NIS-2-Richtlinie - Was Die Anforderungen Welche Anforderungen ergeben sich aus der NIS-2-Richtlinie? Im Folgenden werden jene in der Richtlinie formulierten Vorschriften und Pflichten dargestellt, welche von den in ihren Anwendungsbereich fallenden Einrichtungen zu erfüllen sind.Für die in ihrem Anwendungsbereich spezifizierten Einrichtungen definiert die NIS-2-Richtlinie Vorschriften und Pflichten in Bezug auf die Verantwortung der Leitungsorgane, das Management von Cybersicherheitsrisiken und die Meldung von Sicherheitsvorfällen. Diese werden im Folgenden näher erläutert.Unter dem Titel "Governance" fordert die NIS-2-Richtlinie, dass die Mitglieder der Leitungsorgane der in ihren Anwendungsbereich fallenden Einrichtungen an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung von Cybersicherheitsrisiken sowie zur Bewertung von Cybersicherheitsmanagementpraktiken und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben. Die Leitungsorgane sind verpflichtet, die im Rahmen der Risikobehandlung erforderlichen Maßnahmen zu genehmigen sowie deren Umsetzung zu überwachen, und haften in diesem Zusammenhang für Verstöße der Einrichtung.Der Kern der Anforderungen der NIS-2-Richtlinie an die Einrichtungen ihres Anwendungsbereichs betrifft das Management von Cybersicherheitsrisiken. Als Ziel beschreibt die Richtlinie die Umsetzung von Maßnahmen zur Gewährleistung eines Sicherheitsniveaus, das dem bestehenden Risiko angemessen ist, um die Risiken für die Systeme, die die Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.Die zu ergreifenden technischen, operativen und organisatorischen Maßnahmen müssen wirksam und verhältnismäßig sein, auf einem gefahrenübergreifenden Ansatz beruhen, der neben den Systemen selbst auch deren physische Umwelt einbezieht, und dem Stand der Technik sowie den einschlägigen europäischen und internationalen Normen Rechnung tragen. Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Eintrittswahrscheinlichkeit und die Auswirkungen von Sicherheitsvorfällen sowie die Kosten ihrer Umsetzung zu berücksichtigen.Die Risikomanagementmaßnahmen müssen zumindest die Themen Informationssicherheitsleitlinie, Risikomanagementrichtlinie, Effektivitätsbewertung der Risikobehandlung, Verwaltung von Vermögenswerten, Sicherheit im Personalwesen, Sicherheit über den gesamten Produktlebenszyklus, Sicherheit von Lieferketten, regelmäßige Schulung, Cyberhygienemaßnahmen, Zutritts- und Zugriffskontrolle, Multi-Faktor- und kontinuierliche Authentifikation, gesicherte Kommunikation, Kryptographie, Sicherheitsvorfallmanagement sowie Betriebskontinuitäts- und Krisenmanagement umfassen.Als weitere Anforderung an die Einrichtungen ihres Anwendungsbereichs schreibt die NIS-2-Richtlinie die Meldung erheblicher Sicherheitsvorfälle vor. Ein Sicherheitsvorfall gilt als erheblich, wenn er zu schwerwiegenden Betriebsstörungen oder finanziellen Verlusten für die betroffene Einrichtung oder zu schwerwiegenden materiellen oder immateriellen Schäden für Dritte führt oder führen kann. Innerhalb von 24 Stunden nach Kenntnisnahme eines solchen Vorfalls ist eine Frühwarnung abzusetzen. Spätestens 72 Stunden nach Kenntnisnahme des Vorfalls ist eine Meldung als Aktualisierung der Frühwarnung und erste Bewertung zu übermitteln. Innerhalb eines Monats nach Übermittlung der Meldung ist ein Abschlussbericht vorzulegen, der eine ausführliche Beschreibung des Vorfalls enthält. Sollte zu diesem Zeitpunkt der Vorfall andauern, ist ein Fortschrittsbericht zu übermitteln und der Abschlussbericht innerhalb eines Monats nach Behandlung des Vorfalls nachzureichen.Während die Anforderungen der NIS-2-Richtlinie für alle in ihren Anwendungsbereich fallenden Einrichtungen gleichermaßen gelten, unterscheidet die Richtlinie hinsichtlich der Aufsichts- und Durchsetzungsmaßnahmen sowie der Verhängung von Geldbußen zwischen sogenannten wesentlichen und wichtigen Einrichtungen. Eine im Anwendungsbereich der Richtlinie spezifizierte Einrichtung gilt im Standardfall als wesentlich, wenn die Art der Einrichtung explizit in einem Sektor mit hoher Kritikalität genannt wird und sie in Bezug auf ihre Größe als groß eingestuft wird. Andernfalls gilt sie im Standardfall als wichtig. Wie bei der Definition des Anwendungsbereichs der Richtlinie selbst gibt es auch bei dieser Differenzierung Ausnahmen, durch welche bestimmte Einrichtungen in Abweichung von der Standardregel als wesentlich klassifiziert werden.Für wichtige Einrichtungen sieht die NIS-2-Richtlinie nachträgliche (ex post) Aufsichtsmaßnahmen für jenen Fall vor, dass Nachweise, Hinweise oder Informationen vorgelegt werden, wonach die Einrichtung mutmaßlich der Richtlinie nicht nachkommt, und legt einen Maximalbetrag für Geldbußen von 1,4 % des weltweiten Jahresumsatzes (mindestens jedoch 7 Millionen Euro) fest. Für wesentliche Einrichtungen sieht die Richtlinie daneben auch präventive (ex ante) Aufsichtsmaßnahmen, wie die Anforderung von Informationen oder Nachweisen, die Aufforderung zu regelmäßigen externen Sicherheitsaudits oder die Durchführung von Vor-Ort-Kontrollen, vor und legt einen Maximalbetrag für Geldbußen von 2,0 % des weltweiten Jahresumsatzes (mindestens jedoch 10 Millionen Euro) fest. Weiterführende Informationen Warum? Warum ist es notwendig, eine Richtlinie zum Thema Cybersicherheit zu erlassen?Erfahren Sie mehr > Wer? Für wen gilt die NIS-2-Richtlinie?Erfahren Sie mehr > Zurück Zurück zur Übersicht >
