Welche Kategorien von Wirtschaftssektoren betrifft NIS2?
„Wesentliche/essentielle“ (sehr kritische) Sektoren und wichtige/wichtige“ (andere kritische) Sektoren.
Sektoren wie Energie, Verkehr, Finanzen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung fallen in die erste Kategorie, während die zweite Kategorie die verarbeitende Industrie, Postdienste, Chemie und mehr umfasst.
Welche Unternehmen innerhalb dieser Sektoren unter die Richtlinie fallen, wird durch die Gesetze der einzelnen Länder bestimmt.
Für die betroffenen Unternehmen bringt die NIS-2-Richtlinie neue Verantwortlichkeiten mit sich. Sie müssen Cybersicherheitsvorfälle anhand bestimmter Kriterien an die Behörden melden:
- Frühwarnung: Meldung innerhalb von 24 Stunden nach einem Vorfall.
- Vorfallbenachrichtigung: Meldung innerhalb von 72 Stunden nach einem Vorfall.
- Zwischenbericht / Intermediate Report.
- Bericht über den Fortschritt der Vorfallbehandlung / Progress Report: im Falle von nicht gelösten Vorfällen ein Monat nach Vorfallbenachrichtigung.
- Abschlussbericht: innerhalb eines Monats nach Vorfallbenachrichtigung oder eines Monats nach abgeschlossener Vorfallbehandlung.
- Freiwillige Berichterstattung ist eine Option.
Die Unternehmen müssen auch ein aktives Risikomanagement betreiben und Standards für die Netz- und Systemsicherheit, den Umgang mit Zwischenfällen, das Krisenmanagement, sichere Lieferketten und die Vermögensverwaltung einhalten. Die verwendeten Schutzmechanismen und Technologien müssen auf dem neuesten Stand sein. Die Länder könnten sogar Zertifizierungspflichten einführen, um die Einhaltung der Vorschriften zu demonstrieren.
In Deutschland führt die NIS-2-Richtlinie zu Anpassungen im bestehenden IT-Sicherheitsgesetz 2.0 oder zu einem möglichen neuen Gesetz. Deutsche KRITIS-Betreiber mit einem etablierten Informationssicherheitsmanagementsystem (ISMS) und zuverlässiger Cybersicherheitstechnologie sind gut vorbereitet und benötigen wahrscheinlich nur geringfügige Anpassungen. Diese Richtlinie schafft die Voraussetzungen für eine robustere Cybersicherheitslandschaft in allen Branchen.