Die NIS-2-Richtlinie: Stärkung der Cyber-Resilienz in allen Sektoren der EU

Cyberbedrohungen werden immer allgegenwärtiger und raffinierter. Um diesen Bedrohungen entgegenzuwirken, hat die EU mehrere Maßnahmen ergriffen, um die Cybersicherheit in kritischen Sektoren zu harmonisieren und zu stärken und so eine sicherere und widerstandsfähigere digitale Wirtschaft zu schaffen. Für den Finanzsektor der Digital Operational Resilience Act (DORA) wurde eingeführt, um die betriebliche Widerstandsfähigkeit von Finanzunternehmen zu gewährleisten. Für andere kritische Sektoren wurde die NIS-2-Richtlinie umgesetzt, um die Cybersicherheit zu verbessern und die Reaktion auf Vorfälle und die Zusammenarbeit in der gesamten EU zu verbessern. Zusammen zielen diese Initiativen darauf ab, die digitale Infrastruktur zu schützen, die für Europas Wirtschaft und Gesellschaft unverzichtbar ist.

Melissa Parsons

An article from

Melissa Parsons
Technischer Redakteurin
Published
June 18, 2024
Updated
December 9, 2024
Reading time
minutes
NIS-2-Richtlinie - C-Risk

Stärkung der EU-weiten Cybersicherheit und Widerstandsfähigkeit

Das Richtlinie über Netzwerk- und Informationssicherheit (NIS2) zielt darauf ab, die Cybersicherheitskapazitäten von in Europa tätigen Organisationen zu verbessern. Die Richtlinie skizziert drei Hauptpfeiler, die Organisationen und Mitgliedstaaten dabei unterstützen werden, das Cybersicherheitsrisikomanagement zu verbessern, die Berichterstattung über Vorfälle zu verbessern und die grenzüberschreitende Kommunikation über Cyberbedrohungen und -maßnahmen zu erleichtern.

 

Der Europäische Rechnungshof veröffentlichte 2019 einen Brief in dem zehn Herausforderungen behandelt wurden, mit denen die EU bei der Schaffung einer Cybersicherheitspolitik für Europa konfrontiert ist. Eine der Herausforderungen betraf Lücken im EU-Recht und dessen ungleichmäßige Umsetzung. Durch NIS 2 werden einige der Lücken in NIS 1 wirksamer behoben, indem eine stärker präskriptive Version der ursprünglichen Richtlinie herausgegeben wird.

 

NIS 2 verbessert die vorherige NIS-Richtlinie, indem es die Messlatte für den Schutz kritischer Infrastrukturen in den EU-Ländern höher legt, die Anzahl der betroffenen Sektoren erweitert und Bußgelder für Verstöße festlegt.

 

Die drei Säulen der NIS-2-Richtlinie

Risikomanagement im Bereich Cybersicherheit

Organisationen müssen umfassende Risikomanagementmaßnahmen ergreifen. Dazu gehören die Durchführung regelmäßiger Risikobewertungen, die Umsetzung geeigneter Sicherheitsrichtlinien und die Sicherstellung, dass sowohl technische als auch organisatorische Maßnahmen zur Bewältigung und Minderung potenzieller Cybersicherheitsbedrohungen getroffen werden. Ziel ist es, einen proaktiven Cybersicherheitsansatz zu entwickeln, bei dem Risiken identifiziert und angegangen werden, bevor sie erheblichen Schaden anrichten können.

 

Meldung von Vorfällen

Die rechtzeitige und genaue Meldung von Cybersicherheitsvorfällen ist im Rahmen von NIS 2 von entscheidender Bedeutung. Unternehmen müssen wichtige Vorfälle umgehend den zuständigen Behörden melden, um sicherzustellen, dass die Reaktionen sowohl auf nationaler als auch auf EU-Ebene wirksam koordiniert werden können. In dieser Säule werden Transparenz und Rechenschaftspflicht betont, was dazu beiträgt, die Auswirkungen von Cybervorfällen zu mildern und eine Kultur der Wachsamkeit und Vorsorge zu fördern.

 

Teilen von Informationen

Die Richtlinie fördert einen verbesserten Informationsaustausch zwischen dem öffentlichen und dem privaten Sektor sowie zwischen verschiedenen Organisationen innerhalb desselben Sektors. Durch den Austausch von Bedrohungsinformationen, bewährten Verfahren und Erkenntnissen aus früheren Vorfällen können Unternehmen eine kollektive Abwehr gegen Cyberbedrohungen aufbauen. Dieser kollaborative Ansatz zielt darauf ab, die allgemeine Widerstandsfähigkeit zu verbessern und eine besser informierte und vernetzte Cybersicherheitsgemeinschaft zu schaffen.

 

NIS2: Wichtige Phasen der Entwicklung und Durchsetzung

Die Macht einer Richtlinie in der EU

In der EU gibt es verschiedene Arten von Gesetzgebungsakten, und die Unterschiede sind wichtig, um zu verstehen, wie sie angewendet und durchgesetzt werden.

 

NIS 2 ist eine EU vom Europäischen Parlament und vom Rat angenommene Richtlinie im November 2022 und gilt für Organisationen, die in Europa tätig sind.

 

Innerhalb der EU ist eine „Richtlinie“ ein Gesetzgebungsakt, der „ein Ziel festlegt, das die EU-Länder erreichen müssen“. Dies erfolgt im Rahmen des Umsetzungsprozesses, bei dem es sich um einen „Prozess der Umsetzung von EU-Richtlinien in das nationale Recht der EU-Mitgliedstaaten“ handelt.

 

Im Gegensatz zu einer Verordnung gilt eine Richtlinie nicht unmittelbar in allen Mitgliedstaaten. Vielmehr verpflichtet sie jeden Mitgliedstaat, die Maßnahmen der Richtlinie innerhalb einer bestimmten Frist in nationales Recht umzusetzen. Für NIS 2 ist die Frist für die Umsetzung der Richtlinie der 17. Oktober 2024.

 

Der Umsetzungsprozess wird von der Europäischen Kommission überwacht. Die Kommission wird bestätigen, dass jeder Mitgliedstaat die erforderliche Frist für die Umsetzung der neuen Richtlinie in nationales Recht eingehalten hat und dass der Text der neuen nationalen Rechtsvorschriften den Zielen der Richtlinie entspricht.

 

Wenn ein Mitgliedstaat die Umsetzungsfrist nicht einhält, kann die Kommission gegen den Mitgliedstaat eine Geldbuße oder eine Sanktion verhängen.

 

Während Regierungen in ganz Europa neue Gesetze ausarbeiten, bereiten sich Unternehmen, die in Europa in Sektoren tätig sind, die unter die Kategorien „wesentlich“ oder „wichtig“ der NIS-2-Richtlinie fallen, darauf vor, die auf dem Text der Richtlinie beruhenden Konformitätsanforderungen zu erfüllen.

Die Einhaltung gesetzlicher Vorschriften ist nur der erste Schritt zur digitalen betrieblichen Widerstandsfähigkeit

C-Risk kann Ihnen helfen, die finanziellen und betrieblichen Auswirkungen von Cyberrisiken effektiv zu kommunizieren und eine strategische Ressourcenzuweisung sicherzustellen, die Ihren Geschäftszielen entspricht.

Learn more

NIS1 gegen NIS 2: Was hat sich geändert?

  • Erweiterter Geltungsbereich
  • Neue Sektorenkategorien
  • Die Mitgliedstaaten können eine wichtige Einheit unabhängig von Größe oder Branche identifizieren
  • Einführung der Verhältnismäßigkeit
  • Zeitplan für die Meldung von Vorfällen festgelegt
  • Festsetzung von Verwaltungsstrafen bei Nichteinhaltung

Neue Sektoren, Unternehmen und Ausnahmen

Aufgrund des erweiterten Anwendungsbereichs um neue Sektoren wurde ein Größenschwellenwert eingeführt, um wesentliche und wichtige Einheiten zu definieren. Dies bedeutet, dass alle mittleren und großen Unternehmen in den identifizierten Sektoren in den Geltungsbereich fallen. Die Richtlinie sieht auch vor, dass die Mitgliedstaaten kleinere Unternehmen mit einem hohen Risikoprofil ermitteln, die unter die Richtlinie fallen.

 

Unter NIS 2 fallende Unternehmenskategorien

Im Allgemeinen gilt eine Organisation als wesentliche Entität wenn es in einem der bestimmten Sektoren tätig ist (siehe Anhang I der Richtlinie (EU) 2022/2555) und mindestens 250 Mitarbeiter beschäftigt, einen Umsatz von mindestens 50 Mio. EUR und/oder eine Bilanzsumme von mindestens 43 Mio. EUR hat.

 

Ausnahmen von der Größenanforderung für Einrichtungen sind qualifizierte Vertrauensdienste, DNS, TLD, öffentliche Verwaltungen oder solche, die von dem Mitgliedstaat, der die Richtlinie in nationales Recht umsetzt, als „unverzichtbar“ eingestuft wurden.

 

Wichtige Entitäten sind diejenigen, die in Anhang II der Richtlinie (EU) 2022/2555 definiert sind. Sie können sowohl große als auch mittlere Unternehmen umfassen. Wenn ein Unternehmen zwischen 50 und 249 Mitarbeiter hat und einen Umsatz von mehr als 10 Millionen EUR und weniger als 50 Millionen EUR erzielt, wird es als „wichtig“ eingestuft. Kleine Unternehmen und Kleinstunternehmen werden in der Regel als nicht in den Geltungsbereich aufgenommen, es sei denn, ein Mitgliedstaat hat dies auf nationaler oder regionaler Ebene als wichtig eingestuft.

 

Anforderungen an die Meldung von Vorfällen

Betreiber wesentlicher Dienste müssen Vorfälle einer zuständigen Behörde melden. Gemäß NIS1 waren die Unternehmen verpflichtet, Vorfälle, die erhebliche Auswirkungen auf die Kontinuität der grundlegenden Dienste hatten, unverzüglich zu melden. NIS 2 hat einen strengen Zeitplan für die Meldung „erheblicher Vorfälle“ an die Behörden festgelegt:

 

  • 24 Stunden, um über einen Vorfall zu berichten, sobald er identifiziert wurde
  • 72 Stunden, um eine Analyse bei den Behörden einzureichen
  • Einen Monat nach der Meldung des Vorfalls für den Abschlussbericht

Verwaltungsstrafen und Strafen bei Nichteinhaltung

Bei Verstößen werden Verwaltungsstrafen festgesetzt. Die Mitgliedstaaten können in regelmäßigen Abständen Sanktionen verhängen, um Unternehmen zur Einstellung von Verstößen zu zwingen. Und natürliche Personen können auch für Verstöße zur Verantwortung gezogen werden.

NIS2 — Verwaltungsbußen

Bereiten Sie sich auf die NIS 2-Konformität vor

NIS 2 beschreibt die Maßnahmen, die zum Umgang mit Cyberrisiken ergriffen werden sollten, und die Anforderungen für die Definition und Meldung schwerwiegender Vorfälle.

· Haben Sie eine Richtlinie für das Cybersicherheitsrisikomanagement?

· Haben Sie Ihre kritischen digitalen Ressourcen identifiziert?

· Könnten Sie schnell die Auswirkungen eines bedeutenden Cyberereignisses melden?

· Wie dokumentieren und kommunizieren Sie Cyberrisiken?

· Haben Sie Ihre Drittanbieterrisiken identifiziert?

Eine datengestützte Cyberrisikomanagementstrategie kann dazu beitragen, diese Fragen effektiv zu beantworten.

Einer der ersten Schritte, die ein Unternehmen zur Vorbereitung auf NIS2 unternehmen kann, ist die Durchführung eines Audits seines Cybersicherheitsprogramms, um Lücken zu identifizieren, in denen Identifizierung, Analyse und Berichterstattung verbessert werden können. Anschließend können Sie einen Plan zur Behebung dieser Lücken entwickeln, sodass Sie nach der Umsetzung von NIS2 die NIS2-Anforderungen vollständig erfüllen können.

Durch die Verwendung quantitativer Daten zur Bewertung des Cybersicherheitsrisikos kann ein Unternehmen die Compliance-Anforderungen erfüllen, aber auch Sicherheitskontrollen, die den Geschäftszielen entsprechen, besser priorisieren.

C-Risk kann Ihnen helfen, die neuen Compliance-Anforderungen zu erfüllen, die unter NIS 2 eingeführt wurden. Für weitere Informationen vereinbaren Sie ein 30-minütiges Gespräch mit einem unserer Experten für Cybersicherheit und Risikomanagement, um Ihre Herausforderungen zu besprechen.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
DORA-Verordnung - C-Risk

DORA: Minderung von IKT-Risiken und Stärkung der digitalen Widerstandsfähigkeit

Verschaffen Sie sich einen Einblick in das EU-Gesetz zur digitalen operationalen Resilienz: Seine Auswirkungen auf Finanzunternehmen, Herausforderungen für die Einhaltung der Vorschriften und die Erreichung digitaler operationaler Resilienz.

Melissa Parsons

4/4/2024
SEC endgültige Regeln - C-Risk

Endgültige Regeln der SEC: Cybersicherheit im Fokus

Informationen über die endgültigen SEC-Regeln zu Cybersicherheit, Corporate Governance und Offenlegung. Erfahren Sie, wie Sie die Offenlegung durch quantitative und qualitative Methoden verbessern können.

Eliza Davies

23/4/2024
DSGVO-Compliance und Cybersicherheit - C-Risk

DSGVO: Auswirkungen auf Ihre Cybersicherheitsstrategie

Die Einhaltung der DSGVO und eine effiziente Datenschutzpolitik sind eine schwierige Herausforderung, die durch die Quantifizierung von Cyberrisiken bewältigt werden kann.

Christophe Forêt

31/5/2024

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Unsere Lösungen
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Ihre Rolle
Executive ManagementCISORisiko-Experten
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz