Zusammenfassung der NIS-2-Richtlinie

Die „NIS-2-Richtlinie“ oder kurz „NIS-2“ ist eine Richtlinie der Europäischen Union, die strenge Anforderungen an die Cybersicherheit für EU-Unternehmen festlegt, die als kritische Infrastrukturen gelten.

Offiziell bekannt als „Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union“, wurde sie am 14. Dezember 2022 veröffentlicht.

Die NIS 2 ist eine Richtlinie, was bedeutet, dass jedes EU-Land seine eigenen Gesetze zur Cybersicherheit auf der Grundlage der NIS 2 entwickeln wird. Dabei legt die NIS 2 das Mindestniveau an Cybersicherheit fest. In der Praxis bedeutet dies, dass Unternehmen in einigen Ländern das in der NIS 2 festgelegte Minimum einhalten müssen, während sie in anderen Ländern strengeren Cybersicherheitsanforderungen unterliegen, die in lokalen Gesetzen verankert sind.

Die Bezeichnung „NIS“ steht für „Netz- und Informationssysteme“. Die NIS 2 ersetzt die frühere NIS-Richtlinie und führt eine breitere Palette von Branchen ein, die den Vorschriften entsprechen müssen. Sie fördert außerdem eine verbesserte Zusammenarbeit zwischen den Mitgliedstaaten, setzt neue Fristen für die Meldung von Sicherheitsvorfällen, legt einen stärkeren Fokus auf Lieferketten, die Verantwortung der obersten Führungsebene von Unternehmen sowie strengere Strafen fest.

Die NIS 2 tritt am 18. Oktober 2024 in Kraft und löst die alte NIS-Richtlinie ab.

Warum ist NIS 2 wichtig?

NIS 2 ist von großer Bedeutung, da sie sehr strenge Cybersicherheitsanforderungen für eine Vielzahl von Unternehmen in der Europäischen Union festlegt. Schätzungen zufolge werden mehr als 120.000 Unternehmen in der EU NIS 2-konform sein müssen. Wir gehen von 12.000 – 15.000 Unternehmen alleine in Österreich aus, die direkt oder indirekt von der NIS 2 betroffen sein werden.

Obwohl NIS 2 nicht für so viele Unternehmen gilt wie beispielsweise die EU DSGVO, wird sie dennoch zum De-facto-Standard für kritische Infrastrukturen werden, dem andere Länder, auch außerhalb der EU, in Zukunft folgen. Ein ähnliches Szenario hat sich bereits bei Datenschutzvorschriften gezeigt, die der EU DSGVO ähneln.