EU-Richtlinie : NIS2 ist in Kraft getreten
Die erste Stufe der Harmonisierung besteht in einer Ausweitung der betroffenen Sektoren. Durch die Einbeziehung der Postdienste, der Abfallwirtschaft, der chemischen Produktion und des Vertriebs sowie der Agrar- und Ernährungswirtschaft wird sich die Zahl der von der NIS2-Richtlinie erfassten Sektoren von 19 auf 35 erhöhen.
Unterauftragnehmer und Dienstleister mit Zugang zu kritischen Infrastrukturen, die in der ersten Fassung der Richtlinie nicht berücksichtigt wurden, werden ebenfalls der NIS2 unterliegen. Das liegt daran, dass Schwachstellen in der Infrastruktur eines Anbieters die Sicherheit der OES, für die er arbeitet, gefährden könnten. So werden beispielsweise im Energiesektor die Sicherheitsmaßnahmen nicht mehr nur den Stromerzeugern, -transporteuren und -verteilern auferlegt. Auch alle Unterauftragnehmer für kritische Infrastrukturen werden davon betroffen sein. Vor allem Dienstleister und andere Unternehmen, die digitale Dienste anbieten, werden verpflichtet sein, jeden Sicherheitsvorfall innerhalb von 72 Stunden zu melden, um die Ausbreitung des Angriffs einzudämmen.
Die betroffenen Industriesektoren
Als "wesentlich" eingestufte Sektoren gelten:
- Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
- Gesundheit (Versorger, Labore, F&E, Pharma)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken und Finanzmärkte
- Wasser und Abwasser
- Digital (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
- ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung
Die "wichtigen" Sektoren sind:
- Post und Kurier
- Abfallwirtschaft
- Chemie
- Ernährung
- Industrie (Technik und Ingenieurwesen)
- Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, sozialer Netzwerke)
- Forschung
Die wichtigsten Änderungen im Überblick
Die NIS 2 beseitigt somit die Klassifizierung und Unterscheidung zwischen Betreibern wesentlicher Dienste - so genannten "OEDs" - und Anbietern digitaler Dienste. Stattdessen sieht die NIS 2 unterschiedliche Regeln für "wesentliche Einrichtungen" und "wichtige Einrichtungen" vor.
Die NIS 2 verpflichtet die Mitgliedstaaten nun ausdrücklich, dafür zu sorgen, dass die Verwaltungsbehörden ihre Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit genehmigen, deren Umsetzung überwachen und bei Verstößen haftbar gemacht werden können. Außerdem müssen sie an speziellen Cybersicherheitsschulungen teilnehmen.
Die NIS 2 verpflichtet die in ihren Anwendungsbereich fallenden Stellen außerdem, Sicherheitsbewertungen der Lieferkette durchzuführen und "geeignete und verhältnismäßige technische und organisatorische Maßnahmen" zu ergreifen, um die Sicherheitsrisiken für die Netz- und Informationssysteme zu beherrschen, die diese Stellen bei der Erbringung ihrer Dienste nutzen.
Strengere Meldepflichten und hohe Geldbußen
Darüber hinaus enthält die NIS 2 genauere Bestimmungen über das Verfahren und die Fristen für die Meldung von (bedeutenden) Vorfällen an die CSIRTs sowie verstärkte Aufsichtsmaßnahmen für die nationalen Behörden und strengere Durchsetzungsvorschriften.
Insbesondere schreibt die NIS 2 eine stufenweise Meldepflicht vor, wobei die erste Meldung ("Frühwarnung") innerhalb von 24 Stunden nach Bekanntwerden des bedeutenden Vorfalls erfolgen muss. Auf diese Frühwarnung folgen eine "Störfallmeldung" (innerhalb von 72 Stunden) und ein "abschließender" Bericht (innerhalb eines Monats nach Einreichung der Störfallmeldung).
Die NIS 2 sieht vor, dass die Mitgliedstaaten bei Nichteinhaltung der Vorschriften ähnliche Geldbußen verhängen wie nach der Datenschutz-Grundverordnung. Je nachdem, ob eine Einrichtung als "wesentlich" oder "wichtig" eingestuft wird, können die Geldbußen für die Nichteinhaltung folgendermaßen aussehen:
- höchstens 10 Mio. EUR oder höchstens 2 % des Gesamtjahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr; oder
- höchstens 7 Mio. EUR oder höchstens 1,4 % des Gesamtjahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.