Die endgültige Fassung der NIS2-Richtlinie, offiziell bekannt als Richtlinie (EU) 2022/2555, ist so aufgebaut, dass sie einen umfassenden Rechtsrahmen zur Verbesserung der Cybersicherheit in der gesamten Europäischen Union bietet. Die Richtlinie ist in mehrere wichtige Abschnitte unterteilt, die jeweils unterschiedliche Aspekte der Cybersicherheit behandeln, um ein hohes gemeinsames Schutzniveau in allen Mitgliedstaaten zu gewährleisten.

Aufbau und wichtige Abschnitte

1. Wesentliche und wichtige Entitäten: Es gibt zwei Arten von Einrichtungen, die den NIS2-Vorschriften unterliegen (wesentliche und wichtige Einrichtungen), wobei die Unterscheidung zwischen ihnen etwas unscharf ist und eine nicht erschöpfende Liste vorliegt.
2. Nationale Behörden für Cybersicherheit: Die NIS2 bildet die Grundlage für die Entwicklung nationaler Cybersicherheitsstrategien durch die Mitgliedstaaten und legt die Aufgaben der zuständigen Behörden fest, einschließlich der Benennung von Behörden für das Krisenmanagement im Bereich der Cybersicherheit und der Computersicherheit VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Reaktionsteams (CSIRTs).
3. Cybersecurity RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Verwaltung und Berichterstattung: Alle unter die Richtlinie fallenden Einrichtungen führen solide Risikomanagementmaßnahmen durch. Dazu gehören regelmäßige Bewertungen der Cybersicherheitsrisiken, die Umsetzung geeigneter Sicherheitsmaßnahmen und strenge Meldepflichten für Vorfälle mit einer klaren koordinierten SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Offenlegungsverfahren (CVD).
4. Lieferkette: Die Richtlinie unterstreicht auch die Bedeutung der Sicherheit der Lieferkette und erkennt an, dass Schwachstellen in einem Teil der Lieferkette weitreichende Auswirkungen haben können.
5. Beaufsichtigung und Durchsetzung: Die Richtlinie legt die Aufsichts- und Durchsetzungsmechanismen fest, die die Mitgliedstaaten einrichten müssen, um die Einhaltung der Richtlinie zu gewährleisten. Dazu gehören die Befugnisse der zuständigen Behörden, Prüfungen durchzuführen, Sanktionen zu verhängen und die Bestimmungen der Richtlinie durchzusetzen. Die Richtlinie führt auch neue Elemente wie Peer Reviews zwischen den Mitgliedstaaten ein, um die Zusammenarbeit zu verbessern und eine einheitliche Anwendung in der EU zu gewährleisten.

Die NIS2-Richtlinie erweitert den Anwendungsbereich ihrer Vorgängerin, der NIS1, erheblich, indem sie mehr Sektoren abdeckt und strengere Anforderungen an die Cybersicherheit einführt. Sie zielt darauf ab, einen stärker harmonisierten Ansatz für die Cybersicherheit in der EU zu schaffen, die Fragmentierung zu verringern und sicherzustellen, dass kritische Infrastrukturen und wesentliche Dienste besser vor Cyberbedrohungen geschützt sind.