NIS 2 – EU beschließt Stärkung der unionsweiten Cybersicherheit und Resilienz: Rat nimmt neue Rechtsvorschriften an
Der Rat hat Rechtsvorschriften zur Sicherung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union angenommen, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter zu verbessern.
Die neue Richtlinie mit der Bezeichnung „NIS 2“ wird die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (die NIS-Richtlinie) ersetzen.
Es besteht kein Zweifel daran, dass Cybersicherheit in den kommenden Jahren eine zentrale Herausforderung bleiben wird. Für unsere Volkswirtschaften und unsere Bürgerinnen und Bürger steht sehr viel auf dem Spiel. Heute haben wir einen weiteren Schritt unternommen, um unsere Fähigkeit zur Bewältigung dieser Bedrohung zu verbessern.Ivan Bartoš, stellvertretender tschechischer Ministerpräsident für Digitalisierung und Minister für Regionalentwicklung
Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit
NIS 2 wird die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren bilden, die unter die Richtlinie fallen, wie etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Mit der überarbeiteten Richtlinie sollen die Anforderungen an die Cybersicherheit und die Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten harmonisiert werden. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedstaaten festgelegt. Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten.
Mit der Richtlinie wird das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen, EU-CyCLONe, offiziell eingerichtet, das das koordinierte Management massiver Cybersicherheitsvorfälle und -krisen unterstützen wird.
Ausweitung des Anwendungsbereichs der Vorschriften
Während nach der alten NIS-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der neuen NIS 2-Richtlinie ein Schwellenwert für die Größe eingeführt, der als allgemeine Regel für die Ermittlung beaufsichtigter Einrichtungen dient. Das bedeutet, dass alle mittleren und großen Einrichtungen, die in den von der Richtlinie erfassten Sektoren tätig sind oder unter die Richtlinie fallende Dienste erbringen, in den Anwendungsbereich der Richtlinie fallen.
In der überarbeiteten Richtlinie wird zwar an dieser allgemeinen Regel festgehalten, jedoch enthält der Text zusätzliche Bestimmungen, um die Verhältnismäßigkeit, ein höheres Maß an Risikomanagement und eindeutige Kritikalitätskriterien, anhand derer nationale Behörden weitere erfasste Einrichtungen bestimmen können, zu gewährleisten.
In dem Text wird ferner klargestellt, dass die Richtlinie nicht für Einrichtungen gilt, die Tätigkeiten in Bereichen wie Verteidigung oder nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung ausüben. Auch Justiz, Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen.
NIS 2 wird auch für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten. Darüber hinaus können die Mitgliedstaaten beschließen, dass sie auch für derartige Einrichtungen auf lokaler Ebene gilt.
Weitere Änderungen durch die neuen Vorschriften
Darüber hinaus wurde die neue Richtlinie an die sektorspezifischen Rechtsvorschriften angepasst, insbesondere an die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) und die Richtlinie über die Resilienz kritischer Einrichtungen (CER), um Rechtsklarheit zu schaffen und für Kohärenz zwischen NIS 2 und diesen Rechtsakten zu sorgen.
Ein freiwilliger Peer-Learning-Mechanismus wird in der Union das gegenseitige Vertrauen stärken und das Lernen aus bewährten Verfahren und Erfahrungen verbessern und so zu einem hohen gemeinsamen Cybersicherheitsniveau beitragen.
Außerdem werden mit den neuen Rechtsvorschriften die Meldepflichten gestrafft, um übermäßige Meldungen und einen übermäßigen Aufwand für die betreffenden Einrichtungen zu vermeiden.
Quelle: consilium.europa.eu