKT-Diensten (Business-to-Business),
  • öffentliche Verwaltung,
  • Raumfahrt

sowie folgende sonstige kritische Sektoren:

  • Post- und Kurierdienste,
  • Abfallbewirtschaftung,
  • Produktion, Herstellung und Handel mit chemischen Stoffen,
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln,
  • Verarbeitendes Gewerbe / Herstellung von Waren (Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, elektrischen Ausrüstungen, Kraftwagen und Kraftwagenteilen, Maschinenbau, sonstiger Fahrzeugbau),
  • Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Plattformen für Dienste sozialer Netzwerke),
  • Forschungseinrichtungen.

Wesentliche einhergehende Änderungen im Bereich Cybersicherheit

Neben der Berücksichtigung der neuen Meldepflichten bei erheblichen Cybersicherheitsvorfällen (unverzügliche Meldung innerhalb 24 Stunden nach Kenntnisnahme; Berichterstattung und erste Bewertung des Sicherheitsvorfalls einschließlich seines Schweregrads und seiner Auswirkungen sowie ggf. Kompromittierungsindikatoren), sind Anpassungen an den Risikomanagementmaßnahmen im Bereich der Cybersicherheit vorzunehmen.

Die Mindestanforderungen an die Risikomanagementmaßnahmen umfassen:

  • die Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  • die Bewältigung von Sicherheitsvorfällen,
  • die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall und Krisenmanagement,
  • die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  • die Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
  • die Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  • das grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  • die Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung,
  • die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen sowie
  • die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Anwendungszeitpunkt

Die neue Richtlinie wird voraussichtlich am 16. Januar 2023 in Kraft treten, die Umsetzung in nationales Recht hat innerhalb der folgenden 21 Monaten zu erfolgen. Mit NIS-2 steigt die Anzahl der durch die Richtlinie regulierten Unternehmen sowie die Pflicht weitere Themen der Netz- und Informationssicherheit, insbesondere der Risikomanagementmaßnahmen im Bereich der Cybersicherheit betreffend, umzusetzen.

zurück