NIS2

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Die NIS2-Richtlinie (Network and Information Systems Directive 2) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Richtlinie (EU) 2016/1148) der Europäischen Union, die 2016 in Kraft trat. Sie zielt darauf ab, die Cybersicherheitsstandards und -praktiken in der EU weiter zu verbessern und auszuweiten, insbesondere in Bezug auf kritische Infrastrukturen und essenzielle Dienste.

Wesentliche Punkte der NIS2-Richtlinie

  • Erweiterter Anwendungsbereich: NIS2 deckt einen größeren Bereich von Sektoren und Unternehmen ab, die als essenziell für die Gesellschaft gelten. Dies schließt nun auch Gesundheitswesen, Abfallwirtschaft, Herstellung bestimmter kritischer Produkte, Verwaltung digitaler Dienste (wie Cloud-Anbieter und Online-Marktplätze) und mehr ein.
  • Erhöhte Anforderungen an Cybersicherheit: Die Richtlinie legt strengere Anforderungen an die Sicherheitsmaßnahmen und Meldepflichten für Vorfälle fest. Unternehmen müssen umfangreichere Maßnahmen zur Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle implementieren.
  • Meldepflichten: NIS2 verlangt von betroffenen Unternehmen, schwerwiegende Sicherheitsvorfälle innerhalb einer bestimmten Frist an die zuständigen nationalen Behörden zu melden, um eine koordinierte Reaktion zu ermöglichen.
  • Strengere Aufsicht und Durchsetzung: Die Richtlinie stärkt die Befugnisse der nationalen Aufsichtsbehörden und führt härtere Sanktionen für Unternehmen ein, die die Anforderungen nicht erfüllen.
  • Zusammenarbeit und Informationsaustausch: NIS2 fördert die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten, insbesondere durch den Ausbau des Netzwerks von Computer Security Incident Response Teams (CSIRTs) und anderer relevanter Behörden.
  • Kritische Lieferketten: Es wird mehr Augenmerk auf die Absicherung von Lieferketten gelegt, um sicherzustellen, dass auch Zulieferer und Partner von Unternehmen die Sicherheitsanforderungen erfüllen.

Ziele der NIS2-Richtlinie

  • Verbesserung der Widerstandsfähigkeit und Cybersicherheit kritischer Infrastrukturen in der EU.
  • Einheitliche Sicherheitsstandards und -praktiken in allen Mitgliedstaaten der EU.
  • Erhöhung des Schutzniveaus für essenzielle und wichtige Dienste.
  • Förderung einer stärkeren Zusammenarbeit auf europäischer Ebene zur Bewältigung von Cyberbedrohungen.


Die NIS2-Richtlinie wurde am 27. Dezember 2022 veröffentlicht und muss bis Oktober 2024 in nationales Recht umgesetzt werden. Unternehmen, die von der Richtlinie betroffen sind, müssen sich auf strengere Sicherheitsanforderungen und eine intensivere regulatorische Überwachung vorbereiten.

Weiterführende Quellen

RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

BSI: Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft