![\"Ziele](\"https:\/\/anexia.com\/blog\/wp-content\/uploads\/2023\/07\/NIS2-Ziele-300x88.png\")
<\/p>\nDie Bezeichnung NIS steht f\u00fcr \u201eDirective on Security of Network and Information Systems\u201c oder \u201eRichtlinie \u00fcber die Sicherheit von Netz- und Informationssystemen\u201c, welche 2016 von der EU verabschiedet wurde. Mittlerweile wurde die NIS-Richtlinie \u00fcberarbeitet und die Fassung NIS2 vom Europ\u00e4ischen Parlament verabschiedet.<\/p>\n
<\/p>\n
Die Richtlinie wurde entwickelt, um den Schutz kritischer Infrastrukturen innerhalb der EU-Mitgliedstaaten zu verbessern und Cybersecurity Vorf\u00e4lle zu verhindern oder zu erkennen und angemessen zu reagieren. Das \u00fcbergeordnete Ziel der Richtlinie ist, die Cybersicherheit in der gesamten EU auf ein neues Niveau anzuheben.<\/p>\n
Sie harmonisiert Standards, st\u00e4rkt das Risikomanagement, f\u00fchrt Meldepflichten ein und versch\u00e4rft Bu\u00dfgelder, um einen umfangreicheren und wirksameren Schutz f\u00fcr kritische Infrastrukturen und digitale Dienste zu bieten.<\/p>\n
NIS2 hat das Ziel, die Cybersicherheit f\u00fcr essenzielle Infrastrukturen in der gesamten EU zu verst\u00e4rken und sie gegen Cyberbedrohungen aller Art zu sch\u00fctzen. Damit adressiert die Richtlinie aktuelle Herausforderungen der Cybersicherheit, insbesondere im Hinblick auf die zunehmende Digitalisierung von Dienstleistungen und den wachsenden Einsatz von IoT-Ger\u00e4ten. Ziel ist es, die Widerstandsf\u00e4higkeit und Reaktionsf\u00e4higkeit im Bereich der Cybersicherheit zu verbessern, um sowohl \u00f6ffentliche als auch private Sektoren in der EU zu sch\u00fctzen. Dies soll gew\u00e4hrleisten, dass lebenswichtige Infrastrukturen auch in Krisenzeiten funktionieren.<\/p>\n
Die Richtlinie legt grunds\u00e4tzliche Mindestanforderungen an die Sicherheit von Netz- und Informationssystemen fest und verpflichtet alle EU-Mitgliedstaaten, Strategien und Ma\u00dfnahmen zur Gew\u00e4hrleistung der Cybersicherheit zu normieren.<\/p>\n
Von der Richtlinie betroffene Einrichtungen m\u00fcssen unter anderem angemessene Risikomanagementma\u00dfnahmen f\u00fcr die Sicherheit ihrer Netz- und Informationssysteme treffen und entsprechenden Meldepflichten nachkommen.<\/p>\n
Da es sich um eine Richtlinie und nicht um eine Verordnung handelt, gilt sie nicht automatisch in allen EU-L\u00e4ndern, sondern musste erst von allen EU-Mitgliedstaaten in nationales Recht umgewandelt werden.<\/p>\n
<\/p>\n
Die NIS2-Richtlinie stellt eine aktualisierte Version der urspr\u00fcnglichen Cybersicherheit-Richtlinie NIS1 dar. Sie l\u00f6st die vorherige Richtlinie ab und legt neue Mindestanforderungen f\u00fcr die Sicherheit kritischer Infrastrukturen innerhalb der EU fest.<\/p>\n
In \u00d6sterreich wurde 2018 die NIS1 Richtlinie als Bundesgesetz zur Gew\u00e4hrleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz \u2013 NISG<\/a>) umgesetzt. Diese Regelung galt haupts\u00e4chlich f\u00fcr Unternehmen, die zur kritischen Infrastruktur geh\u00f6ren oder digitale Dienste wie Online-Marktpl\u00e4tze, Suchmaschinen und Cloud Computing-Dienste betreiben.<\/p>\n Mit der Einf\u00fchrung von NIS2 wird das Fundament der urspr\u00fcnglichen Richtlinie erweitert. Die erweiterte Richtlinie NIS2 wurde 2023 ver\u00f6ffentlicht und verpflichtet alle EU-Staaten, die Vorgaben bis zum 17. Oktober 2024 in nationales Recht umzusetzen.<\/p>\n Die bereits im Jahr 2016 von der EU-Kommission vorgelegte NIS1 Richtlinie war in vielen Punkten zu vage formuliert und wurde aus diesem Grund in den verschiedenen Mitgliedsstaaten sehr uneinheitlich umgesetzt. Es gab so etwa Unterschiede bei der Klassifizierung von kritischen Infrastrukturen. \u00dcberdies variierte auch die Aufz\u00e4hlung der von der Richtlinie betroffenen Anbieter von Land zu Land.<\/p>\n Zus\u00e4tzlich fehlten Regeln zur \u00dcberwachung der Umsetzung sowie spezifische Vorgaben zur Offenlegung von Cyber-Risiken. Eine weitere Schwachstelle der NIS1 Richtlinie betraf die unzureichende Cyber-Resilienz und das Fehlen koordinierter Krisenreaktionen. Vor diesem Hintergrund und angesichts der wachsenden Bedrohung sowie der steigenden Anforderungen an die Cybersicherheit, hat die Europ\u00e4ische Kommission beschlossen, die NIS Richtlinie zu \u00fcberarbeiten, worauf am 16. J\u00e4nner 2023 die NIS2 Richtlinie vom Europ\u00e4isches Parlament in Kraft gesetzt wurde.<\/p>\n <\/p>\n Die NIS2 Richtlinie erweitert den Anwendungsbereich gegen\u00fcber der bisherigen Rechtslage. Dies bedeutet, dass einige Unternehmen oder Beh\u00f6rden, die bisher nicht von IT-Sicherheitsvorschriften betroffen waren, m\u00f6glicherweise nun doch reguliert werden. Deshalb empfiehlt sich f\u00fcr alle Unternehmen oder Beh\u00f6rden eine fr\u00fchzeitige Auseinandersetzung mit den NIS2 Vorschriften, um zeitgerecht auf m\u00f6gliche Auswirkungen oder \u00c4nderungen reagieren zu k\u00f6nnen.<\/p>\n Gro\u00dfe und mittelst\u00e4ndische Unternehmen aus folgenden Sektoren sind von der NIS2 Richtlinie betroffen:<\/p>\n Die NIS2 Regelung gilt nur f\u00fcr mittlere und gro\u00dfe Unternehmen, ohne Schwellenwerte f\u00fcr Anlagen oder \u00e4hnliche Kriterien zu ber\u00fccksichtigen. Ebenso werden bestimmte Unternehmen unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe ebenfalls reguliert, wie Teile der digitalen Infrastruktur oder der \u00f6ffentlichen Verwaltung.<\/p>\n Die Klassifizierung eines Unternehmens als gro\u00df, mittelgro\u00df oder klein h\u00e4ngt von folgenden Faktoren ab:<\/p>\n F\u00fcr Unternehmen mit komplexeren Strukturen, wie Tochtergesellschaften eines Konzerns, ist jeweils eine individuelle Einstufung notwendig. Bei dieser Bewertung wird neben der Unternehmensgr\u00f6\u00dfe \u2013 also der Anzahl der Mitarbeiter und der H\u00f6he des Umsatzes oder der Bilanzsumme \u2013 auch ber\u00fccksichtigt, ob es sich entweder um ein eigenst\u00e4ndiges Unternehmen handelt oder um ein Partnerunternehmen oder um ein verbundenes Unternehmen.<\/p>\n <\/p>\n Unabh\u00e4ngig von der Einstufung nach Unternehmensgr\u00f6\u00dfe gilt die NIS2 Richtlinie auch f\u00fcr Anbieter von folgenden Diensten:<\/p>\n Die NIS2-Richtlinie macht deutlich, dass die Verantwortung f\u00fcr die Cybersicherheit und die Verhinderung von IT-Sicherheitsvorf\u00e4llen in jedem Unternehmen auf der obersten F\u00fchrungsebene liegen muss. Dies bedeutet, dass die Unternehmensleitung sicherstellen muss, dass alle Ma\u00dfnahmen zum Risikomanagement eingehalten werden. Ebenso kann das Management pers\u00f6nlich haftbar gemacht werden, falls diese Anforderungen nicht erf\u00fcllt werden. Zu diesem Zweck werden die Aufsichtsbeh\u00f6rden mit Befugnissen zur Durchf\u00fchrung von Vor-Ort-Kontrollen und Sicherheits\u00fcberpr\u00fcfungen sowie zur Ergreifung wirksamer, verh\u00e4ltnism\u00e4\u00dfiger und abschreckender Ma\u00dfnahmen ausgestattet.<\/p>\n Dies gilt insbesondere auch f\u00fcr die \u00f6ffentliche Verwaltung, unabh\u00e4ngig davon, ob die nationalen Vorschriften \u00fcber die Haftung von Beamten oder sonstigen Bediensteten eine andere Regelung vorsehen.<\/p>\n <\/p>\n Bis sp\u00e4testens 18. Oktober 2024 muss die NIS2 Richtlinie in allen EU-Mitgliedstaaten in nationales Recht umgewandelt werden.<\/p>\n Ziel der Regelung ist es, die Cybersicherheit von wichtigen Einrichtungen zu st\u00e4rken. Die EU-Mitgliedsstaaten m\u00fcssen durch ihre nationale Gesetzgebung sicherstellen, dass die F\u00fchrungsteams von Schl\u00fcsselinstitutionen die Ma\u00dfnahmen zur Risikosteuerung im Bereich der Cybersicherheit umsetzen und \u00fcberwachen und bei Verst\u00f6\u00dfen zur Verantwortung gezogen werden k\u00f6nnen.<\/p>\n \u00dcberdies m\u00fcssen alle EU-Mitgliedstaaten sicherstellen, dass die F\u00fchrungsteams an regelm\u00e4\u00dfigen Schulungen teilnehmen und Schl\u00fcsselinstitutionen dazu ermutigen, ihre Mitarbeiter:innen regelm\u00e4\u00dfig im Bereich Cybersicherheit zu schulen, um die Risiken im Bereich der Cybersicherheit zu erkennen, zu bewerten und zu steuern sowie deren Auswirkungen auf die vom Unternehmen angebotenen Dienstleistungen zu verstehen.<\/p>\n <\/p>\n Die Richtlinie enth\u00e4lt folgende Risikomanagementma\u00dfnahmen, die von den betroffenen Unternehmen und Institutionen erf\u00fcllt werden m\u00fcssen:<\/p>\n Zus\u00e4tzlich werden die Aufsicht und Zusammenarbeit zwischen Beh\u00f6rden und Unternehmen intensiviert und eine Meldepflicht eingef\u00fchrt. Innerhalb von 24 Stunden nach Feststellung eines Cyber-Security Vorfalls ist eine unverz\u00fcgliche Meldung erforderlich. Gegebenenfalls wird innerhalb von 72 Stunden nach der Erstmeldung eine Aktualisierung und vorl\u00e4ufige Bewertung von der Aufsichtsbeh\u00f6rde durchgef\u00fchrt. Sp\u00e4testens einen Monat nach der ersten Meldung des Vorfalls ist ein abschlie\u00dfender Bericht einzureichen. Durch die Meldepflicht soll eine verbesserte Transparenz und Koordination zur effektiven Bek\u00e4mpfung von Cyber-Security Vorf\u00e4llen erreicht werden.<\/p>\n <\/p>\n Die NIS2 Richtlinie bringt gegen\u00fcber NIS1 erhebliche Ausweitungen in Bezug auf Zust\u00e4ndigkeit, Pflichten und Aufsicht innerhalb der EU:<\/p>\n Sektoren:<\/strong> Die Anzahl der als kritisch eingestuften \u201eEssential Entities“ steigt auf elf, die „Important Entities“ wurden auf sieben Sektoren erweitert.<\/p>\n Betroffene Unternehmen:<\/strong> Die Regulierung betrifft gro\u00dfe und mittelgro\u00dfe Unternehmen. Zus\u00e4tzlich werden einige Betreiber unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe reguliert, einschlie\u00dflich Teile der digitalen Infrastruktur und der \u00f6ffentlichen Verwaltung.<\/p>\n Cyber-Sicherheit:<\/strong> Die Anforderungen an die Betreiber und EU-Mitgliedstaaten werden erh\u00f6ht, wobei auch die Lieferketten in der Cyber-Sicherheit ber\u00fccksichtigt werden m\u00fcssen.<\/p>\n Zusammenarbeit:<\/strong> Die Aufsicht und Kooperation zwischen Beh\u00f6rden und Betreibern wird intensiviert und die europ\u00e4ische Rechtsprechung pr\u00e4zisiert.<\/p>\n Sanktionen:<\/strong> Strafen und Durchsetzungsma\u00dfnahmen werden deutlich angehoben, mit H\u00f6chststrafen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens.<\/p>\n Die NIS2 Richtline im kompletten Wortlaut \u2192<\/a><\/p>\n <\/p>\n![\"NIS2](\"https:\/\/anexia.com\/blog\/wp-content\/uploads\/2023\/07\/NIS2-NIS2ersetztNIS1-300x75.png\")
<\/p>\nWarum wird NIS1 von NIS2 abgel\u00f6st?<\/h2>\n
Wer ist von der NIS2 Richtlinie betroffen?<\/h2>\n
![\"NIS2](\"https:\/\/anexia.com\/blog\/wp-content\/uploads\/2023\/07\/NIS2-Sektoren_DE-185x300.png\")
<\/p>\nNIS2 Klassifizierung nach Unternehmensgr\u00f6\u00dfe<\/h2>\n
\n
Betroffene Unternehmen unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe<\/h2>\n
\n
![\"NIS2](\"https:\/\/anexia.com\/blog\/wp-content\/uploads\/2023\/07\/NIS2-Verantwortlichkeiten-300x75.png\")
<\/p>\nWer ist f\u00fcr Cybersicherheit laut NIS2 verantwortlich?<\/h2>\n
Wann treten die neuen Regelungen f\u00fcr Unternehmen in Kraft?<\/h2>\n
Welche Risikomanagementma\u00dfnahmen regelt NIS2?<\/h2>\n
\n
Zusammenfassung der Neuerungen der NIS2 Richtlinie<\/h2>\n
Verwandte Themen<\/h2>\n