Ein Artikel von Hagen Küchler, Rechtsanwalt und zertifizierter Datenschutzbeauftragter (DSC) bei der Kanzlei FPS
Die neue EU-weite Richtlinie zur Cybersicherheit namens NIS-2 hat das Ziel, ein einheitliches Schutzniveau systemrelevanter IT-Infrastrukturen in der Europäischen Union (EU) zu schaffen, um schneller auf Cyberkrisen reagieren zu können. Zur Zielerreichung werden im Vergleich zum Vorgänger – der NIS-1-Richtlinie – hierzu der Kreis der betroffenen Unternehmen deutlich vergrößert, die Pflichten der einzelnen Betroffenen umfangreicher und die Befugnisse der Behörden zur Aufsicht und Sanktionierung erweitert.
Zeit für die Umsetzung in nationales Recht haben die Mitgliedsstaaten bis Oktober 2024. Obwohl 2024 noch weit weg erscheint, können sich bereits heute Unternehmen als Vorreiter im Bereich Cybersicherheit positionieren und durch eine frühzeitige Planung der geforderten Maßnahmen Wettbewerbsvorteile gegenüber Konkurrenten erzielen.
Anwendungsbereich
Die NIS-2-Richtlinie erfasst öffentliche und private Einrichtungen, die ihre Dienste in der Union erbringen. Nach Schätzungen der Europäischen Union sollen über 100.000 Einrichtungen vom Anwendungsbereich der Richtlinie erfasst sein.
In den von der Richtlinie europaweit einheitlich definierten Anwendungsbereich fallen – mit wenigen Ausnahmen – alle Einrichtungen, die über 50 Personen beschäftigen, einen Jahresumsatz von mehr als 10 Mio. Euro ausweisen und einem der geregelten systemrelevanten Sektoren angehören. Bei den geregelten Sektoren wird zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren unterschieden, für die teilweise leicht abweichende Regelungen gelten. Sektoren mit hoher Kritikalität sind:
- Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
- Gesundheit (Versorger, Labore, Pharma)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Banken- und Finanzmärkte
- Trink- und Abwasser
- Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten)
- Raumfahrt und öffentliche Verwaltung
Sonstige kritische Sektoren sind Post und Kurierdienste, die Abfallwirtschaft, Chemie, Ernährung, Industrie (Technik und Ingenieurwesen), digitale Dienste (Online-Marktplätze, Suchmaschinen und soziale Netzwerke) und Forschung. Unter bestimmten Voraussetzungen kann die NIS-2-Richtlinie auch für Unternehmen unabhängig von ihrer Größe gelten.
Seite 1 Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt
Seite 2 Pflichten der Betroffenen
Seite 3 Aufsicht und Durchsetzung
- Anmelden, um Kommentare verfassen zu können