Die Richtlinie (EU) 2022/2555 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus an Cybersicherheit in der Europäischen Union ist bis zum 17. Oktober 2024 in das nationale Recht umzusetzen.
Die Richtlinie, bekannt als NIS-2-Richtlinie, legt einen gemeinsamen Rechtsrahmen für die Cybersicherheit fest. Damit soll das Maß an Cybersicherheit in der Europäischen Union (EU) ausgebaut werden. Dafür müssen die Mitgliedstaaten der EU ihre Cybersicherheitskapazitäten stärken, Risikomanagementmaßnahmen im Bereich der Cybersicherheit und Berichtspflichten in kritischen Sektoren durchsetzen sowie Vorschriften für Zusammenarbeit, Informationsaustausch, Überwachung und Durchsetzung festlegen.
Cybersicherheit bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.
Die Richtlinie gilt hauptsächlich für mittlere und große Einrichtungen, die in den folgenden Sektoren mit hoher Kritikalität operieren, wie z. B.:
- Energie (Elektrizität, einschließlich Erzeuger-, Verteiler- und Übertragungsnetze sowie Ladepunkte; Fernwärme und -kälte; Öl, einschließlich Produktion, Lager und Fernleitungen; Gas, einschließlich Versorgungs-, Verteiler- und Fernleitungsnetze und Speicheranlagen sowie Wasserstoff)
- Luftverkehr, Schienenverkehr, Schifffahrt und Straßenverkehr.
- Bankwesen und Finanzmarktinfrastruktur wie Kreditinstitute, Betreiber von Handelsplätzen und zentrale Gegenparteien.
- Gesundheitswesen, einschließlich Gesundheitsdienstleister, Einrichtungen, die pharmazeutische Erzeugnisse oder kritische Medizinprodukte herstellen, und EU-Referenzlaboratorien.
- Digitale Infrastruktur, einschließlich Anbieter von Rechenzentrumsdiensten, Cloud-Computing-Diensten, öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste.
- Verwaltung von IKT-Diensten (Business-to-Business).
- Öffentliche Verwaltung auf zentraler und regionaler Ebene.
Jeder Mitgliedstaat hat eine nationale Cybersicherheitsstrategie zur Erreichung und Aufrechterhaltung eines hohen Cybersicherheitsniveaus in kritischen Sektoren zu erlassen, wie z. B:
- einen Steuerungsrahmen, in dem die Aufgaben und Zuständigkeiten der jeweiligen Interessenträger auf nationaler Ebene klargestellt werden.
- Maßnahmen für die Sicherheit von Lieferketten.
- Maßnahmen für das Vorgehen bei Schwachstellen.
- Maßnahmen zur Förderung und Entwicklung der allgemeinen und beruflichen Bildung im Bereich der Cybersicherheit.
- Maßnahmen zur Steigerung der Sensibilisierung für Cybersicherheit bei den Bürgerinnen und Bürgern.