Richtlinie (EU) 2022/

Titel: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148
Kurztitel: NIS-2-Richtlinie
Geltungsbereich: EU
Rechtsmaterie: Informationssicherheit
Grundlage: AEUV, insbesondere Artikel 114
Datum des Rechtsakts: 14. Dezember 2022
Veröffentlichungsdatum: 27. Dezember 2022
Inkrafttreten: 16. Januar 2023
Anzuwenden ab: 18. Oktober 2024
Fundstelle: ABl. L 333, 27. Dezember 2022, S. 80–152
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten!

Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, abgekürzt NIS-2-Richtlinie, ist eine EU-Richtlinie, um das Niveau der Cyberresilienz in der Union zu stärken.

Sie hebt die Richtlinie (EU) 2016/1148 zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) zum 18. Oktober 2024 auf, die bereits ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union gewährleisten sollte.

Die Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) und die Richtlinie (EU) 2018/1972 (EECC-Richtlinie) werden geändert.

Begründung

Vor dem Hintergrund einer steigenden Abhängigkeit von digitalen Technologien zeigte die COVID 19 Pandemie auf, wie sensibel digitalisierte Gesellschaften auf unerwartete Risiken reagieren können. Im Zuge dessen prüfte die Europäische Kommission die bestehende NIS-Richtlinie und stellte folgende Kritikpunkte fest:

  • unzureichende Cyberresilienz von Unternehmen, die in der EU tätig sind,
  • inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren,
  • unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der Mitgliedstaaten,
  • fehlende gemeinsame Krisenreaktion.

Nach diversen Abstimmungsrunden wurde die finale NIS-2-Richtlinie am 14. Dezember 2022 von der EU-Kommission verabschiedet.

Inhalt

Die Richtlinie verpflichtet die Mitgliedstaaten zur Verabschiedung einer nationalen Cybersicherheitsstrategie. Ferner sind Nationale Computer Security Incident Response Teams (CSIRTs) zu benennen, die für den Umgang mit Risiken und Störungen zuständig sind. Ein sog. Single Point of Contact (SPoC) dient dazu, grenzüberschreitende Zusammenarbeit der Behörden der Mitgliedstaaten sicherzustellen.

Die NIS-2-Richtlinie stellt strengere Anforderungen als die bisherige NIS-Richtlinie an nationale Behörden und vereinheitlicht die Sanktionsmöglichkeiten in den Mitgliedstaaten. Mit der Richtlinie werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.

Umsetzung in Deutschland

Die Richtlinie muss bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Dazu hat das Bundesministerium des Innern und für Heimat im Juli 2023 einen Referentenentwurf vorgelegt. Hochrechnungen zur Folge werden ca. 30.000 deutsche Institutionen und Unternehmen davon betroffen sein. Das sind deutlich mehr als nach bisherigem Recht.

Ausweitung des Geltungsbereichs

Anders als in der aufgrund des BSI-Gesetzes zum Schutz kritischer Infrastrukturen erlassenen Rechtsverordnung von 2016 (BSI-KritisV) fallen zwar Kultur- und Medien, Öffentlicher Nahverkehr und Medizingroßhandel nicht in den Anwendungsbereich der NIS-2-Richtlinie, dafür kommen aber neue Bereiche wie Weltraum, Top-Level Domainregistrare und Vertrauensdienstanbieter hinzu. Der Zuwachs an betroffenen Institutionen erklärt sich in erster Linie damit, dass die aus der BSI-KritisV bekannten Schwellenwerte hier keine Anwendung mehr finden. Zudem gibt es mehrere Abstufungen; man unterscheidet hier sog. Essential Entities, also besonders wichtige Dienste von Important Entities. Für letztere gilt eine Größeneinteilung. So sind diese erst ab 50 Mitarbeitern oder mind. 10 Mio. Euro Jahresumsatz von der Richtlinie betroffen, während erstere unabhängig von der Größe der Institution unter die Richtlinie fallen. Für eine genauere Aufschlüsselung der Zugehörigkeiten wird auf verwiesen.

Umsetzung der Richtlinie in Institutionen

Die Umsetzung der Richtlinie verpflichtet betroffene Institutionen dazu, sich bei der European Union Agency for Cybersecurity zu registrieren, die nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ein Risikomanagement einzurichten und den Stand der Technik in IT Sicherheit zu implementieren. Es ist davon auszugehen, das bestehende Standards wie der IT-Grundschutz die ISO/IEC 27001 und der Kriterienkatalog Cloud Computing C5 wahrscheinlich nur einen Teil der Anforderungen aus NIS-2 abdecken werden und weitere technische- und organisatorische Maßnahmen zur Umsetzung der Richtlinie ergriffen werden müssen.

Einzelnachweise

  1. Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016
  2. Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) – FAQ. Abgerufen am 3. Oktober 2023.
  3. NIS-2-Richtlinie. Abgerufen am 3. Oktober 2023.
  4. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) vom 3. Juli 2023. Abgerufen am 3. Oktober 2023.
  5. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) vom 22. April 2016. Abgerufen am 3. Oktober 2023.
  6. NIS-2 - Anforderungen und Auswirkungen auf Unternehmen. Abgerufen am 3. Oktober 2023.
  7. EU NIS 2 Cybersecurity. openkritis.de, abgerufen am 3. Oktober 2023.
  8. IT-Grundschutz. Informationssicherheit mit System. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 4. Oktober 2023.
  9. Kriterienkatalog Cloud Computing C5. BSI, abgerufen am 4. Oktober 2023.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.