Das Wichtigste auf einen Blick
Die NIS2-Richtlinie (EU 2022/2555) ist die bedeutendste EU-Cybersicherheitsregulierung bisher: Sie erweitert den Anwendungsbereich von 7 auf 18 Sektoren und schreibt gemäss Artikel 21 mindestens 10 Massnahmen im Risikomanagement vor. Als wesentlich oder wichtig eingestufte Organisationen müssen strenge Meldefristen für Vorfälle einhalten – 24-Stunden-Frühwarnung, 72-Stunden-Vollmeldung und einmonatiger Abschlussbericht – bei Sanktionen von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes. Leitungsorgane haften persönlich für Versäumnisse bei der Aufsicht. Gruppen mit mehreren Einheiten müssen die Compliance je Tochtergesellschaft über alle relevanten EU-Mitgliedstaaten hinweg prüfen.
Was ist die NIS2-Richtlinie?
NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der überarbeitete Rahmen der Europäischen Union für ein hohes gemeinsames Cybersicherheitsniveau. Sie trat am 16. Januar 2023 in Kraft und musste von den Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden. NIS2 ersetzt die ursprüngliche NIS-Richtlinie (2016/1148) mit breiterem Anwendungsbereich, strengeren Pflichten und harmonisierter Durchsetzung. Vollständiger Text der Richtlinie (EU) 2022/2555 — EUR-Lex
Was sind wesentliche und wichtige Einrichtungen unter NIS2?
Wesentliche Einrichtungen sind in den in NIS2 Anhang I aufgeführten Sektoren tätig (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum). Wichtige Einrichtungen sind in den in Anhang II aufgeführten Sektoren tätig (Postdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung). Die Einstufung bestimmt das Aufsichtsregime und die Sanktionsschwellen. Laut der Übersicht der ENISA zur NIS-Richtlinie erfasst NIS2 rund 160'000 Einrichtungen in der EU – eine erhebliche Ausweitung gegenüber den rund 10'000 Betreibern, die unter der ursprünglichen NIS-Richtlinie erfasst waren.
Welche Meldefristen für Vorfälle gelten unter NIS2?
NIS2 Artikel 23 legt einen dreistufigen Rahmen für die Meldung erheblicher Vorfälle fest:
- Frühwarnung: innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls
- Meldung des Vorfalls: innerhalb von 72 Stunden, einschliesslich einer ersten Bewertung von Schweregrad und Auswirkungen
- Abschlussbericht: innerhalb eines Monats, mit einer detaillierten Beschreibung, einer Ursachenanalyse und den angewendeten Massnahmen zur Schadensbegrenzung
Diese Fristen gelten verpflichtend sowohl für wesentliche als auch für wichtige Einrichtungen. NIS2-Richtlinie Artikel 23 — EUR-Lex
Welche Sanktionen sieht NIS2 vor?
Gemäss NIS2 Artikel 34–36 sind die Sanktionen nach der Einstufung der Einrichtung gestaffelt:
| Art der Einrichtung | Maximales Bussgeld | Umsatzbezogene Obergrenze |
|---|
| Wesentliche Einrichtung | 10'000'000 EUR | 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtung | 7'000'000 EUR | 1,4 % des weltweiten Jahresumsatzes |
Über finanzielle Sanktionen hinaus führt NIS2 Artikel 20 eine persönliche Verantwortlichkeit für Mitglieder von Leitungsorganen ein, die das Cybersicherheits-Risikomanagement nicht überwachen. NIS2-Richtlinie Artikel 20, 34–36 — EUR-Lex
Wie schneidet NIS2 im Vergleich zur ursprünglichen NIS-Richtlinie ab?
| Aspekt | NIS-Richtlinie (2016/1148) | NIS2-Richtlinie (2022/2555) |
|---|
| Erfasste Sektoren | 7 Sektoren | 18 Sektoren |
| Erfasste Einrichtungen | ~10'000 Betreiber (ENISA-Schätzung) | ~160'000 Einrichtungen (ENISA-Schätzung) |
| Massnahmen im Risikomanagement | Allgemeine Pflicht | 10 Mindestmassnahmen (Artikel 21) |
| Meldung von Vorfällen | Je nach Mitgliedstaat unterschiedlich | Harmonisiert: 24 h / 72 h / 1 Monat |
| Haftung der Leitungsorgane | Nicht geregelt | Persönliche Haftung (Artikel 20) |
| Sanktionen (wesentliche) | Von den Mitgliedstaaten festgelegt | Bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes |
| Sicherheit der Lieferkette | Nicht ausdrücklich gefordert | Verpflichtend (Artikel 21(2)(d)) |
| Peer-Review-Mechanismus | Nicht etabliert | Etabliert (Artikel 19) |
Welche 10 Mindestmassnahmen im Risikomanagement gelten gemäss NIS2 Artikel 21?
NIS2 Artikel 21(2) schreibt vor, dass wesentliche und wichtige Einrichtungen mindestens die folgenden Massnahmen umsetzen und dabei einen Gefahrenübergreifenden Ansatz verfolgen:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Verfahren zur Bewältigung von Vorfällen
- Aufrechterhaltung des Betriebs und Krisenmanagement
- Sicherheit der Lieferkette, einschliesslich sicherheitsbezogener Aspekte der Beziehungen zu direkten Lieferanten und Dienstleistern
- Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschliesslich der Handhabung und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit der Massnahmen im Cybersicherheits-Risikomanagement
- Grundlegende Verfahren der Cyberhygiene und Schulungen zur Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte zur Zugriffskontrolle und Management von Anlagen
- Einsatz von Multi-Faktor-Authentifizierung, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherten Notfallkommunikationssystemen
NIS2-Richtlinie Artikel 21(2)(a)–(j) — EUR-Lex
Gilt NIS2 auch für Unternehmen ausserhalb der EU?
Ja. Gemäss NIS2 Artikel 26 müssen Einrichtungen, die nicht in der EU niedergelassen sind, aber innerhalb der Union Dienstleistungen erbringen, die in den Anwendungsbereich der Richtlinie fallen, einen Vertreter in einem der Mitgliedstaaten benennen, in denen sie ihre Dienste erbringen. Diese extraterritoriale Reichweite spiegelt den Ansatz der DSGVO wider. NIS2-Richtlinie Artikel 26 — EUR-Lex
Statistiken und Kontext
Laut dem Threat-Landscape-Bericht 2024 der ENISA bleiben Ransomware und Angriffe auf die Lieferkette die grössten Bedrohungen für die kritische Infrastruktur der EU und unterstreichen den Bedarf an den Massnahmen zur Sicherheit der Lieferkette gemäss NIS2 Artikel 21(2)(d). Die IAPP stellt fest, dass die Governance von Datenschutz und Cybersicherheit zunehmend zusammenwächst und Organisationen ihre DSGVO- und NIS2-Pflichten über integrierte GRC-Plattformen steuern. So heisst es in Erwägungsgrund 1 der NIS2-Richtlinie: „Netz- und Informationssysteme, insbesondere das Internet, spielen eine wesentliche Rolle bei der Erleichterung des grenzüberschreitenden Verkehrs von Waren, Dienstleistungen und Personen. Aufgrund der transnationalen Natur dieser Systeme kann jede erhebliche Störung – ob beabsichtigt oder unbeabsichtigt – in einem Mitgliedstaat andere Mitgliedstaaten und die Union insgesamt beeinträchtigen.“