{"id":27942,"date":"2024-09-17T09:21:05","date_gmt":"2024-09-17T07:21:05","guid":{"rendered":"https:\/\/www.haufe-akademie.de\/blog\/?p=27942"},"modified":"2024-09-17T11:07:47","modified_gmt":"2024-09-17T09:07:47","slug":"nis-2-richtlinie","status":"publish","type":"post","link":"https:\/\/www.haufe-akademie.de\/blog\/themen\/recht-datenschutz\/nis-2-richtlinie\/","title":{"rendered":"NIS 2-Richtlinie: Die neuen EU-Cybersicherheits­anforderungen"},"content":{"rendered":"

Die NIS 2-Richtlinie<\/strong>, welche am 16. Januar 2023 in Kraft getreten ist, stellt eine umfassende \u00dcberarbeitung der urspr\u00fcnglichen NIS-Richtlinie dar und zielt darauf ab, das Cybersicherheitsniveau in der Europ\u00e4ischen Union signifikant zu erh\u00f6hen.\u00a0Die ab Oktober 2024 geltende neue Richtlinie erweitert den Anwendungsbereich erheblich<\/strong> und legt strengere Sicherheitsanforderungen f\u00fcr Unternehmen und Organisationen fest. Pr\u00fcfen Sie jetzt, ob auch Ihr Unternehmen den Anforderungen unterliegt, und lesen Sie in diesem Artikel alle wichtigen Informationen, um sich entsprechend vorzubereiten!<\/p>\n

NIS 2-Richtlinie: Relevanz und Hintergrund <\/strong><\/h2>\n

Mit der fortschreitenden Vernetzung und Digitalisierung innerhalb der Europ\u00e4ischen Union w\u00e4chst auch die Gefahr von Cyberangriffen. Um diesen Bedrohungen zu begegnen, hat die EU die NIS-2-Richtlinie verabschiedet, die die urspr\u00fcngliche NIS-Richtlinie von 2016 erweitert und modernisiert. Diese Richtlinie, bekannt als \u201eNetwork and Information Security (NIS) Directive\u201c, wurde am 27. Dezember 2022 im Amtsblatt der EU ver\u00f6ffentlicht und trat am 16. Januar 2023 in Kraft. Sie setzt neue Standards f\u00fcr die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Die EU-Mitgliedstaaten m\u00fcssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen.<\/p>\n

In Deutschland existiert seit Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung, bekannt als NIS-2-Umsetzungs- und Cybersicherheitsst\u00e4rkungsgesetz (NIS-2UmsuCG). Diese neue Richtlinie wird die Anzahl der betroffenen Unternehmen erheblich erh\u00f6hen. Zudem werden strengere Anforderungen an diese Unternehmen gestellt, und der Druck zur Durchsetzung wird durch die Androhung h\u00f6herer Sanktionen und die Haftung der F\u00fchrungsebene verst\u00e4rkt.<\/p>\n

Wer ist von der NIS-2-Richtlinie betroffen?<\/strong><\/h2>\n

Die NIS-2-Richtlinie unterscheidet zwischen \u201ebesonders wichtigen Einrichtungen\u201c und \u201ewichtigen Einrichtungen\u201c. Der wesentliche Unterschied besteht darin, dass f\u00fcr \u201ewichtige Einrichtungen\u201c niedrigere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Beh\u00f6rden unterliegen, w\u00e4hrend \u201ebesonders wichtige Einrichtungen\u201c proaktiv \u00fcberwacht werden. In der EU sollen keine unterschiedlichen Mindestschwellenwerte mehr gelten, sondern die Betroffenheit nach einheitlichen Kriterien ermittelt werden. Unter die Regulierung fallen mittlere und gro\u00dfe Unternehmen:<\/p>\n

    \n
  1. Mittelgro\u00df<\/strong>: 50-249 Besch\u00e4ftigte oder 10-50 Millionen Euro Umsatz, weniger als 43 Millionen Euro Bilanzsumme<\/li>\n
  2. Gro\u00df<\/strong>: mindestens 250 Mitarbeitende oder mindestens 50 Millionen Euro Umsatz<\/li>\n<\/ol>\n

    Dadurch wird der Anwendungsbereich in Deutschland erheblich erweitert.<\/p>\n

    Die Zugeh\u00f6rigkeit eines Unternehmens zu den unter die NIS-2-Richtlinie fallenden Organisationen wird f\u00fcr Betreiber kritischer Infrastrukturen (KRITIS) weiterhin durch bestimmte Schwellenwerte bestimmt, w\u00e4hrend f\u00fcr Unternehmen von besonderer oder grundlegender Bedeutung haupts\u00e4chlich der Sektor, die Umsatzzahlen und die Mitarbeiterzahl entscheidend sind. Die NIS-2-Richtlinie betrifft eine breitere Palette von Branchen und Sektoren als ihr Vorg\u00e4nger. Neben wesentlichen Einrichtungen wie Energieversorgern und Gesundheitsdiensten sind nun auch Anbieter digitaler Dienste und Produkthersteller betroffen.<\/p>\n

    Rechtliche Pflichten und Strafen im Rahmen der NIS-2-Richtlinie<\/strong><\/h2>\n

    Die NIS-2-Richtlinie bringt weitreichende, verpflichtende Aktionen f\u00fcr Unternehmen und \u00f6ffentliche Einrichtungen in der EU mit sich. Hier ein \u00dcberblick \u00fcber die wichtigsten rechtlichen Pflichten:<\/p>\n

      \n
    1. Erweiterte Meldepflichten<\/strong><\/li>\n<\/ol>\n

      Unternehmen m\u00fcssen erhebliche Sicherheitsvorf\u00e4lle innerhalb von 24 Stunden an die zust\u00e4ndigen Beh\u00f6rden melden und innerhalb von 72 Stunden detailliertere Informationen bereitstellen.\u00a0Diese versch\u00e4rften Meldepflichten sollen eine schnellere Reaktion auf Cyberbedrohungen erm\u00f6glichen.<\/p>\n

        \n
      1. Umfassendere Sicherheitsma\u00dfnahmen<\/strong><\/li>\n<\/ol>\n

        Die Richtlinie verpflichtet Unternehmen, umfangreichere Ma\u00dfnahmen zum Schutz vor Cyberangriffen zu implementieren und deren Wirksamkeit regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen.\u00a0Dies umfasst:<\/p>\n