The Network and Information Security (NIS) war eine von der EU geleitete Initiative, die darauf abzielte, ein einheitliches Niveau der Cybersicherheit in den Mitgliedstaaten zu erreichen. Während sie die Cybersicherheitskapazitäten erhöhte, erwies sich die Umsetzung als schwierig, was zu einer Fragmentierung des Marktes führte. Um den wachsenden Bedrohungen durch Digitalisierung und Cyberangriffe zu begegnen, schlug die Kommission vor, die NIS-Richtlinie durch NIS2 zu ersetzen. Sie soll die Sicherheitsanforderungen verschärfen, die Sicherheit der Lieferkette berücksichtigen, die Berichterstattung vereinfachen und strengere Aufsichts- und Durchsetzungsmaßnahmen einführen, einschließlich EU-weit harmonisierter Sanktionen. Die NIS2 erweitert den Kreis der Einrichtungen, die in ihren Anwendungsbereich fallen, und umfasst viele Organisationen, die die ursprüngliche NIS-Richtlinie nicht einhalten mussten.
Die neuen Rechtsvorschriften sind am 16. Januar 2023 in Kraft getreten, und die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Maßnahmen in nationales Recht umzusetzen; bei Nichteinhaltung drohen erhebliche Geldstrafen. Im Vereinigten Königreich können Unternehmen mit Geldbußen von bis zu 17 Millionen Pfund belegt werden; in der EU drohen "wesentlichen" Unternehmen Strafen von bis zu 10 Millionen Euro bzw. 2 % ihres Gesamtumsatzes weltweit.
Betroffene Branchen
Der Geltungsbereich der bestehenden NIS wird in der EU erheblich ausgeweitet, wobei Organisationen in mehreren neuen Sektoren als "wesentlich" eingestuft werden. Zu diesen Sektoren gehören Raumfahrt, Abwasser, öffentliche Verwaltungen (Ausnahmen sind möglich), Anbieter von Rechenzentrumsdiensten, Anbieter von Vertrauensdiensten, Content-Delivery-Netze sowie öffentliche elektronische Kommunikationsnetze und -dienste. Andere Sektoren, wie Postdienste, Chemikalien und die Herstellung von Schlüsselprodukten, müssen die Anforderungen als "wichtige" Einrichtungen ebenfalls erfüllen. Sie werden jedoch einer geringeren Regulierungsaufsicht unterliegen als die als "wesentlich" eingestuften Unternehmen.
Wie geht es jetzt weiter?
Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, geeignete Maßnahmen zu ergreifen, um die Einhaltung der NIS2-Anforderungen zu gewährleisten. Unternehmen müssen diese Zeit nutzen, um zu verstehen, wie sich die neue Richtlinie auf sie auswirken wird und welche Schritte sie unternehmen müssen, um die Einhaltung der Vorschriften nachzuweisen.
Es ist wichtig zu wissen, dass gemäß Artikel 24 der NIS2-Richtlinie die Mitgliedstaaten auch die Möglichkeit haben, die Zertifizierung von IKT-Produkten, -Dienstleistungen und -Prozessen für wesentliche oder wichtige Einrichtungen im Rahmen europäischer Cybersicherheitsregelungen zu verlangen. Je nach Kategorie Ihres Unternehmens kann die Zertifizierung nach bestimmten Normen wie ISO 27001 und CSA STAR obligatorisch werden. Es ist daher wichtig zu verstehen, wie jeder Mitgliedstaat die Richtlinie anwendet, da es von Land zu Land Unterschiede geben kann.
Zusammenarbeit mit LRQA
Mit unserem vernetzten Portfolio an fortschrittlichen Cybersicherheitslösungen unterstützen wir Sie bei der Erfüllung der Anforderungen von NIS2.
Wir bieten ein umfassendes Angebot an Bewertungsdiensten für die weltweit führenden Standards, einschließlich ISO 27001, ergänzt durch ein Portfolio an fortschrittlichen Cybersicherheitslösungen, die von unseren Spezialisten, LRQA Nettitude, bereitgestellt werden. Wir können Ihre Systeme zertifizieren, Schwachstellen beheben und Angriffe und Vorfälle verhindern – und unterstützen Sie auf dem Weg zur NIS2-Konformität mit fundierten technischen Kenntnissen und Erfahrungen.
Erfahren Sie mehr über unsere Informationssicherheitsdienste
FALLSTUDIEN
Mit wem wir zusammenarbeiten
Wir bringen Unternehmen aus zahlreichen Branchen voran, um bislang Unerreichtes zu erreichen. Wie können wir Ihnen helfen?
