NIS Richtlinien

NIS Richtlinien sind EU-weit gültige Richtlinien, die analog dem nationalen IT-Sicherheitsgesetz Vorgaben zur IT-Sicherheit für die Mitgliedstaaten der EU regeln. Die NIS-Richtlinie steht über dem IT-Sicherheitsgesetz. Die Vorgaben aus den NIS-Richtlinien müssen im Rahmen von definierten Übergangsfristen jeweils in deutsches Recht umgesetzt werden.

NIS 1 Richtlinie

Die NIS 1 Richtlinie, genauer die RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union tritt nach Artikel 26 am 20. Tag nach ihrer Veröffentlichung am 19.07.2016 im Amtsblatt der EU und damit am 08.08.2016 in Kraft.

Ab dem Inkrafttreten hatten die Mitgliedstaaten zwei Jahre bis zum 08.08.2018 Zeit, die Richtlinie in nationales Recht umzusetzen.

In der NIS-Richtlinie wurden u.a. geregelt:

  • Erhöhte Kapazitäten im Bereich Cybersicherheit auf nationaler Ebene
  • Verstärkte Zusammenarbeit auf EU-Ebene
  • Verpflichtung für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste in der Bereichen Risikomanagement und Meldung von Sicherheitsvorfällen.

Die NIS-Richtlinie richtet sich an Betreiber folgender Branchen:

  • Energie: Strom, Öl und Gas,
  • Verkehr: Luft, Schiene, Wasser und Straße,
  • Bankwesen: Kreditinstitute,
  • Finanzmarktinfrastrukturen: Handelsplätze, zentrale Vertragsparteien,
  • Gesundheitswesen: Einrichtungen der medizinischen Versorgung,
  • Wasser: Trinkwasserlieferung und -versorgung,
  • Digitale Infrastruktur: Internet-Knoten (IXP), DNS-Diensteanbieter, TLD-Registrierstellen.

Es ist sicher kein Zufall, dass diese weitgehend vergleichbar den Kritits-Sektoren nach dem IT-Sicherheitsgesetz sind.

Um den Anforderungen der NIS-Richtlinie gerecht zu werden verkündet der deutsche Gesetzgeber am 29.06.2017, ein Jahr vor Ablauf der Frist, ein „Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitniveaus von Netz- und Informationssystemen in der Union“, kurz Umsetzungsgesetz.

Das Umsetzungsgesetz regelt u.a. folgendes:

  • Erweiterte Befugnisse des BSI gegenüber Kritis-Betreibern
  • Regelungen für Anbieter Digitaler Dienste
  • Stärkung der Zusammenarbeit zwischen Bundesländern und BSI

NIS 2 Richtlinie

Die NIS-Richtlinie von 2016 wurde in 2020 schließlich einer Überprüfung unterzogen, im Ergebnis wurde ein neuer Vorschlag vorgelegt für die sog. NIS 2 Richtlinie. Nach einer Pressemitteilung des Rates der EU vom 13. Mai 2022 finden sich darin folgende Themenschwerpunkte:

  • Einrichtung von EU-CyCLONe als Koordinierungsstelle massiver Cybersicherheitsvorfälle
  • Zentrale Vorgabe eines Schwellenwertes, bislang legten die Mitgliedstaaten diesen in eigener Regie fest.
  • Ergänzend zu Verteidigung oder nationale und öffentlicher Sicherheit und Justiz sind jetzt auch Parlamente und Zentralbanken ausgenommen.
  • Nach Inkrafttreten haben die Mitgliedstaaten 21 Monate Zeit für die Umsetzung in nationales Recht.

Auch technisch stehen neue Vorgaben an, die CSO Deutschland auf seiner Seite prägnant zusammenfasst:

  • Abbildung aller Geräte im Netzwerk
  • Verpflichtung für Systeme zur Angriffserkennung
  • Verpflichtende Netzwerksegmentierung
  • Sichere Remote-Einwahl
  • Multi-Faktor-Authentifizierung

Die vorläufige Einigung zwischen Rat und EU-Parlament vom 13.05.2022 muss noch vom Rat und EU Parlament gebilligt werden.