Richtlinie oder Vorschrift, die von der Europäischen Kommission ausgeht und Maßnahmen mit dem gemeinsamen Ziel festlegt, ein hohes Niveau der Cybersicherheit in allen EU-Ländern zu erreichen. Die Verbesserung, Vorbereitung und Anpassung der Systeme und Strukturen an Cyberangriffe ist entscheidend, um den Betrieb der Märkte zu normalisieren.
Die Richtlinien richten sich tatsächlich an die Staaten, damit sie die entsprechenden Anweisungen und Maßnahmen organisieren und festlegen. Sie trat im Januar 2023 in Kraft und in Spanien konkret im Oktober 2024. Die Richtlinie erweitert den Anwendungsbereich der Vorschriften und zudem auf weitere Sektoren der ursprünglichen NIS.
Im April 2025 sollten die Mitgliedstaaten eine Liste der wesentlichen und wichtigen Einrichtungen sowie der Einrichtungen, die Domainnamenregistrierungsdienste anbieten, erstellt haben. Anschließend werden die Mitgliedstaaten die Liste regelmäßig, mindestens alle zwei Jahre, überprüfen und gegebenenfalls aktualisieren.
Die Version 2 dieser Richtlinie NIS (Netzwerk- und Informationssicherheit) erweitert und bestimmt die kritischen Sektoren. Betroffen sind:
- Luft- und Raumfahrt
- Banken und Finanzmarktinfrastrukturen
- Bestimmte Strukturen der öffentlichen Verwaltung
- Unternehmen für digitale Infrastrukturen, Unternehmensdienstleistungsunternehmen und digitale Dienste
- Energie und Wasser (Trink- und Abwasser)
- Herstellung bestimmter Produkte
- Abfallbewirtschaftung
- Chemische Industrie
- Forschungsorganisationen
- Produktion und Vertrieb von Lebensmitteln
- Gesundheitssektor
- Post- und Kurierdienste
- Transport
Pflichten der betroffenen Unternehmen. Ein Protokoll für Maßnahmen zur Cybersicherheit festlegen und anwenden, einschließlich der Definition von Cybersicherheitsrichtlinien, Risiko-bewertungen, Vorfallmanagement und -berichterstattung, Gewährleistung der Lieferkette und anderen, sowie eine verantwortliche Person für die Cybersicherheit benennen. In Bezug auf die umzusetzen Maßnahmen wird eine Mindestliste technischer, operativer und organisatorischer Maßnahmen berücksichtigt. Es gibt Anwendungen mit Tests, um den Implementierungsgrad zu kennen.
Wann trat diese Richtlinie in Kraft? Offiziell im Oktober 2024. Ein weiteres wichtiges Datum im Implementierungsprozess war April 2025, das Fristdatum, bis zu dem die Staaten die Liste der verpflichtenden wesentlichen und wichtigen Einrichtungen kommunizieren mussten. Folglich sollten die betroffenen Unternehmen die Vorschriften implementiert haben oder im schlimmsten Fall sich in der Implementierung befinden. Die Führungskräfte müssen sich darüber im Klaren sein, dass sie bei Nichtbeachtung erheblichen Sanktionen ausgesetzt sind.
Ausgabe oder Investition? Unternehmen sollten verstehen, dass es sich weniger um eine neue Anforderung handelt, sondern um eine Herausforderung und vor allem um eine Chance. Die Stärkung der Cybersicherheit wird das Vertrauen von Anbietern und Kunden fördern, einen besseren Grad an Wettbewerbsfähigkeit ermöglichen, und sie sollten nicht vergessen, dass die Märkte immer anspruchsvoller und globaler werden, was eine größere Kontrolle erforderlich macht.
Die Richtlinie kann eingesehen werden: Richtlinie (EU) 2022/2555
Und auf der Website des INCIBE finden Sie weitere Informationen:
https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2
Miguel Ángel Otin Lloro
Generalsekretär Huesca Exzellentes Unternehmensforum
