AUTlook:Fokus : NIS2: Die neue Cybersecurity-Richtlinie der EU im Überblick

17.06.2022
Lesezeit: ca. 2 Minuten
Die EU verspricht sich mit ihrer neuen Cybersecurity-Richtlinie NIS2 mehr Resilienz für die gesamte Infrastruktur. Bisher wurde die Industrie von solchen Konzepten weitgehend verschont. Doch nun kommt es anders. Industrieunternehmen, die nicht mitmachen, sollen mit hohen Strafgeldern auf Linie gebracht werden. Ob das funktioniert oder zu einem Fehlschlag verurteilt ist, haben wir uns im AUTlook:Fokus genau angeschaut.

Studie

TÜV Rheinland und Fortinet zeigen, wie Industrieunternehmen ihre OT effektiv schützen können.

Zum Artikel

Die Gesetzwerdung im Überblick

Alle Schritte der Verhandlungen zum Nachlesen

Link folgen

Debatte um EU-Richtlinie

NIS 2 sorgt für heftige Kritik seitens der Industrie

Zum Artikel

NIS2 kommt

Experte befürchtet Gleichgültigkeit in der Industrie

Zum Artikel

NIS2 tritt mit 16. Jänner 2013 in Kraft

Die neue Richtlinie wurde im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen, Ende Dezember wurde die NIS 2-Richtlinie im EU-Amtsblatt veröffentlicht und tritt zum 16.01.2023 in Kraft. Ab dann haben die Mitgliedstaaten 21 Monate zur Umsetzung in nationales Recht. Die erste Stufe der Harmonisierung besteht in einer Ausweitung der betroffenen Sektoren. Durch die Einbeziehung der Postdienste, der Abfallwirtschaft, der chemischen Produktion und des Vertriebs sowie der Agrar- und Ernährungswirtschaft wird sich die Zahl der von der NIS2-Richtlinie erfassten Sektoren von 19 auf 35 erhöhen.

Unterauftragnehmer und Dienstleister mit Zugang zu kritischen Infrastrukturen, die in der ersten Fassung der Richtlinie nicht berücksichtigt wurden, werden ebenfalls der NIS2 unterliegen. Das liegt daran, dass Schwachstellen in der Infrastruktur eines Anbieters die Sicherheit der OES, für die er arbeitet, gefährden könnten. So werden beispielsweise im Energiesektor die Sicherheitsmaßnahmen nicht mehr nur den Stromerzeugern, -transporteuren und -verteilern auferlegt. Auch alle Unterauftragnehmer für kritische Infrastrukturen werden davon betroffen sein. Vor allem Dienstleister und andere Unternehmen, die digitale Dienste anbieten, werden verpflichtet sein, jeden Sicherheitsvorfall innerhalb von 72 Stunden zu melden, um die Ausbreitung des Angriffs einzudämmen. Es ist daher zu erwarten, dass kleine und mittlere Unternehmen schnell einen CISO einstellen werden, um die Sicherheitsanforderungen zu erfüllen und weiterhin mit Großkunden zu arbeiten.

Als "wesentlich" eingestufte Sektoren gelten:

  • Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
  • Gesundheit (Versorger, Labore, F&E, Pharma)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Banken und Finanzmärkte
  • Wasser und Abwasser
  • Digital (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
  • ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung

Die "wichtigen" Sektoren sind:

  • Post und Kurier
  • Abfallwirtschaft
  • Chemie
  • Ernährung
  • Industrie (Technik und Ingenieurwesen)
  • Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, sozialer Netzwerke)
  • Forschung
Erstveröffentlichung
17.06.2022
Letzte Aktualisierung
21.03.2023
Peter Oslak

Entdecken Sie jetzt