Entwicklung, Ziel, Inhalte
Die NIS2-Richtlinie und das IT-Sicherheitsgesetz wurden entwickelt, um die Cybersicherheit innerhalb der EU zu verbessern. Ziel ist es, die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberbedrohungen zu stärken und ein hohes Sicherheitsniveau in der digitalen Welt zu gewährleisten. Die NIS2-Richtlinie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie und umfasst mehr Sektoren, darunter Gesundheitswesen und digitale Infrastrukturen.
NIS steht für "Network and Information Systems" (Netz- und Informationssysteme). Die NIS-Richtlinie, beziehungsweise NIS2-Richtlinie, bezieht sich somit auf die Sicherheit von Netz- und Informationssystemen.
Weil die NIS2-Richtlinie anders als eine europäische Verordnung nicht direkt gilt, muss sie in deutsches Recht umgewandelt werden. Das passiert gerade durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), welches sich im Gesetzgebungsverfahren befindet. Es betrifft eine größere Anzahl von Unternehmen und schließt nun auch digitale Dienste wie Online-Marktplätze und Suchmaschinen ein. Die Umsetzung des NIS2UmsuCG in Deutschland erfordert von betroffenen Unternehmen strengere Sicherheitsmaßnahmen, regelmäßige Risikobewertungen und eine erhöhte Meldepflicht bei Sicherheitsvorfällen. Aufgrund des noch laufenden Gesetzgebungsverfahrens muss die finale Ausgestaltung des NIS2-Umsetzungsgesetzes abgewartet werden, bevor finale Aussagen zum Anwendungsbereich und zu den konkreten Unternehmenspflichten möglich sind.
Das IT-Sicherheitsgesetz (IT-SiG) hingegen wurde erstmals im Juli 2015 in Deutschland eingeführt, um die Cybersicherheit zu stärken und kritische Infrastrukturen (KRITIS) besser zu schützen. Es wurde 2021 durch das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) erweitert, um auf die zunehmenden Bedrohungen durch Cyberangriffe zu reagieren und die Sicherheitsstandards weiter zu erhöhen. Das Hauptziel des IT-Sicherheitsgesetzes ist es, die IT-Sicherheit in Deutschland zu verbessern und kritische Infrastrukturen vor Cyberbedrohungen zu schützen. Dies umfasst den Schutz von Einrichtungen und Diensten, die für das Funktionieren der Gesellschaft und der Wirtschaft essenziell sind, wie z.B. Energieversorgung, Wasserversorgung, Gesundheitswesen und Telekommunikation.
Die NIS2-Richtlinie legt in Form des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) folgende erforderliche Maßnahmen fest, die Unternehmen ergreifen müssen, um Sicherheitsvorfälle wie Hackerangriffe zu verhindern:
Risikomanagement und Sicherheitsmaßnahmen
- Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu bewältigen.
- Dies umfasst Maßnahmen zur Verhinderung und Abwehr von Cyberangriffen sowie zur Erkennung und Behebung von Sicherheitsvorfällen.
Meldepflichten
- Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich an die zuständige nationale Behörde zu melden.
- Die Meldung muss Informationen über den Vorfall, die betroffenen Systeme und die ergriffenen Maßnahmen enthalten.
Sicherheitsaudits und Prüfungen
- Regelmäßige Sicherheitsüberprüfungen und Audits sind erforderlich, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten.
- Unternehmen müssen auf Anfrage der zuständigen Behörden Berichte und Nachweise über ihre Sicherheitsmaßnahmen vorlegen.
Sicherheitsrichtlinien und -verfahren
- Unternehmen müssen interne Sicherheitsrichtlinien und -verfahren entwickeln und umsetzen, die den Anforderungen der NIS2-Richtlinie entsprechen.
- Dies umfasst Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter im Bereich Cybersicherheit.
Krisenmanagement und Notfallpläne
- Unternehmen müssen Pläne für das Krisenmanagement und die Bewältigung von Notfällen im Bereich der Cybersicherheit erstellen.
- Diese Pläne sollen sicherstellen, dass im Falle eines Sicherheitsvorfalls schnelle und effektive Maßnahmen ergriffen werden können.
Zusammenarbeit und Informationsaustausch
- Unternehmen müssen mit den zuständigen nationalen Behörden und anderen relevanten Akteuren zusammenarbeiten und Informationen über Sicherheitsvorfälle und Bedrohungen austauschen.
- Dies fördert die gemeinsame Abwehr von Cyberangriffen und die Verbesserung der allgemeinen Sicherheitslage.
Rechenschaftspflicht und Sanktionen
- Unternehmen müssen die Einhaltung der gesetzlichen Anforderungen nachweisen und sind gegenüber den zuständigen Behörden rechenschaftspflichtig.
- Bei Verstößen gegen die Sicherheitsanforderungen können Bußgelder und andere Sanktionen verhängt werden.
Diese Maßnahmen sollen dazu beitragen, die Resilienz von Netz- und Informationssystemen zu erhöhen und die Cybersicherheit in der gesamten EU zu stärken.
* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.
Im Falle eines Sicherheitsvorfalls sehen Richtlinie und Umsetzungsgesetz ein dreistufiges Meldesystem vor, das sicherstellt, dass Vorfälle zeitnah gemeldet werden, um angemessen darauf reagieren zu können.
Meldepflichten anhand eines dreistufigen Meldungssystems
Im Falle eines Sicherheitsvorfalls gelten folgende Meldepflichten:
- Erstmeldung unverzüglich, spätesten innerhalb von 24 Stunden nach Kenntniserlangung des Vorfalls,
- Detailmeldung (erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen innerhalb), unverzüglich, spätestens innerhalb von 72 Stunden,
- Abschlussmeldung spätestens einen Monat nach der Bestätigungs- und/oder Aktualisierungsmeldung.
Unternehmen im E-Commerce müssen diese Vorgaben einhalten, um Datenverluste und Cyberangriffe zu verhindern. In Deutschland sind etwa 30.000 Unternehmen von den neuen Regelungen betroffen.
Bin ich betroffen?
Das NIS2UmsuCG und das IT-Sicherheitsgesetz gelten hauptsächlich für Betreiber kritischer Infrastrukturen (z. B. Stromversorger, siehe KRITIS-Dachgesetz), wesentliche und wichtige Einrichtungen sowie digitale Dienste wie Online-Marktplätze, Suchmaschinen und Cloud-Dienste.
Außerdem gilt NIS2 für Unternehmen mit einer Größe von 50 bis 249 Beschäftigten und zehn bis 50 Millionen Euro Jahresumsatz oder bis zu 43 Millionen Euro Jahresbilanzsumme. Für bestimmte Sektoren ist die Unternehmensgröße allerdings irrelevant: So soll NIS2 ihre Wirkung unabhängig von der Größe gegenüber Unternehmen von besonderer Bedeutung entfalten (z. B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen).
-
2016
NIS1-Richtlinie (EU 2016/1148)
- Verabschiedung: Juli 2016
- Inkrafttreten: August 2016
- Umsetzungsfrist: Mitgliedstaaten hatten bis Mai 2018 Zeit, die Richtlinie in nationales Recht umzusetzen.
-
2017
IT-Sicherheitsgesetz 1.0 (Deutschland)
- Inkrafttreten: Juli 2015 (erste Version)
- Umsetzungsfrist: Bis 2017 mussten betroffene Unternehmen erste Anforderungen erfüllen, wie z.B. die Meldung von Sicherheitsvorfällen.
-
2023
NIS2-Richtlinie (EU 2022/2555)
- Inkrafttreten: Januar 2023
- Umsetzungsfrist: Die Mitgliedstaaten haben bis 17. Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen.
-
2023
IT-Sicherheitsgesetz 2.0 (Deutschland)
- Inkrafttreten: Mai 2021
- Umsetzungsfrist: Unternehmen hatten bis 2023 Zeit, die neuen Anforderungen zu erfüllen, darunter erweiterte Meldepflichten und stärkere Schutzmaßnahmen.
-
2024
NIS2-Richtlinie (EU 2022/2555)
- Umsetzungsfrist für das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) läuft am 17. Oktober 2024 ab.
Entwicklung: Wo liegen die Unterschiede zwischen NIS1- und NIS2-Richtlinie?
Die erste Version beschränkte sich noch auf bestimmte kritische Sektoren wie Energie oder Transport. Nun wurde der Geltungsbereich auf andere Sektoren erweitert, einschließlich öffentlicher Verwaltung, Abfallwirtschaft, Lebensmittelproduktion, chemische Industrie, und digitale Dienste wie Online-Marktplätze, Suchmaschinen und soziale Netzwerke.
Die NIS2 legt strengere und detailliertere Sicherheitsanforderungen fest, einschließlich Risikomanagement und Lieferkettensicherheit. Meldepflichten für Sicherheitsvorfälle sind präziser, mit einer 24-Stunden-Frist zur Erstmeldung und detaillierter Nachberichterstattung innerhalb von 72 Stunden. Die Aufsicht und Durchsetzung werden verschärft, mit regelmäßigen Audits und erheblichen Sanktionen. Zudem betont die NIS2 die Verantwortung der Geschäftsführung für Cybersicherheit sowie die Schulung der Mitarbeiter.
Bezug zum Online-Handel
Die NIS2-Richtlinie und das IT-Sicherheitsgesetz haben auch Auswirkungen auf Online-Händler. Durch die Erweiterung des Geltungsbereichs auf digitale Dienste wie Online-Marktplätze und Plattformen sind nun auch kleinere Online-Händler verpflichtet, strengere Sicherheitsmaßnahmen umzusetzen und Sicherheitsvorfälle zu melden. Beispielsweise kann es Auswirkungen auf die Nutzung eines Seller-Accounts bei Amazon geben.
Einige Unternehmen im Online-Handel könnten auch als Betreiber kritischer digitaler Infrastrukturen eingestuft werden, wenn sie beispielsweise Dienste im Gesundheitswesen anbieten.
Der Umgang mit sensiblen Daten wird hierbei besonders wichtig, da die Anforderungen der DSGVO weiterhin gelten. Online-Händler müssen daher generell sicherstellen, dass Kundendaten geschützt sind und Cybersicherheitsstrategien implementiert werden. Dies umfasst auch die Verlinkung von Sicherheitsleistungen und -produkten, um die gesetzlichen Anforderungen zu erfüllen und das Vertrauen der Kunden zu stärken.
Das könnte dich auch interessieren
- SecureCommerce: Schutz vor Cyberbedrohungen
- Hilfe mit der DSGVO inkl. Checkliste
- ePrivacy-Verordnung (ePV) » Schutz personenbezogener Daten
- Löschung personenbezogener Daten » Löschkonzept DSGVO
- Personenbezogene Daten – Wichtige Regelungen im Datenschutz
- Digital Markets Act: Gesetz über digitale Dienste & Märkte