Die neue NIS-Richtlinie ist in Kraft getreten
Ab dem 16. Januar 2023 gilt die sogenannte „NIS-2“-Richtlinie.
Sie ersetzt die NIS-1-Richtlinie 2016 (in Belgien durch das NIS-1-Gesetz 2019 umgesetzt), die oft als die allererste Gesetzgebung zur Cybersicherheit in der Welt bezeichnet wird.
Der Vorschlag für die neue NIS-Richtlinie wurde von der Europäischen Kommission im Dezember 2020 vorgelegt. Nach einem zügigen Verhandlungsprozess wurde der endgültige Text zwei Jahre später vom Rat und vom Europäischen Parlament angenommen und am 27. Dezember 2022 veröffentlicht. 20 Tage später trat sie in Kraft. Unser Land hat nun 21 Monate Zeit, bis zum 17. Oktober 2024, um die NIS-2-Richtlinie in nationales Recht umzusetzen.
Wir haben bereits erörtert, warum die NIS-1 aktualisiert werden musste und was die Diskussionspunkte waren. Mehr Informationen dazu finden Sie hier.
Im Wesentlichen verfolgt diese NIS-2-Richtlinie dieselben drei Ziele wie ihre Vorgängerin, aber diesmal viel mehr und umfassender als 2016:
- Nationale Regierungen müssen mehr Kapazitäten für Cybersicherheit aufwenden;
- Die europäische Zusammenarbeit zwischen den für Cybersicherheit zuständigen Behörden muss verstärkt werden;
- Eine weitaus größere Zahl wichtiger Betreiber in kritischeren Sektoren unserer Gesellschaft muss (noch mehr) Sicherheitsmaßnahmen ergreifen und bedeutende Vorfälle melden.
Die größte Ausweitung findet im Rahmen des dritten Ziels statt. Während die NIS-1 6 Sektoren umfasste, kommen nun 12 Sektoren hinzu (einschließlich öffentlicher Dienste, der Lebensmittelindustrie, der chemischen Industrie und der verarbeitenden Industrie sowie des Energie- und Gesundheitssektors, in denen die Zahl der Organisationen zunimmt). Zusätzlich zur aktiven Auswahl durch die Regierungen müssen (mindestens) alle großen und mittleren Organisationen die Verpflichtungen erfüllen. Dabei handelt es sich um alle Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von 10 Millionen Euro, die in diesen Bereichen tätig sind. In Belgien werden wir also einen Anstieg von etwa 100 auf etwa 2500 NIS-Einheiten erleben.
Darüber hinaus müssen bedeutende Vorfällenunin 3 Stufen gemeldet werden:
- eine Frühwarnung innerhalb von 24 Stunden (wenn sich der Vorfall weiter ausbreiten könnte);
- eine vollständige Meldung innerhalb von 72 Stunden (ähnlich wie bei der DSGVO);
- einen Abschlussbericht innerhalb eines Monats.
Die Richtlinie enthält auch eine Liste allgemeiner Risikomanagementmaßnahmen für Organisationen, die von den einzelnen Mitgliedstaaten weiterentwickelt werden sollen.
Die großen Unternehmen in den kritischsten Sektoren („wesentliche Einrichtungen“) werden strenger kontrolliert. Außerdem wird es strengere und spezifischere Sanktionsvorschriften geben (die in Extremfällen bis zu 10 Millionen Euro an Geldstrafen betragen können). Und die oberste Führungsebene jedes Unternehmens wird stärker sensibilisiert werden, so dass Cybersicherheit zu einem echten Vorstandsthema wird.
NIS-2 enthält viele (neue) Elemente und Nuancen. Ausführlichere Informationen über die verschiedenen Aspekte und Verpflichtungen, die auf uns zukommen, finden Sie hier. Den vollständigen Text der Richtlinie finden Sie hier.
In der Zwischenzeit hat das ZCB Konsultationen zur Umsetzung dieser Richtlinie eingeleitet, mit dem Ziel, bis Oktober 2024 ein neues belgisches NIS-Gesetz vorzulegen. Verpflichtungen für Unternehmen werden Ende 2024 in Kraft treten, aber natürlich ist es besser, so früh wie möglich mit der Verbesserung der Cybersicherheit anzufangen. In den kommenden Wochen wird das ZCB ein Rahmenkonzept mit konkreten und praktischen Sicherheitszielen für Organisationen veröffentlichen, und noch in diesem Jahr wird eine Plattform eingerichtet, die den Austausch von Empfehlungen und Informationen über Bedrohungen durch das ZCB vereinfachen soll. Auf diese Weise können wir Belgien gemeinsam zu einem der am wenigsten durch das Internet gefährdeten Länder Europas machen.