f.a.q.
Informationen zur NIS-2 EU-Richtlinie
RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022.
Dieses FAQ bietet eine kompakte Zusammenfassung der wesentlichen Punkte der Richtlinie und dient als Leitfaden. Es konzentriert sich auf einzelne Abschnitte des Dokuments und fasst die zentralen Aspekte zusammen, ohne jedoch sämtliche
Details oder spezifische Organisationsstrukturen abschließend zu behandeln. Die vorliegende Informationen stellen keine rechtliche oder beratende Auskunft dar. Es handelt sich somit um keine Rechtsberatung oder Beratung. Fehler
und Missverständnisse sind möglich. Es wurde nach bestem Wissen und Gewissen eine Zusammenfassung der relevantesten Punkte aus der deutschen Version der Richtlinie erstellt und zitiert.
NIS-2 steht für die zweite Version der Richtlinie für Sicherheit von Netz- und Informationssystemen. [L333/80 (2)]
Ziel ist der „(…) Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität (…) bei Vorfällen“ in der Europäischen Union. [L333/80 (1)]
Die Umsetzung der Richtlinie durch die Mitgliedsstaaten erfolgt bis zum 17. Oktober 2024 . [L333/142 – Artikel 41 (1)]
Der Anwendungsbereich der Richtlinie gilt für Unternehmen und Organisationen (Einrichtungen), welche in der EU tätig sind oder dort ihre Dienste erbringen, zu einem kritischen Sektor (gemäß Anhang I oder Anhang II) zählen und Schwellwerte für mittlere Unternehmen überschreiten. [L333/108 – Artikel 2 (1)]
Ausnahmen gibt es für die Bereiche Kommunikationsnetze, Kommunikationsdienste, Vertrauensanbietern, Namensregister und Domänennamensystem-Dienstanbietern, diese sind unabhängig der Größe von dieser Richtlinie betroffen. [L333/108 – Artikel 2 (2)]
Kritische Sektoren und Sektoren mit hoher Kritikalität sind: [L333/143-149 – (Anhang I und II)]
Kritische Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren (u.a. Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugen)
- Anbieter digitaler Dienste
- Forschung
Sektoren mit hoher Kritikalität:
- Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff)
- Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankenwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trink- oder Abwasser
- Digitale Infrastruktur oder Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
Je nach Art und Größe der Organisation können die Pflichten für betroffene Unternehmen abweichen.
Pflichten gibt es in Bezug auf das Cybersicherheits-Risikomanagement, sowie Berichtspflichten , Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen. [L333/108 – Artikel 1 (2)]
Das Implementieren eines ISMS kann dabei unterstützen, die Anforderungen der Richtlinie zu erfüllen. Die Richtlinie empfiehlt das Einbeziehen internationaler Normen, um Maßnahmen zum Schutz von Informationen und Systemen zu treffen. Hierbei wird die Reihe ISO/IEC 27000 in der Richtlinie genannt. [L333/95 (79)]
Die international anerkannte ISO/IEC 27001 kann von akkreditierten Zertifizierungsstellen unabhängig geprüft werden. Dabei erfolgt eine regelmäßige und unabhängige Prüfung des zertifizierten Managementsystems durch Fachexperten. Das Zertifikat dient dem Nachweis der Implementierung eines ISMS gegenüber relevanten Interessengruppen.
Gefordert wird „ohne Auferlegung oder willkürliche Bevorzugung der Verwendung einer bestimmten Technologieart die Anwendung europäischer und internationaler Normen und technischer Spezifikationen für die Sicherheit von Netz- und Informationssystemen.“ [L 333/131 – Artikel 25 (1)]
Wesentliche und wichtige Einrichtungen sollen „(…) geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen , um die Risiken für die Sicherheit der Netz- und Informationssysteme, (…) zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten .“ [L 333/127 – Artikel 21 (1)]
„Die (…) genannten Maßnahmen müssen auf einen gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, (…) Systeme vor Sicherheitsvorfällen zu schützen , und zumindest Folgendes umfassen“: [L333/127 – Artikel 21 (2)]
- Konzept zur Risikoanalyse und Risikomanagement sowie Verfahren zur Bewertung der Wirksamkeit
- Bewältigung von Sicherheitsvorfällen sowie Aufrechterhaltung des Betriebs (Business Continuity Management), Backup-Management, Wiederherstellung und Krisenmanagement
- Sicherheit im Lieferantenmanagement
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Maßnahmen zur Kryptographie
- Personalsicherheit und Authentifizierung
Wesentliche und wichtige Einrichtungen müssen gegebenenfalls die zuständige Behörde und die Empfänger der bereitgestellten Dienste unverzüglich über Sicherheitsvorfälle unterrichten. [L333/128 – Artikel 23 (1)]
Zu übermitteln ist: [L333/129 – Artikel 23 (4)]
- Unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung
- Unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme eine Meldung über den Sicherheitsvorfall
- Auf Ersuchen der zuständigen Stellen einen Zwischenbericht
- Spätestens einen Monat nach Meldung des Sicherheitsvorfalls einen Abschlussbericht
(inkl. Beschreibung, Schweregrad, Auswirkungen, Art der Bedrohung, Ursache, Abhilfemaßnahmen)
Verantwortlich zur Einhaltung und Überwachung der Maßnahmen im Bereich Cybersicherheit sind die jeweiligen Leitungsorgane der Organisation . Diese können auch bei Verstößen verantwortlich gemacht werden. [L333/126 – Artikel 20 (1)]
Mitglieder der Leitungsorgane müssen an entsprechenden Schulungen teilnehmen und Mitarbeitenden regelmäßig entsprechende Schulungen anbieten, um „Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben“. [L333/127 – Artikel 20 (2)]
Unter anderem werden Geldbußen unter Berücksichtigung der Umstände des Einzelfalls wirksam, verhältnismäßig und abschreckend verhängt. [L333/139 – Artikel 34 (1)]
Bei wesentlichen Einrichtungen, „(…) Geldbußen mit einem Höchstbetrag von mindestens 10 000 000 EUR oder mit einem Höchstbetrag von mindestens 2% des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens (…), je nachdem welcher Betrag höher ist. „ [L333/139 – Artikel 34 (4)]
Bei wichtigen Einrichtungen, „(…) Geldbußen mit einem Höchstbetrag von mindestens 7 000 000 EUR oder mit einem Höchstbetrag von mindestens 1,4% des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens (…), je nachdem welcher Betrag höher ist.„ [L333/139 – Artikel 34 (5)]
Sollten Sie weitere Informationen zur Implementierung von Informationssicherheitsmanagementsystemen benötigen, beraten wir Sie gerne und unterstützen Sie bei der Einführung und dem Etablieren der Prozesse. Gerne Unterstützen wir Sie auch bei der kontinuierlichen Verbesserung Ihres bestehenden ISMS . Wir Arbeiten mit Rechtsanwälten zusammen, welche sich auf IT-, Datenschutz- und Informationssicherheitsrecht, sowie die NIS-Richtlinie spezialisiert haben. Gerne vermitteln wir Ihnen eine Rechtsberatung zur Richtlinie und besprechen hierbei konkrete Maßnahmen zur Erfüllung rechtlicher, technischer und organisatorischer Maßnahmen .
Am besten Sie senden uns hierzu eine Mail an: i n f o @ s u r i a n o . d e
oder Rufen Sie uns an unter: +49 9181 /487 467 0
Die oben zitierte deutsche „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)“ gibt es auf der offiziellen Website der Europäischen Union unter folgendem Link zum Herunterladen: