NIS2: EU-Richtlinie für Cybersicherheit tritt Mitte Januar 2023 in Kraft

Die neue EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) der Europäischen Union liegt nun in finaler Textform vor. Sie tritt am 16. Januar 2023 in Kraft und soll „für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ sorgen.

NIS2: Neue EU-Richtlinie für Cybersicherheit ausformuliert

Die Neuauflage der Vorschriften zur Netz- und Informationssicherheit (NIS), NIS2 genannt, wurde von der Europäischen Union nun ausformuliert und kann am 16. Januar 2023 in Kraft treten. Nachdem das EU-Parlament das neue Gesetz im November 2022 verabschiedet hat, kommen damit auf Unternehmen, staatliche Betriebe und Behörden im kommenden Jahr weitreichende Änderungen zu.

NIS2 regelt dabei unter anderem die Sicherheitsanforderungen und Meldepflichten, die Unternehmen erfüllen müssen. Im Falle von Vorfällen im Bereich der Cybersicherheit müssen entsprechende Betriebe künftig innerhalb von 24 Stunden die zuständigen Behörden zunächst grob informieren, innerhalb von 72 Stunden muss dann ein ausführlicher Bericht mit Details nachgereicht werden.

Die neue EU-Richtlinie erstreckt sich dabei unter anderem auf Einrichtungen, die gemäß Richtlinie 2022/2557 als kritische Einrichtungen eingestuft wurden. Mit NIS2 kommen aber auch neue Kategorien für Unternehmen hinzu – darunter zählen beispielsweise auch Telekommunikationsfirmen, die Abwasser- und Abfallwirtschaft, Energieversorger, Gesundheitsdienstleister und viele weitere Bereiche mit ein.

Vor allem im Bereich der digitalen Infrastruktur fasst NIS2 viele neue Unternehmen, die unter den Bereich der „Sektoren mit hoher Kritikalität“ fallen. Laut Bericht von heise.de zählen nach Schätzungen EU-weit knapp 160.000, in Deutschland knapp 20.000 Betriebe und öffentliche Einrichtung dazu, die unter die neue Richtlinie fallen.

• Auch interessant: Intelligente Schrauben sichern kritische Infrastrukturen und funken Status

Umsetzung bis Oktober 2024

NIS2 soll darüber hinaus auch den Betrieb anonymer Websites innerhalb der EU erschweren und nahezu unmöglich machen. Top Level Domains und andere Webadressen müssen künftig „genaue und vollständige Domänennamen-Registrierungsdaten“ vorweisen. Darüber müssen sich künftig die Domain-Inhaber und die Kontaktstellen verwalten, identifizieren und kontaktieren lassen.

Auf Antrag müssen die Daten beispielsweise Strafverfolgungsbehörden zugänglich gemacht werden und das binnen 72 Stunden nach Eingang eines entsprechenden Antrages. Bis zum 17. Oktober 2024 haben die EU-Mitgliedsstaaten Zeit, die neu gefassten Vorgaben in nationales Recht umzusetzen.

Zudem umfasst die NIS2-Direktive auch Regularien über die Erstellung eigener nationaler Cybersicherheits-Strategien der Mitgliedsstaaten, während die Länder eigene Cybersicherheitsgesetze erlassen dürfen, aber nicht müssen. Die Bundesregierung arbeitet dazu an einem neuen KRITIS-Dachgesetz für kritische Infrastrukturen, das im Jahr 2023 verabschiedet werden könnte.