AssCompact suche
Home
Steuern & Recht
24. März 2023
Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt

1 / 3

Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt

Nie war die Bedrohung im Cyberraum höher als heute. Darin sind sich alle Behörden, die für die Abwehr von Cybergefahren zuständig sind, einig. Auch die Europäische Union hat dies erkannt und hat am 28.11.2022 eine neue Richtlinie zur Stärkung der Cybersicherheit verabschiedet.

Ein Artikel von Hagen Küchler, Rechtsanwalt und zertifizierter Datenschutzbeauftragter (DSC) bei der Kanzlei FPS

Die neue EU-weite Richtlinie zur Cybersicherheit namens NIS-2 hat das Ziel, ein einheitliches Schutzniveau systemrelevanter IT-Infrastrukturen in der Europäischen Union (EU) zu schaffen, um schneller auf Cyberkrisen reagieren zu können. Zur Zielerreichung werden im Vergleich zum Vorgänger – der NIS-1-Richtlinie – hierzu der Kreis der betroffenen Unternehmen deutlich vergrößert, die Pflichten der einzelnen Betroffenen umfangreicher und die Befugnisse der Behörden zur Aufsicht und Sanktionierung erweitert.

Zeit für die Umsetzung in nationales Recht haben die Mitgliedsstaaten bis Oktober 2024. Obwohl 2024 noch weit weg erscheint, können sich bereits heute Unternehmen als Vorreiter im Bereich Cybersicherheit positionieren und durch eine frühzeitige Planung der geforderten Maßnahmen Wettbewerbsvorteile gegenüber Konkurrenten erzielen.

Anwendungsbereich

Die NIS-2-Richtlinie erfasst öffentliche und private Einrichtungen, die ihre Dienste in der Union erbringen. Nach Schätzungen der Europäischen Union sollen über 100.000 Einrichtungen vom Anwendungsbereich der Richtlinie erfasst sein.

In den von der Richtlinie europaweit einheitlich definierten Anwendungsbereich fallen – mit wenigen Ausnahmen – alle Einrichtungen, die über 50 Personen beschäf­tigen, einen Jahresumsatz von mehr als 10 Mio. Euro ausweisen und einem der geregelten systemrelevanten Sektoren angehören. Bei den geregelten Sektoren wird zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren unterschieden, für die teilweise leicht abweichende Regelungen gelten. Sektoren mit hoher Kritikalität sind:

  • Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
  • Gesundheit (Versorger, Labore, Pharma)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Banken- und Finanzmärkte
  • Trink- und Abwasser
  • Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten)
  • Raumfahrt und öffentliche Verwaltung

Sonstige kritische Sektoren sind Post und Kurierdienste, die Abfallwirtschaft, Chemie, Ernährung, Industrie (Technik und Ingenieurwesen), digitale Dienste (Online-Marktplätze, Suchmaschinen und soziale Netzwerke) und Forschung. Unter bestimmten Voraussetzungen kann die NIS-2-Richtlinie auch für Unternehmen unabhängig von ihrer Größe gelten.

Seite 1 Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt

Seite 2 Pflichten der Betroffenen

Seite 3 Aufsicht und Durchsetzung

 
Ein Artikel von
Hagen Küchler