EU NIS 2 Cyber Security

EU NIS2 Cyber Security

EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest. NIS2 erweitert Betroffenheit und Pflichten deutlich – ab 2024 müssen Unternehmen 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz neue Cyber Security Pflichten umsetzen.

• Betreiber und Sektoren
• Maßnahmen
• Aufsicht
• EU-Kooperation
• Roadmap

NIS 2 löst die bisherige NIS-Direktive ab, wurde 2022 nach langen Verhandlungen von Parlament und Rat der EU angenommen. EU-Staaten müssen NIS2 bis Oktober 2024 in nationales Recht überführen, in Deutschland möglicherweise mit dem IT-Sicherheitsgesetz 3.0. Parallel reguliert EU RCE/CER Resilienz bei Betreibern.

Neuerungen in NIS2

Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016. Der vom Europäischen Parlament verabschiedete Entwurf von November 2022 enthält deutlich mehr Betroffenheit, Pflichten und Aufsicht:

• Sektoren: Die kritischen Essential Sektoren erhöhen sich auf sieben, die Sektoren von Important Entities wachsen auf elf — auf insgesamt achtzehn NIS2 Sektoren.
• Betreiber: Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Anlagen-Schwellenwerte o.ä. Methodik.
• Einige Betreiber sollen unabhängig der Größe reguliert werden – Teile der digitalen Infrastruktur und öffentliche Verwaltung
• Cyber Security: Die Anforderungen an Betreiber und Mitglied­staaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
• Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
• Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximal­strafen von mind. 7 oder 10 Mio. EUR, je nach Sektor.

Schwellenwerte und Betroffenheit

Die Betroffenheit wird in NIS 2 nach uniformen Kriterien festgestellt — reguliert werden mittlere und große Unternehmen der achtzehn Sektoren nach Größe gem. 2003/361/EC:

Essential Entities

Der Hauptteil von kritischen Sektoren und Betreibern besteht in NIS2 aus Essential Entities in elf Sektoren.

Important Entities

Die Important Entities sind der zweite Teil an Betroffenen in NIS2 und bestehen aus sieben weiteren Sektoren.

Sicherheitsmaßnahmen BSI-Anforderungen

Die Sicherheitsmaßnahmen für KRITIS orientieren sich an der Konkretisierung der Anforderungen des BSI für KRITIS-Betreiber und Prüfer mit 100 Kontrollen basierend auf C5. Andere Security Standards sind für KRITIS auch möglich.

Wenn Sie Fragen haben oder weitere Informationen benötigen, dann melden Sie sich bitte einfach.