Cybersicherheit in der EU

NIS 1 – Aktuell

Die zentrale Maßnahme der Europäischen Cybersicherheitsstrategie ist die NIS-Richtlinie ( Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016). NIS steht übrigens für Network and Information Security. Sie zielt darauf ab, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der EU zu erreichen und ist die erste umfassende EU-weite „Gesetzgebung“ im Bereich Cybersicherheit. Neben Behördenstrukturen und Einrichtung von Computer-Notfallteams werden unternehmensseitig Betreiber wesentlicher Dienste und Anbieter digitaler Dienste verpflichtet IT—Sicherheitsmaßnahmen einzuführen und schwerwiegende Störfälle zu melden.

Die Regelungen werden in Österreich durch das Netz- und Informationssystemsicherheitsgesetz (NISG) und eine entsprechende Verordnung (NISV) umgesetzt. Darüber hinaus existieren auf EU-Ebene für diesen Bereich noch die Durchführungsverordnung (EU) 2018/151 (EU-NIS-Df-VO).

NIS 2 – Die nahe Zukunft

Da sich der Bereich Cybersicherheit rasant weiterentwickelt sah man relativ bald die Notwendigkeit die Regelungen an die aktuellen Risken anzupassen. Der neue Entwurf soll strengere Cybersicherheitsverpflichtungen in Bezug auf Risikomanagement, Meldepflichten und Informationsaustausch festlegen und auch die Behörden/Unternehmen umfassender mit einbeziehen. Es sollen auch die Sicherheitserfordernisse der eIDAS-Verordnung und des EECC (englisch European Electronic Communications Code oder auch Europäischer Kodex für die elektronische Kommunikation (EKEK)) durch jene der NIS-2-Richtlinie ersetzt werden. (EECC reguliert die Sicherheit bei Telecom Provider, eIDEAS reguliert die Sicherheit bei Trust Service Providers )

• Der Rat legte seinen Standpunkt am 3. Dezember 2021 fest.
• Am 13. Mai 2022 kam es zur vorläufigen Einigung über den Text der „NIS-2-Richtlinie“
• Mai 2022: Die Verhandlungen zwischen Kommission, Rat und Parlament wurden abgeschlossen. Aktueller Entwurf
• Die weitere Gesetzwerdung und somit das Inkrafttreten der Richtlinie ist nun ein Formalakt.
  • Einreichung im Plenum
  • Abstimmung im Plenum
  • Adoption – Ziel ist die Adoption in Q3/Q4 2022
  • Aktueller Status Siehe Zeitleiste – Cybesicherheit des Europäischen Rats
• Danach haben die EU-Mitgliedsstaaten 21 Monate (!) Zeit die Richtlinie national umsetzen.

Wichtigste Änderungen von NIS 1 auf NIS 2

Es werden viel mehr Unternehmen und Behörden davon betroffen sein. Zusätzlich wird der Anwendungsbereich erweitert:

• auf insgesamt 16 Sektoren/Branchen
• um alle größeren Industrieunternehmen
• dazu kommt die Unterscheidung zwischen wesentlichen (essential) und wichtigen (important) Einrichtungen/Sektoren

Die Anforderungen werden über Ländergrenzen hinweg angepasst:

• Angleichung des De-facto- Anwendungsbereichs
• Angleichung der Sicherheitsanforderungen und Meldepflichten bei Incidents

Verbesserung der gemeinsamen Lageerfassung:

• Festlegen von Regeln und Verfahren bei weitreichenden Sicherheitsvorfällen / Krisen
• Verstärkung des Informationsaustausches

CyberSecurity Links für Öserreich

• GovCERT – GovCERT Austria ist das Government Computer Emergency Response Team entsprechend der NIS Richtlinie für die öffentliche Verwaltung in Österreich.
• CERT.AT
• Cybersicherheit Bundeskanzleramt
• Österreichisches Informationssicherheitshandbuch
• Safer Internet – das Internet sicher nutzen

CyberSecurity Links für die EU:

• European Union Agency for Cybersecurity (ENISA)
• European Government CERTs Group