NIS 2: Netzwerk- und IT-Sicherheit

Die  Network and Information Systems Security Directive 2 (NIS 2) [1] erweitert die gesetzlichen Vorschriften zur Stärkung der Cybersicherheit in der Europäischen Union. Die NIS-2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen.

Hier sind die wichtigsten Fakten der NIS 2-Richtlinie für die Geschäftsführung:

  1. Ziel der Richtlinie: Die NIS 2-Richtlinie baut auf den Zielen der ursprünglichen NIS-Richtlinie auf und zielt darauf ab, die Cybersicherheit in der EU durch verbesserte Maßnahmen zur Prävention, Erkennung und Bewältigung von Cyberbedrohungen und -störungen zu erhöhen.
  2. Erweiterter Anwendungsbereich: Die NIS 2-Richtlinie erweitert den Anwendungsbereich erheblich und betrifft nun nicht nur Anbieter von „wesentlichen Diensten“, sondern auch digitale Dienstleister und Online-Plattformen, die in der EU tätig sind. Die Geschäftsführung sollte prüfen, ob ihre Organisation unter die erweiterten Vorschriften fällt.
  3. Meldepflicht für Sicherheitsvorfälle: Unternehmen, die unter die NIS 2-Richtlinie fallen, sind nach wie vor verpflichtet, erhebliche Sicherheitsvorfälle den nationalen Behörden zu melden. Die Geschäftsführung muss sicherstellen, dass Prozesse zur Identifizierung, Meldung und Bewältigung von Sicherheitsvorfällen weiterhin vorhanden sind und den erweiterten Anforderungen entsprechen.
  4. Erhöhte Anforderungen an Sicherheitsmaßnahmen: Die NIS-2-Richtlinie legt strengere Anforderungen an die Sicherheitsmaßnahmen fest, die von den betroffenen Unternehmen ergriffen werden müssen. Dies erfordert eine verstärkte Risikobewertung und eine verbesserte Implementierung von Sicherheitsvorkehrungen. Die Geschäftsführung sollte sicherstellen, dass die Sicherheitsstrategie der Organisation den neuen Anforderungen gerecht wird.
  5. Kooperation mit Behörden und EU-Zusammenarbeit: Die NIS 2-Richtlinie fördert die verstärkte Zusammenarbeit zwischen den Mitgliedstaaten der EU und enthält Bestimmungen zur grenzüberschreitenden Kooperation und Informationsteilung. Die Geschäftsführung sollte sicherstellen, dass ihre Organisation in der Lage ist, effektiv mit nationalen und EU-Behörden zusammenzuarbeiten.
  6. Strafen und Bußgelder: Die NIS 2-Richtlinie sieht erheblich höhere Geldstrafen für Unternehmen vor, die die Richtlinie verletzen. Geschäftsführungen sollten daher sicherstellen, dass ihre Organisation die erweiterten Vorschriften einhält, um finanzielle und rechtliche Konsequenzen zu vermeiden.
  7. Best Practices und Standards: Die Geschäftsführung sollte bewährte Praktiken und Standards zur Verbesserung der Cybersicherheit in ihrer Organisation weiterhin umsetzen. Dies kann die Einhaltung von Normen wie ISO 27001 oder die Anwendung von Sicherheitsleitlinien und -verfahren umfassen, die den erweiterten Anforderungen entsprechen.
  8. Kontinuierliche Überwachung und Anpassung: Da die Bedrohungslandschaft ständig im Wandel ist, ist es entscheidend, dass die Geschäftsführung sicherstellt, dass die Cybersicherheitsmaßnahmen kontinuierlich überwacht, bewertet und angepasst werden, um auf neue Bedrohungen und Anforderungen effektiv reagieren zu können.

Die NIS 2-Richtlinie stellt eine erhebliche Weiterentwicklung der Cybersicherheitsvorschriften in der EU dar und erfordert von Unternehmen eine noch stärkere Aufmerksamkeit für ihre Cybersicherheitspraktiken und -prozesse. Die Geschäftsführung sollte die neuen Anforderungen sorgfältig prüfen und sicherstellen, dass ihre Organisation rechtzeitig und angemessen darauf reagiert. (ki, hg)


[1] NIS-2-Richtlinie (in Deutsch), EURLex, URL: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555;