Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des allgemeinen Cybersicherheitsniveaus in der EU. Basierend auf der ersten NIS-Richtlinie aus dem Jahr 2016 wird mit der Aktualisierung der abgedeckte Bereich deutlich erweitert. Das ist vor allem für Unternehmen und andere Organisationen relevant, die im Bereich Cybersicherheit stärker aktiv werden müssen.
Zunächst einmal gibt es keinen Grund zur Panik. Die Richtlinie trat im Januar 2023 in Kraft, die EU-Mitgliedsstaaten haben jetzt 21 Monate lang Zeit, diese im nationalen Recht umzusetzen. Allerdings ist es durchaus sinnvoll, dass man sich als Unternehmer schon jetzt mit den Anforderungen auseinandersetzt. Unabhängig von der tatsächlichen Gesetzgebung in Deutschland kann man so nämlich bereits im Voraus planen, interne und externe Abläufe wahrscheinlich beeinflusst werden.
Ganz allgemein enthält die NIS2-Richtlinie rechtliche Maßnahmen, um das Cybersicherheitsniveau in der EU insgesamt anzukurbeln. Dabei spielen vor allem die folgenden Aspekte eine wichtige Rolle:
- Bereitschaft der Mitgliedstaaten, die angemessen ausgestattet sein sollen, etwa mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Netz- und Informationssystembehörde (NIS).
- Zusammenarbeit zwischen allen Mitgliedstaaten durch Einsetzung einer Kooperationsgruppe zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs.
- Sektorübergreifende Sicherheitskultur, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung ist, vor allem in Bereichen wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen oder digitale Infrastruktur.
Die Umsetzung der NIS2-Richtlinie dürfte sich in Deutschland also auf viele Unternehmen auswirken. Allerdings können sich daraus – bei richtiger Planung und Umsetzung – auch Vorteile ergeben. So lassen sich im Zuge der neuen Vorgaben das Risiko- und Vorfallsmanagement deutlich verbessern. Zudem dürften sich technische und organisatorische Maßnahmen, die im ersten Schritt zu einem höheren Aufwand führen, langfristig positiv auf die Cybersicherheit sowie auf den Aspekt Business Continuity auswirken.