.png)
NIS2 ist die Cybersicherheitsrichtlinie der Europäischen Union, die auf ihrer Vorgängerin aufbaut, um einen stärkeren Schutz und eine größere Widerstandsfähigkeit zu gewährleisten. In diesem Blogartikel werfen wir einen genaueren Blick auf die von der NIS2-Richtlinie geforderte nationale Umsetzung und werfen einen Blick auf die lokalen Gesetze: Welche sind unter Cyberday verfügbar und wie unterscheiden sie sich von der europäischen Richtlinie?
Die NIS2-Richtlinie ist eine aktualisierte Fassung der ursprünglichen NIS-Richtlinie, die den Anwendungsbereich der ursprünglichen Richtlinie erweitert und die Cybersicherheit in der gesamten Europäischen Union stärken soll. Die NIS2-Richtlinie gilt für eine breite Palette von Sektoren, die für das Funktionieren der Wirtschaft von entscheidender Bedeutung sind, wie Energie, Verkehr, Wasser, Lebensmittel, Gesundheit, Finanzen, Betreiber digitaler Infrastrukturen, die verarbeitende Industrie und viele andere.
Im Frühjahr 2024 haben wir ein E-Book über NIS2 bereit mit ISO 27001 Best Practices. In unserem kostenlosen E-Book führen wir Sie durch die Welt von NIS2, die Inhalte der Richtlinie und geben Ihnen praktische Tipps, wie Sie die Konformität erreichen können. Holen Sie sich Ihr E-Book hier: cyberday.ai/ebook
.png)
Die EU-Mitgliedstaaten mussten die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen, wobei die Umsetzung kurz danach erfolgen sollte. Zwar haben viele die Frist verpasst, doch die Fortschritte sind ungebrochen, und die meisten Länder dürften ihre Rechtsvorschriften bald fertigstellen. Die Richtlinie erweitert die erfassten Sektoren und verschärft die Anforderungen an das Risikomanagement, die Meldung von Zwischenfällen und die Cybersicherheitsmaßnahmen, einschließlich strengerer Standards für die Meldung von Zwischenfällen und die Sicherheit der Lieferkette.
Zu den wichtigsten Entscheidungen auf nationaler Ebene gehören die Festlegung der lokalen Behörden, die Umsetzung und die Einzelheiten der Überwachung. Die Richtlinie legt Mindestkontrollmethoden fest und erlaubt nur Ergänzungen auf nationaler Ebene. Zu den Überlegungen gehören:
Die NIS2 legt großen Wert auf die Rolle der Behörden bei der Gewährleistung der Cybersicherheit kritischer Dienste und kritischer Infrastrukturen in der Europäischen Union und betont die Notwendigkeit einer verstärkten Zusammenarbeit zwischen den Behörden der EU-Mitgliedstaaten.
In den nationalen Rechtsvorschriften sollte festgelegt werden , welche Behörden für die Überwachung der Umsetzung der NIS2 in dem betreffenden Land zuständig sind und ob die Überwachung beispielsweise auf verschiedene Behörden je nach ihren Zuständigkeitsbereichen aufgeteilt ist. Die Länder müssen lokale Behörden benennen, die für die Einhaltung der NIS2-Vorschriften sorgen: Dies bedeutet, dass sie nationale Aufsichtsbehörden benennen oder neue Aufsichtsteams für Bereiche wie Energie, Gesundheit und Verkehr einrichten.
Die NIS2 legt klare und strenge Anforderungen für die Umsetzung und Überwachung fest, um die Einhaltung sowohl durch Organisationen als auch durch die Mitgliedstaaten zu gewährleisten. Die Mitgliedstaaten müssen gegenüber den Hauptakteuren wirksame, verhältnismäßige und abschreckende Kontrollmaßnahmen durchsetzen und dabei die besonderen Umstände jedes Einzelfalls berücksichtigen. Ergibt die Überwachung, dass ein wichtiger Akteur möglicherweise gegen die Vorschriften verstößt, müssen die Behörden geeignete Maßnahmen ergreifen, gegebenenfalls auch nachträgliche Kontrollmaßnahmen. Darüber hinaus sollten die Länder Teams einrichten, die sich mit Vorfällen im Bereich der Cybersicherheit befassen und diese bei Bedarf untersuchen.
Laut NIS2 sollte eine Organisation über klar definierte Richtlinien verfügen, um Informationssicherheitsrisiken zu verwalten, die Wirksamkeit von Sicherheitsmaßnahmen zu bewerten und Schlüsselbereiche für Verbesserungen zu identifizieren.
In der NIS2-Richtlinie werden insbesondere die folgenden Bereiche der Informationssicherheit genannt, für die die Organisation ihre Maßnahmen dokumentieren und umsetzen muss, wobei die Leitung der Organisation für die Angemessenheit dieser Maßnahmen verantwortlich ist:
Jedes Land muss sicherstellen, dass die Organisationen Maßnahmen zum Risikomanagement ergreifen. Zu diesen Maßnahmen gehören die Gewährleistung sicherer Lieferketten und eine sorgfältige Überprüfung der Risiken.
Im Rahmen der NIS2 müssen bedeutende Vorfälle der nationalen Aufsichtsbehörde gemeldet werden, so dass die nationalen Rechtsvorschriften festlegen, wann und wie Vorfälle zu melden sind. Die NIS2 legt somit die grundlegenden Standards fest, aber die Länder können je nach ihren eigenen Bedürfnissen strengere oder detailliertere Vorschriften erlassen.
Auf nationaler Ebene ist es auch möglich, über den Anwendungsbereich der NIS2-Richtlinie hinauszugehen und Spezifikationen entsprechend den nationalen Bedürfnissen zu erstellen. Diese Vereinbarungen und Maßnahmen auf nationaler Ebene werden sicherstellen, dass die NIS2-Richtlinie auf die Rechtsvorschriften der einzelnen Länder zugeschnitten ist und gleichzeitig ein kohärenter Ansatz für die Cybersicherheit in der gesamten EU beibehalten wird.
Belgien hat die NIS2-Richtlinie der Europäischen Union in Form des NIS2-Gesetzes in nationales Recht umgesetzt. Dieses Gesetz ist eng an die EU-Richtlinie angelehnt und enthält nur geringfügige nationale Anpassungen. Es legt Cybersicherheitsanforderungen für Unternehmen fest, die in kritischen Sektoren tätig und in Belgien registriert sind. Zu den wichtigsten nationalen Maßnahmen gehören spezifische Registrierungsverfahren und Konformitätsbewertungen.
Die kroatische Umsetzung der NIS2 Das Cybersicherheitsgesetz (Zakon o kibernetičkoj sigurnosti NN 14/2024) ist im Februar 2024 in Kraft getreten. Es definiert Cybersicherheitsregeln für kroatische Unternehmen mit denselben Kriterien wie die NIS2, mit einigen Ausnahmen, wie der Einbeziehung zusätzlicher Sektoren, einer detaillierten Kategorisierung von Unternehmen, definierten Fristen für die Einhaltung und bestimmten Strafen.
Finnlands "Kyberturvallisuuslaki" wartet auf die letzte Genehmigung, kann aber bereits in der Umsetzung verwendet werden. Das Cybersicherheitsgesetz schafft einen klaren Rechtsrahmen für das Risikomanagement im Bereich der Informationssicherheit und die Meldung von Vorfällen im Einklang mit der NIS2-Richtlinie. Das neue Gesetz zielt darauf ab, die derzeitige fragmentierte finnische Gesetzgebung zur Cybersicherheit zu vereinheitlichen und mit den durch NIS2 eingeführten EU-weiten Standards zu harmonisieren. Es erweitert den Geltungsbereich der Anforderungen an das Risikomanagement und die Berichterstattung und präzisiert die Zahl der Unternehmen und öffentlichen Einrichtungen, die diese einhalten müssen. Das Cybersicherheitsgesetz nimmt das Mindestniveau der Richtlinie als Ausgangspunkt und definiert hauptsächlich die Punkte, die dem Inhalt der Richtlinie entsprechen. Das Cybersicherheitsgesetz erweitert weder den Anwendungsbereich der NIS2-Richtlinie noch die Kontrollmöglichkeiten.
Die NIS2 wurde in Lettland als "Nationales Cybersicherheitsgesetz" verabschiedet. Es verbessert die Sicherheit von Informations- und Kommunikationstechnologien, einschließlich der Festlegung von Anforderungen für die Bereitstellung und den Empfang wesentlicher und wichtiger Dienste und den Betrieb von Informations- und Kommunikationstechnologien. Das Gesetz dehnt den Geltungsbereich auf Organisationen des öffentlichen und privaten Sektors aus und teilt sie je nach Kritikalität in drei Gruppen ein.
Das Cybersicherheitsgesetz "Kibernetinio Saugumo Įstatymas" setzt das NIS2-Gesetz der Europäischen Union in Litauen um. Es enthält Anforderungen an verschiedene Organisationen zur Stärkung ihres Cybersecurity-Risikomanagements. Das litauische Gesetz sieht einen erweiterten Anwendungsbereich, detaillierte Umsetzungsfristen (12 Monate ab Aufnahme) und definierte Aufsichtsfunktionen vor.
Sie können jetzt Ihre nationalen Gesetze unter Cyberday aktivieren! Hier finden Sie die allgemeine EU-Fassung der NIS2-Richtlinie sowie die nationalen Gesetze der Länder, die dem NIS2-Rahmen unterliegen. Aktivieren Sie die Gesetzgebung Ihrer Wahl mit einem Klick auf eine Schaltfläche.
Wenn Sie weitere Fragen haben, können Sie unser Team per Chat oder E-Mail an team@cyberday.ai kontaktieren. Wir freuen uns auch über Feedback zur Nutzung von Cyberday
