Neuer Geltungsbereich
Ein wesentlicher Unterschied zur ursprünglichen NIS-Richtlinie ist der stark erweiterte Geltungsbereich von NIS2. Während die erste Richtlinie hauptsächlich für wesentliche kritische Infrastrukturen wie Energieversorger, Wasserwerke und Krankenhäuser galt, bezieht sich NIS2 auch auf weitere kritische Sektoren. Dazu zählen nun auch Postdienstleister, Abfallwirtschaftsunternehmen und viele andere. Darüber hinaus müssen auch die Lieferketten dieser Betriebe den neuen Vorgaben entsprechen. Dies bedeutet, dass auch Unternehmen wie Logistiker, Entsorger und Software-Lieferanten, die in Verbindung mit kritischen Infrastrukturen stehen, die strengen Sicherheitsanforderungen erfüllen müssen. Diese Erweiterung unterstreicht die umfassende Tragweite der Richtlinie.
Verschärfte Anforderungen an organisatorische und technische Maßnahmen
NIS2 fordert von Unternehmen deutlich strengere organisatorische und technische Maßnahmen. Ein zentrales Element ist dabei die Risikoanalyse, die sich auf das Risikomanagement und die damit verbundenen Effekte wie Business Continuity, Krisen- und Notfallmanagement konzentriert. Unternehmen müssen ihre Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen überprüfen und verbessern, beispielsweise durch Breach- und Attack-Simulationen. Zudem sind neue Technologien erforderlich, um den Anforderungen gerecht zu werden, darunter Systeme zur Angriffserkennung.
Auch der Schutz der Informationssysteme wird durch NIS2 wesentlich verstärkt. Die Richtlinie gibt nicht nur allgemeine Vorgaben, sondern schreibt auch konkrete Maßnahmen wie die Integration einer Multi-Faktor-Authentifizierung vor. Technische Maßnahmen werden durch organisatorische Maßnahmen ergänzt, wie etwa Schulungen zur Erhöhung des Sicherheitsbewusstseins der Mitarbeiter. Dies ist besonders im Hinblick auf die neuen Meldepflichten von Bedeutung: Jeder erhebliche Sicherheitsvorfall muss innerhalb von 24 Stunden gemeldet werden.