Network and Information Security Directive (NIS2-RL): Unterschied zwischen den Versionen
Aus RI Wiki
Zur Navigation springenZur Suche springen
| Zeile 1: | Zeile 1: | ||
Langtitel: | Langtitel: | ||
Kurztitel: Konsolidierter Text: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR | Kurztitel: Konsolidierter Text: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR https://eur-lex.europa.eu/eli/dir/2022/2555 | ||
https:// | == Kurzübersicht == | ||
{| class="wikitable" | |||
!Ziele | |||
!Anwendungsbereich | |||
!Inhalt<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref> | |||
!Synergie | |||
!Konsequenzen | |||
|- | |||
|Aufbau von Cybersicherheitskapazitäten (EG 1 NIS2-RL) | |||
|Anhäng I (Sektoren mit hoher Kritikalität) | |||
|Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (<abbr>Art</abbr> 7 NIS2-RL) | |||
|Datenschutzmanagementsystem | |||
| | |||
|- | |||
|Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus | |||
(Art 1 NIS2-LR) | |||
|Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach <abbr>Art.</abbr> 2 <abbr>Abs.</abbr> 1 des Anhangs der Empfehlung 2003/361/EG überschreiten | |||
|Pflicht für alle Mitgliedstaaten, diverse Zuständigkeiten zu regeln | |||
Aufsichts- und Durchsetzungspflichten für die MS (<abbr>Art.</abbr> 31 ff NIS2-RL) | |||
|Sicherheit der Verarbeitung (Art. 32 DSGVO) | |||
| | |||
|- | |||
|Eindämmung von Begrohungen in Schlüsselsektoren (EG 1 NIS2-RL) | |||
|Ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen | |||
|Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (<abbr>Art.</abbr> 20 ff NIS2-RL) sowie Berichtspflichten (<abbr>Art.</abbr> 23 NIS2-RL) für betroffene Einrichtungen | |||
|Verschwiegenheitsklauseln | |||
| | |||
|- | |||
| | |||
| | |||
|Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (<abbr>Art</abbr> 29 ff NIS-2-RL) | |||
| | |||
| | |||
|} | |||
== Einführung == | |||
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union<ref>Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022</ref> (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union<ref>''Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union,'' ABl. L 194/1 vom 19. Juli 2016</ref> („NIS-RL“). Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2<ref>https://www.parlament.gv.at/gegenstand/XXVII/ME/326</ref> novelliert wird. | |||
Version vom 18. September 2024, 13:57 Uhr
Langtitel:
Kurztitel: Konsolidierter Text: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR https://eur-lex.europa.eu/eli/dir/2022/2555
Kurzübersicht
| Ziele | Anwendungsbereich | Inhalt[1] | Synergie | Konsequenzen |
|---|---|---|---|---|
| Aufbau von Cybersicherheitskapazitäten (EG 1 NIS2-RL) | Anhäng I (Sektoren mit hoher Kritikalität) | Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (Art 7 NIS2-RL) | Datenschutzmanagementsystem | |
| Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus
(Art 1 NIS2-LR) |
Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG überschreiten | Pflicht für alle Mitgliedstaaten, diverse Zuständigkeiten zu regeln
Aufsichts- und Durchsetzungspflichten für die MS (Art. 31 ff NIS2-RL) |
Sicherheit der Verarbeitung (Art. 32 DSGVO) | |
| Eindämmung von Begrohungen in Schlüsselsektoren (EG 1 NIS2-RL) | Ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen | Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (Art. 20 ff NIS2-RL) sowie Berichtspflichten (Art. 23 NIS2-RL) für betroffene Einrichtungen | Verschwiegenheitsklauseln | |
| Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (Art 29 ff NIS-2-RL) |
Einführung
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union[2] (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union[3] („NIS-RL“). Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2[4] novelliert wird.
Anwendungsbereich
Fallbeispiele
Synergien
Konsequenzen/Strafen
Weiterführende Literatur
Überblicksartikel
- Löffler, NIS-2. Ein Überblick, dako 2024, 76
Einführungswerke
Kommentare
Sammelwerke
- Ditttrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
- Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE)
- Kipker (Hrsg), Cybersecurity. Rechtshandbuch2 (2023)
Weiterführende Links
- ↑ https://www.nis.gv.at/nis-2-richtlinie.html
- ↑ Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022
- ↑ Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016
- ↑ https://www.parlament.gv.at/gegenstand/XXVII/ME/326
