Neues aus der EU zur Cybersicherheit. Eine neue Richtlinie über die Netz- und Informationssicherheit (NIS2) wurde veröffentlicht. Diese gilt für Unternehmen und Länder in der EU. Es ist eine Aktualisierung der NIS-Richtlinie aus 2016 und umfasst im Groben folgendes:
• Die Richtlinie wird die Anforderungen an die Cybersicherheit für mittlere und große Unternehmen, die KRITIS-Dienstleistungen erbringen, verschärfen.
• Sie deckt mehr Sektoren und mehr Tätigkeiten als zuvor ab, erhöht die Berichtspflichten und geht auf die Sicherheit der Lieferkette ein.
• Nach der Annahme durch das Parlament am 10. November 2022 müssen die EU-Mitgliedstaaten noch im Rat zustimmen. Danach haben die Mitgliedsstaaten 21 Monate Zeit, um die Richtlinie in Form von nationalen Gesetzen umzusetzen.
• Weitere Änderungen:
o Risikomanagement inklusive Lieferkette
o Überwachungs- und Kontrollfunktion für Behörden
o Bei Nichterfüllung der Richtlinie sind Strafzahlungen vorgesehen. Davon ausgenommen sind öffentliche Stellen. Vorstände und Aufsichtsräte können für die Nichtumsetzung zur Verantwortung gezogen werden.
o Meldepflichten werden eingeführt: Organisationen müssen Cybersicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden.
o Verwaltung: NIS 2 wird auch für öffentliche Verwaltungseinrichtungen auf zentraler und regionaler Ebene gelten. Darüber hinaus können die Mitgliedstaaten die lokale Ebene einschließen.
Spannend finde ich hierbei die deutliche Unterscheidung zwischen öffentlichen Stellen und Unternehmen. Vermutlich wird das IT-Sicherheitsgesetz 3.0 diese Änderung in nationale Gesetze überführen. Die Zustimmung der EU-Mitgliedsstaaten gilt als Formalität.
Quellen:
https://www.openkritis.de/it-sicherheitsgesetz/eu-nis-2-direktive-kritis.html#top
https://www.europarl.europa.eu/RegData/presse/pr_post_story/2022/DE/03A-DV-PRESSE_STO(2022)11-03-48002_DE.pdf