NIS2 – Handlungsempfehlungen für Verantwortliche und DSB
Auf die Betreiber Kritischer Infrastrukturen kommen bald neue umfangreiche Vorgaben zu. Verantwortliche und DSB sollten diese bereits jetzt genau analysieren, um ausreichend Zeit zu haben, die erforderlichen Maßnahmen im eigenen Unternehmen zu implementieren.
Basis für alle Verpflichtungen von Betreibern Kritischer Infrastrukturen bzw. diesen gleichgestellten Unternehmen sind die folgenden Regelungen:
- NIS-Richtlinie: Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 06.07.2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen der Union
- Durchführungsverordnung (EU) 2018/151 der Kommission vom 30.01.2018 über die Vorschriften der Anwendung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates hinsichtlich der weiteren Festlegung der von Anbietern digitaler Dienste beim Risikomanagement in Bezug auf die Sicherheit von Netz- und Informationssystemen zu berücksichtigenden Elemente und der Parameter für die Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls
- Umsetzung in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG), aktuell IT-SiG 2.0 vom 18.05.2021. Wesentliche Regelungen sind enthalten im Gesetz über das Bundesamt in der Informationstechnik (BSIG) mit Stand 23.06.2021 und in der zugehörigen BSI-Kritisverordnung (BSI-KritisV).
Diese Regelungen stellen die derzeit geltende Rechtslage dar, nach der (noch) alle Betreiber bzw. Aufsichtsbehörden handeln.
Neue EU-Regelung: NIS2
Die NIS2-Richtlinie wird die bisherige NIS-Richtlinie und die zugehörige europäische Durchführungsverordnung vollständig ersetzen. Sie ist am 16. Januar 2023 in Kraft getreten. Die Richtlinie findet sich unter https://ogy.de/text-nis-2-richtlinie. Als EU-Richtlinie muss sie von den Mitgliedsta…