NIS-2 – Was bedeutet diese EU-Richtlinie für meine Organisation?
Cyberattacken bedrohen nicht nur Unternehmen, sondern auch Einrichtungen der kritischen Infrastruktur. Mit dem Beginn des russischen Angriffskrieges auf die Ukraine hat neben kriminellen Cyberangriffen auch die Bedrohung durch Cyberspionage und Cybersabotage stark zugenommen. Deshalb warnt, sensibilisiert und informiert auch der Verfassungsschutz über die Gefahren und den Schutz vor solchen Angriffen.
Ein wichtiges Element auf dem nationalen Weg zu mehr Cybersicherheit ist die NIS-2- Richtlinie der Europäischen Union, die Deutschland 2024 umzusetzen hat. Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Mit der Umsetzung in nationales Recht werden sich für ca. 29.500 nach dem Gesetz als „besonders wichtige“ und „wichtige“ Einrichtungen (Zahl gem. Bundesamt für Sicherheit in der Informationstechnik – BSI) erstmals Registrierungs-, Nachweis- und Meldepflichten ergeben.
Die NIS-2-Richtlinie regelt die Cyber- und Informationssicherheit von Einrichtungen. Es werden höhere Anforderungen an verschiedene Sektoren gestellt. „Besonders wichtige“ und „wichtige“ Einrichtungen sind künftig verpflichtet geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse möglichst gering zu halten. Dabei ist insbesondere das individuelle Risiko, die Größe der Einrichtung und die Auswirkung von Sicherheitsvorfällen auf die Gesellschaft und Wirtschaft zu bewerten.
Gemäß NIS-2-Richtlinie der EU sind Einrichtungsarten nach Anlage 1 oder Anlage 2 solche Einrichtungen die den folgenden Sektoren angehören:
Nach Anlage 1:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastrukturen
- Verwaltung von IKT-Diensten (B2B)
- öffentliche Verwaltung
- Weltraum
Nach Anlage 2:
- Post und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Ob Ihre Einrichtung von der Regelung der NIS-2 betroffen ist, können Sie auf der Seite des BSI mit Hilfe der „NIS-2-Betroffenheitsüberprüfung“ herausfinden.