NIS 2 ist die zweite Version der EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive 2). Sie soll die Cybersicherheit in der Europäischen Union stärken und ersetzt bzw. erweitert die frühere NIS-Richtlinie von 2016.
Ziele von NIS 2
- Höheres Cybersicherheitsniveau in der EU
- Besserer Schutz kritischer und wichtiger Einrichtungen
- Einheitlichere Sicherheitsanforderungen in den Mitgliedstaaten
- Schnellere Meldung von Sicherheitsvorfällen
Wer ist betroffen?
NIS 2 betrifft deutlich mehr Unternehmen und Organisationen als die ursprüngliche NIS-Richtlinie, unter anderem aus Bereichen wie:
- Energie
- Verkehr
- Gesundheitswesen
- Banken und Finanzmarktinfrastruktur
- Trinkwasser und Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- IT-Dienstleister und Cloud-Anbieter
- Post- und Kurierdienste
- Lebensmittelproduktion
Grundsätzlich sind mittelgroße und große Unternehmen in diesen Sektoren betroffen.
Wichtige Anforderungen
Betroffene Unternehmen müssen unter anderem:
- Risiken für die Informationssicherheit managen
- Technische und organisatorische Schutzmaßnahmen umsetzen
- Sicherheitsvorfälle überwachen und dokumentieren
- Lieferkettenrisiken berücksichtigen
- Mitarbeitende schulen
- Notfall- und Wiederherstellungspläne erstellen
Meldepflichten
Bei erheblichen Cybervorfällen gelten strenge Fristen:
- Frühwarnung innerhalb von 24 Stunden
- Ausführlichere Meldung innerhalb von 72 Stunden
- Abschlussbericht innerhalb eines Monats
