NIS2 und ihre Bedeutung für die Praxis

10/10/2024
Strafrecht
Die Entwicklung von NIS2, der neuen EU-Richtlinie zur Cybersicherheit, hat ihren Ursprung im Jahr 2016, als das EU-Parlament mit der ersten Fassung der NIS-Richtlinie Mindeststandards für die Cybersicherheit von Betreibern kritischer Infrastrukturen festlegte. Angesichts der sich verschärfenden Cybersicherheitslage, insbesondere durch vermehrte Ransomware-Angriffe, war eine Überarbeitung dringend erforderlich. Fraglich ist, ob die Einführung von NIS2 nun einen erheblichen Unterschied mit sich bringt. Dieser Frage wollen wir in diesem Blogbeitrag nachgehen.

Neuer Geltungsbereich

Ein wesentlicher Unterschied zur ursprünglichen NIS-Richtlinie ist der stark erweiterte Geltungsbereich von NIS2. Während die erste Richtlinie hauptsächlich für wesentliche kritische Infrastrukturen wie Energieversorger, Wasserwerke und Krankenhäuser galt, bezieht sich NIS2 auch auf weitere kritische Sektoren. Dazu zählen nun auch Postdienstleister, Abfallwirtschaftsunternehmen und viele andere. Darüber hinaus müssen auch die Lieferketten dieser Betriebe den neuen Vorgaben entsprechen. Dies bedeutet, dass auch Unternehmen wie Logistiker, Entsorger und Software-Lieferanten, die in Verbindung mit kritischen Infrastrukturen stehen, die strengen Sicherheitsanforderungen erfüllen müssen. Diese Erweiterung unterstreicht die umfassende Tragweite der Richtlinie.

Verschärfte Anforderungen an organisatorische und technische Maßnahmen

NIS2 fordert von Unternehmen deutlich strengere organisatorische und technische Maßnahmen. Ein zentrales Element ist dabei die Risikoanalyse, die sich auf das Risikomanagement und die damit verbundenen Effekte wie Business Continuity, Krisen- und Notfallmanagement konzentriert. Unternehmen müssen ihre Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen überprüfen und verbessern, beispielsweise durch Breach- und Attack-Simulationen. Zudem sind neue Technologien erforderlich, um den Anforderungen gerecht zu werden, darunter Systeme zur Angriffserkennung.

Auch der Schutz der Informationssysteme wird durch NIS2 wesentlich verstärkt. Die Richtlinie gibt nicht nur allgemeine Vorgaben, sondern schreibt auch konkrete Maßnahmen wie die Integration einer Multi-Faktor-Authentifizierung vor. Technische Maßnahmen werden durch organisatorische Maßnahmen ergänzt, wie etwa Schulungen zur Erhöhung des Sicherheitsbewusstseins der Mitarbeiter. Dies ist besonders im Hinblick auf die neuen Meldepflichten von Bedeutung: Jeder erhebliche Sicherheitsvorfall muss innerhalb von 24 Stunden gemeldet werden.

Weitere Blogartikel

Sie benötigen rechtliche Unterstützung?

Gerne stehe ich Ihnen bei rechtlichen Fragestellungen zur Seite. Bitte kontaktieren Sie mich telefonisch oder via Kontaktformular um ein kostenloses Erstgespräch zu vereinbaren.

Dr. LUKAS STAFFLER, LL.M.

@lukasstaffler

Kontaktformular