+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Security of network and information systems – NIS Directive (NIS2)

von | Apr 6, 2021 | Allgemein | 0 Kommentare

Knowledge Base der Datenbeschützerin

In deutscher Sprache: Richtlinien über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.

Hintergrund zur NIS2 Directive

Die erste NIS-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit, „2016/1148“) stammt aus dem Jahr 2016. Die Richtlinie war von den EU-Staaten bis Mai 2018 in nationales Recht umzusetzen. Deutschland kam dem mit dem Umsetzungsgesetz im Juni 2017 nach. Aufgrund des seit 2015 existierenden IT-Sicherheitsgesetzes war der Großteil des Inhalts der NIS-Richtlinie in Deutschland bereits realisiert.

Die Europäische Kommission hat nun das Ziel, die Cybersicherheit in Europa weiter zu stärken. Hierfür wurde am 16.12.20 eine NIS2-Richtlinie vorgeschlagen, welche die bestehende NIS-Richtlinie ersetzen soll. Sofern das Europäische Parlament und der Rat die vorgeschlagene Richtlinie annehmen, haben die Mitgliedstaaten 18 Monate Zeit, diese umzusetzen.

Update: Das Gesetzespaket ist am 16. Januar 2023 in Kraft getreten. Die Vorgaben müssen nun bis zum 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden.

Auf den Punkt gebracht: NIS2 Directive – Maßnahmen zur Sicherheit von Netzwerken und Informationssystemen

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • NIS2 ist ein Vorschlag für eine neue EU-Richtlinie, welche die bestehende NIS Richtlinie ablösen soll.
  • NIS2 muss innerhalb von 18 Monaten nach Inkrafttreten erst in nationales Gesetz umgewandelt werden.
  • Im Gegensatz zur bestehenden Richtlinie wird durch NIS2 der Anteil an betroffenen Branchen erweitert.
  • Egal wie die Gesetze im Detail lauten werden: Wenn NIS2 in Kraft tritt, ist ein ISMS immer eine sinnvolle Ausgangslage.

Was sind die wesentlichen Änderungen zwischen NIS2 und den bestehenden Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen?

  • Mehr Sektoren sind betroffen.
    • Bisher: healthcare, transport, banking and financial market infrastructure, digital infrastructure, water supply, energy, digital service providers
    • Neu: providers of public electronic communications networks or services, digital services such as social networking services platforms and data centre services, waste water and waste management, space, manufacturing of certain critical products (such as pharmaceuticals, medical devices, chemicals), postal and courier services, food, public administration
  • Auch kleinere Organisationen können betroffen sein, wenn sie beispielsweise als Lieferant für von der Richtlinie erfasste Unternehmen aktiv sind.
  • Ein einheitlicheres Sicherheitsniveau zwischen den Staaten wird forciert. Durch die bestehenden Vorgaben war die Umsetzung in den EU Ländern sehr unterschiedlich geregelt.
  • Sanktionen und Bußgelder werden konkretisiert.
  • Betroffene Organisationen (in der alten Richtlinie Operators of Essential Services (OES) und Digital Service Providers (DSP) genannt) müssen ihr Risikomanagement ausbauen.
  • Lieferketten rücken stärker in den Fokus.
  • Überwachungsmaßnahmen durch die Staaten werden ausgebaut.

Wie kann ich mich vorbereiten?

Sofern die bisherige NIS-Richtlinie durch die in den Ländern gültigen Gesetze (z.B. IT-Sicherheitsgesetz in Deutschland) bereits erfüllt wird, sind die Neuerungen überschaubar.

Wie ist jedoch die Bewertung, wenn das Thema NIS für die eigene Organisation völlig neu ist?

Im ersten Schritt ist in jedem Fall die Einführung eines integrierten Managementsystems, welches Informationssicherheit (z. B. ISO 27001) und Betriebskontinuität umfasst, dringend zu empfehlen. Hierdurch wäre man bestens vorbereitet, die Anforderungen, die ein mögliches deutsches Gesetz, welches eine zukünftige NIS2-Richtlinie umsetzen würde, zu erfüllen.

Zusammenfassung (Stand April 2021)

Abschließend bleibt zum jetzigen Zeitpunkt folgendes festzuhalten: Es ist zu begrüßen, dass die EU-Kommission ihre Cybersicherheitspolitik angesichts der Gefahrenlage weiterentwickelt und eine Erhöhung des Sicherheitsniveaus anstrebt. Welche neuen deutschen Gesetze durch eine mögliche neue NIS2-Richtlinie erlassen werden, muss sich erst noch zeigen. In jedem Fall ist ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) die beste Ausgangslage für die Erfüllung zukünftiger Gesetzesanforderungen im Bereich der Cybersicherheit.

Update April 2023

Die NIS2-Richtlinie ist bis zum 17.10.2024 in nationales Recht umzusetzen. Im April 2023 wurde der erste Referentenentwurf des BMI veröffentlicht. Die Richtlinie wird in das bereits bestehende BSI-Gesetz (BSIG) integriert und umgesetzt.

Insbesondere sind in § 2 zahlreiche Begriffsbestimmungen hinzugekommen, die aus der NIS2-Richtlinie resultieren. Interessant ist vor allem, dass der Begriff „Cloud-Computing-Dienst“ auf EU-Ebene und nun auch auf deutscher Ebene einheitlich definiert ist:

„Cloud Computing-Dienst“ [ist ] ein digitaler Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind.

Das Gesetz soll am 01.10.2024 in Kraft treten.

Wie weit ist Ihr ISMS schon implementiert?

Wir freuen uns über Ihr Statement zum implementierten ISMS in Ihrem Haus.

Haben Sie Fragen, wie man ein ISMS umsetzen kann oder möchten Sie gerne einen Begleiter bei der Implementierung? Wir stehen Ihnen mit Rat und Tat zur Seite (und extrem vielen Vorlagen). Schreiben Sie uns einfach eine E-Mail oder buchen Sie einen Termin für ein kostenloses Erstgespräch.

Diesen Beitrag teilen

Das ist sicher auch interessant für Sie

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert