Zum Inhalt springen Zur Navigation springen
Positionspapier zum Umsetzungsgesetz der NIS-2-Richtlinie

Positionspapier zum Umsetzungsgesetz der NIS-2-Richtlinie

Artikel von Tim-Oliver Ritz·28. November 2023

Der Cyber-Sicherheitsrat Deutschland e.V. hat ein Positionspapier zum geplanten Umsetzungsgesetz der Network and Information Systems 2.0 Directive (NIS2-Richtlinie) veröffentlicht. Die NIS2-Richtlinie zielt darauf ab, die Cyber-Resilienz innerhalb der Europäischen Union zu stärken und ein gemeinsames, höheres Cybersicherheitsniveau in den Mitgliedsstaaten zu etablieren. In Deutschland wird diese Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Einheitliches Sicherheitsstandards in der EU

Der Cyber-Sicherheitsrat Deutschland e.V. verfolgt das Ziel, unterschiedliche Sicherheitsstandards in den EU-Mitgliedsstaaten zu harmonisieren und insgesamt ein höheres Schutzniveau für die kritische Infrastruktur zu erreichen. Sie betonen die Notwendigkeit, die Cyber-Resilienz in Wirtschaft und Gesellschaft insgesamt zu erhöhen.

Inhalte des Cyber-Sicherheitsrat Positionspapier

In ihrem Positionspapier fordern der Cyber-Sicherheitsrat eine Koordinierung bestehender und geplanter Regulierungen. Sie betonen, dass sich die Regulierung der Cybersicherheit historisch gesehen in einem stückwerkartigen Stil entwickelt hat. Angesichts bestehender und anstehender Regulierungsvorgaben wie dem KRITIS-Dachgesetz (als Umsetzung der CER-Richtlinie), formulierten Vorhaben in der Cybersicherheitsstrategie der Bundesregierung und dem Inkrafttreten der DORA-Verordnung sollten mögliche Dopplungen vermieden werden.

Der Cyber-Sicherheitsrat empfiehlt die Nutzung von Meldungen über Cyberangriffe für Forschungszwecke und eine klare Definition des „aktuellen Stands der Technik“. Sie setzen sich auch für angemessene Fristen bei Compliance-Nachweisen und eine unabhängige Prüfung durch Aufsichtsbehörden ein.

Mit diesem Positionspapier stellt sich der Cyber-Sicherheitsrat Deutschland e.V. fest hinter das Ziel, ein hohes Maß an Sicherheit und Resilienz in der digitalen Gesellschaft Europas zu gewährleisten.

Ziele von NIS-2

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hat mehrere Ziele:

  1. Harmonisierung und Erhöhung der Cybersicherheit in Europa:
    Das Gesetz zielt darauf ab, die Anforderungen an die Cybersicherheit in Europa zu harmonisieren und zu erhöhen. Es soll ein hohes EU-weites Sicherheitsniveau gewährleisten.
  2. Schutz kritischer Infrastrukturen und Wirtschaftssektoren:
    Das Gesetz verschärft die bestehenden Anforderungen erheblich, um den Schutz kritischer Infrastrukturen und einiger weiterer Wirtschaftssektoren zu gewährleisten. Es betrifft etwa 30.000 Unternehmen.
  3. Einführung von Risikomanagementmaßnahmen:
     Betroffene Einrichtungen und Unternehmen müssen verhältnismäßige technische und organisatorische Maßnahmen zum Schutz ergreifen.
  4. Meldepflichten und Registrierung:
     Bei Vorfällen in betroffenen Einrichtungen muss innerhalb von 24 Stunden eine Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen.
  5. Governance:
     Mit der NIS-2 Richtlinie wird Cybersicherheit zur Aufgabe der Geschäftsführung, denn Geschäftsführer haften für die Umsetzung der Maßnahmen.

Cybersecurity Prävention

Das NIS2UmsuCG und NIS-2 verlangen von Unternehmen, dass sie im Kontext der Cybersecurity-Prävention alle geeigneten technischen und organisatorischen Maßnahmen (TOMs) entsprechend dem aktuellen technologischen Stand und ihrer individuellen Risikosituation implementieren. Im Gesetzestext ist ein Verzeichnis von TOMs enthalten, das unter anderem Krisenmanagement, Cyberhygiene, Kryptographie, Personalsicherheit, Authentifizierungstechnologien und Notfallkommunikation umfasst.

Verhältnis von NIS-2 und DSGVO

Obwohl die NIS-2-Richtlinie nicht direkt den Datenschutz regelt, besteht eine enge Verbindung zwischen Datenschutz und Cybersicherheit. Beide Bereiche befassen sich mit dem Schutz sensibler Daten. Die Datenschutz-Grundverordnung (DSGVO) konzentriert sich auf den Schutz personenbezogener Daten, während die NIS-2-Richtlinie den Schutz von Netzwerk- und Informationssystemen adressiert. Daher können Maßnahmen zur Verbesserung der Cybersicherheit gemäß der NIS-2-Richtlinie auch dazu beitragen, den Datenschutz zu stärken. Es ist jedoch wichtig zu beachten, dass die Einhaltung der NIS-2-Richtlinie nicht automatisch die Einhaltung der DSGVO gewährleistet. Beide Regelwerke haben spezifische Anforderungen, die beachtet werden müssen.

Datenschutz und Cybersicherheit sind dynamische Bereiche. Es ist wichtig, die Prozesse und Praktiken regelmäßig zu überprüfen und zu aktualisieren, um mit den sich ändernden Anforderungen und Bedrohungen Schritt zu halten. Schulungen seien hier als exemplarisches Beispiel zur Sensibilisierung und Vermeidung von Risiken genannt.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Vielen lieben Dank für Ihre tollen, verständlichen und lehrreichen Beitrag.
    Ich habe mir die NIS-2-Richtlinie angeschaut und frage mich gerade, ob ambulante Pflegedienste unter Artikel 1 3 a) (NIS von 2011) Dienstleister im Bereich der Langzeitpflege fallen?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.