Begleiten Sie uns heute, wenn wir die Entwicklung der Cybersicherheitsvorschriften der Europäischen Union (EU) nachzeichnen - den Übergang von der Richtlinie über Netz- und Informationssicherheit (NIS) zur erweiterten NIS2-Richtlinie. Wir werden die Entstehungsgeschichte der NIS-Richtlinie und ihres neueren Gegenstücks, der NIS2-Richtlinie, näher beleuchten und erläutern, was Unternehmen tun müssen, um die Vorschriften einzuhalten, und wie die EU durch ihre fortschrittliche Gesetzgebung den Anforderungen unserer zunehmend vernetzten und digital komplexen Welt gerecht wird.

Ein genauerer Blick: die Entstehungsgeschichte der NIS-Richtlinie

Im Jahr 2016 führte die EU die NIS ein, die erste Cybersicherheitsverordnung, die für alle Mitgliedsländer gilt. Jedes Mitglied wurde ermutigt, sein eigenes Computer Security Incident Response Team (CSIRT) und die zuständigen nationalen Behörden einzurichten. 

Die NIS zielt darauf ab, in allen Sektoren, die das Rückgrat von Wirtschaft und Gesellschaft bilden, wie Energie, Verkehr, Wasser, Banken, Gesundheitswesen und digitale Infrastruktur, eine sicherheitsorientierte Denkweise zu fördern. Unternehmen, die als Betreiber wesentlicher Dienste in diesen Sektoren fungieren, wurden aufgefordert, geeignete Sicherheitsmaßnahmen zu ergreifen und bedeutende Vorfälle unverzüglich den nationalen Behörden zu melden.

Die Richtlinie erstreckte sich auch auf Anbieter kritischer digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze, wodurch ein umfassender Ansatz für die Cybersicherheit eingeführt wurde.

Das Spiel wird härter: Die NIS2-Richtlinie

Während die NIS-Richtlinie einen wesentlichen Schritt zur Stärkung der Cybersicherheitskapazitäten der Mitgliedstaaten darstellte, erwies sich ihre Umsetzung als schwierig. Dies führte zu einer zersplitterten Landschaft mit unterschiedlichen Umsetzungsgraden innerhalb des Binnenmarktes.

Da die digitale Welt in unserem Leben immer mehr an Bedeutung gewinnt, werden auch die Cyber-Bedrohungen immer zahlreicher und raffinierter. Aus diesem Grund hat die Kommission beschlossen, die NIS-Richtlinie zu aktualisieren, um die Sicherheitsanforderungen zu verschärfen, die Sicherheit der Lieferkette zu verbessern, die Meldepflichten zu straffen und strengere Überwachungsmaßnahmen und Durchsetzungsvorschriften einzuführen.

Der neue NIS2-Vorschlag hebt die Unterscheidung zwischen OES und DSP auf und führt eine gestraffte Klassifizierung von Einrichtungen als wesentlich oder wichtig ein. Außerdem wird der Anwendungsbereich auf neue Sektoren wie Abwasserentsorgung, Lebensmittel und Raumfahrt ausgeweitet und gilt für alle mittleren und großen Unternehmen in diesen Sektoren. 

Die Änderungen fördern auch eine bessere Koordinierung bei der Offenlegung neuer Schwachstellen und die Einführung von Verwaltungssanktionen, die denen der Datenschutz-Grundverordnung ähneln. Die Sicherheitsanforderungen werden mit klareren Bestimmungen zur Meldung von Vorfällen und strengeren Maßnahmen für nationale Behörden verschärft.

Insgesamt harmonisieren diese Änderungen die Sanktionsregelungen in den Mitgliedstaaten und stärken die Cybersicherheit für wichtige Informations- und Kommunikationstechnologien auf europäischer Ebene. Durch die Ausweitung ihres Anwendungsbereichs ermutigt die NIS2 mehr Einrichtungen und Sektoren, ihre Cybersicherheitsmaßnahmen zu verstärken. Dieser Plan wird den Status Europas im Bereich der Cybersicherheit langfristig erheblich verbessern.

Blick nach vorn: Einhaltung der Vorschriften und darüber hinaus

Die Mitgliedstaaten müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in geltendes nationales Recht umsetzen und diese Maßnahmen ab dem 18. Oktober 2024 anwenden. Dies bedeutet, dass Unternehmen nun die Aufgabe haben, die notwendigen Maßnahmen zu ergreifen und zu erlassen, um die NIS2-Richtlinie vor Ort umzusetzen.

Vor diesem Hintergrund sind die Unternehmen aufgefordert, so bald wie möglich mit der Umsetzung zu beginnen. Dazu gehört ein umfassender Blick auf die Cybersicherheitslage des Unternehmens, die Identifizierung potenzieller Schwachstellen und der Aufbau robuster Abwehrmaßnahmen.

Letztendlich sind die Verbesserungen der NIS2-Richtlinie eine Chance für Unternehmen in der gesamten EU. Indem sie die notwendigen Schritte zur Einhaltung der Richtlinie unternehmen, passen sie sich den Vorschriften an und stärken ihre Abläufe, schützen ihre Kunden und tragen zu einem widerstandsfähigeren digitalen Europa bei.

Bevor ich zum Schluss komme, möchte ich noch auf eine Lösung hinweisen, die Unternehmen bei der Einhaltung der NIS2-Anforderungen unterstützen kann: GFI LanGuard. Seit mehr als zehn Jahren unterstützt GFI LanGuard zahlreiche Unternehmen in aller Welt bei der Verwaltung und Aufrechterhaltung des Endpunktschutzes in ihren Netzwerken. GFI LanGuard bietet einen umfassenden Überblick über alle Netzwerkelemente und hilft so, potenzielle Schwachstellen zu erkennen und zu beheben.

Lesen Sie mehr darüber, wie GFI LanGuard Unternehmen bei der Einhaltung der neuen NIS2-Verordnung unterstützen kann..