Richtlinie (EU) 2022/2555 (NIS-2)
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, abgekürzt NIS-2-Richtlinie, ist eine EU-Richtlinie, um das Niveau der Cyberresilienz in der Union zu stärken.
Richtlinie (EU) 2022/2555 | |
---|---|
Titel: | Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 |
Kurztitel: | NIS-2-Richtlinie |
Geltungsbereich: | EU |
Rechtsmaterie: | Informationssicherheit |
Grundlage: | AEUV, insbesondere Artikel 114 |
Datum des Rechtsakts: | 14. Dezember 2022 |
Veröffentlichungsdatum: | 27. Dezember 2022 |
Inkrafttreten: | 16. Januar 2023 |
Anzuwenden ab: | 18. Oktober 2024 |
Fundstelle: | ABl. L 333, 27. Dezember 2022, S. 80–152 |
Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
Regelung ist in Kraft getreten und anwendbar. | |
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten! |
Sie hebt die Richtlinie (EU) 2016/1148 zur Netzwerk- und Informationssicherheit (NIS-Richtlinie)[1] zum 18. Oktober 2024 auf, die bereits ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union gewährleisten sollte.
Die Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) und die Richtlinie (EU) 2018/1972 (EECC-Richtlinie) werden geändert.
Begründung
Vor dem Hintergrund einer steigenden Abhängigkeit von digitalen Technologien zeigte die COVID-19-Pandemie auf, wie sensibel digitalisierte Gesellschaften auf unerwartete Risiken reagieren können.[2] Im Zuge dessen prüfte die Europäische Kommission die bestehende NIS-Richtlinie und stellte folgende Kritikpunkte fest:
- unzureichende Cyberresilienz von Unternehmen, die in der EU tätig sind,
- inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren,
- unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der Mitgliedstaaten,
- fehlende gemeinsame Krisenreaktion.
Nach diversen Abstimmungsrunden wurde die finale NIS-2-Richtlinie[3] am 14. Dezember 2022 von der EU-Kommission verabschiedet.
Inhalt
Die Richtlinie verpflichtet die Mitgliedstaaten zur Verabschiedung einer nationalen Cybersicherheitsstrategie. Ferner sind nationale Computer Security Incident Response Teams (CSIRTs) zu benennen, die für den Umgang mit Risiken und Störungen zuständig sind. Ein sog. Single Point of Contact (SPoC) dient dazu, grenzüberschreitende Zusammenarbeit der Behörden der Mitgliedstaaten sicherzustellen.
Die NIS-2-Richtlinie stellt strengere Anforderungen als die bisherige NIS-Richtlinie an nationale Behörden und vereinheitlicht die Sanktionsmöglichkeiten in den Mitgliedstaaten. Mit der Richtlinie werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.
Umsetzung in Deutschland
Die Richtlinie muss bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Dazu hat das Bundesministerium des Innern und für Heimat im Juli 2023 einen Referentenentwurf vorgelegt.[4] Hochrechnungen zur Folge werden ca. 30.000 deutsche Institutionen und Unternehmen davon betroffen sein. Das sind deutlich mehr als nach bisherigem Recht.
Ausweitung des Geltungsbereichs
Anders als etwa in der aufgrund des deutschen BSI-Gesetzes zum Schutz kritischer Infrastrukturen erlassenen Rechtsverordnung von 2016 (BSI-KritisV)[5] fallen zwar Kultur- und Medien, öffentlicher Nahverkehr und Medizingroßhandel nicht in den Anwendungsbereich der NIS-2-Richtlinie, dafür kommen aber neue Bereiche wie Weltraum, Top-Level-Domain-Registrare und Vertrauensdiensteanbieter hinzu.[6] Der Zuwachs an betroffenen Institutionen erklärt sich in erster Linie damit, dass die aus der BSI-KritisV bekannten Schwellenwerte hier keine Anwendung mehr finden. Zudem gibt es mehrere Abstufungen; man unterscheidet hier sog. Essential Entities, also besonders wichtige Dienste, von Important Entities. Für Letztere gilt eine Größeneinteilung. So sind diese erst ab 50 Mitarbeitern oder mind. 10 Mio. Euro Jahresumsatz von der Richtlinie betroffen, während Erstere unabhängig von der Größe der Institution unter die Richtlinie fallen. Für eine genauere Aufschlüsselung der Zugehörigkeiten wird auf [7] verwiesen.
Umsetzung der Richtlinie in Institutionen
Die Umsetzung der Richtlinie verpflichtet betroffene Institutionen dazu, sich bei der European Union Agency for Cybersecurity zu registrieren, die nationale Cyber-Security-Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ein Risikomanagement einzurichten und den Stand der Technik in IT-Sicherheit zu implementieren. Es ist davon auszugehen, das bestehende Standards wie der IT-Grundschutz[8] die ISO/IEC 27001 und der Kriterienkatalog Cloud Computing C5[9] wahrscheinlich nur einen Teil der Anforderungen aus NIS-2 abdecken werden und weitere technische und organisatorische Maßnahmen zur Umsetzung der Richtlinie ergriffen werden müssen.
Weiterführende Links
- Melde- und Informationsportal des BSI. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 3. Oktober 2023.
- Schwellenwerte aus der BSI-KritisV. Insignals GmbH, abgerufen am 3. Oktober 2023.
Einzelnachweise
- Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016
- Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) – FAQ. Abgerufen am 3. Oktober 2023.
- NIS-2-Richtlinie. Abgerufen am 3. Oktober 2023.
- Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) vom 3. Juli 2023. Abgerufen am 3. Oktober 2023.
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) vom 22. April 2016. Abgerufen am 3. Oktober 2023.
- NIS-2 - Anforderungen und Auswirkungen auf Unternehmen. Abgerufen am 3. Oktober 2023.
- EU NIS 2 Cybersecurity. openkritis.de, abgerufen am 3. Oktober 2023.
- IT-Grundschutz. Informationssicherheit mit System. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 4. Oktober 2023.
- Kriterienkatalog Cloud Computing C5. BSI, abgerufen am 4. Oktober 2023.