NIS 1 – Aktuell

Die zentrale Maßnahme der Europäischen Cybersicherheitsstrategie ist die NIS-Richtlinie ( Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016). NIS steht übrigens für Network and Information Security. Sie zielt darauf ab, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der EU zu erreichen und ist die erste umfassende EU-weite „Gesetzgebung“ im Bereich Cybersicherheit. Neben Behördenstrukturen und Einrichtung von Computer-Notfallteams werden unternehmensseitig Betreiber wesentlicher Dienste und Anbieter digitaler Dienste verpflichtet IT—Sicherheitsmaßnahmen einzuführen und schwerwiegende Störfälle zu melden.

Die Regelungen werden in Österreich durch das Netz- und Informationssystemsicherheitsgesetz (NISG) und eine entsprechende Verordnung (NISV) umgesetzt. Darüber hinaus existieren auf EU-Ebene für diesen Bereich noch die Durchführungsverordnung (EU) 2018/151 (EU-NIS-Df-VO).

NIS 2 – Die nahe Zukunft

Da sich der Bereich Cybersicherheit rasant weiterentwickelt sah man relativ bald die Notwendigkeit die Regelungen an die aktuellen Risken anzupassen. Der neue Entwurf soll strengere Cybersicherheitsverpflichtungen in Bezug auf Risikomanagement, Meldepflichten und Informationsaustausch festlegen und auch die Behörden/Unternehmen umfassender mit einbeziehen. Es sollen auch die Sicherheitserfordernisse der eIDAS-Verordnung und des EECC (englisch European Electronic Communications Code oder auch Europäischer Kodex für die elektronische Kommunikation (EKEK)) durch jene der NIS-2-Richtlinie ersetzt werden. (EECC reguliert die Sicherheit bei Telecom Provider, eIDEAS reguliert die Sicherheit bei Trust Service Providers )

Wichtigste Änderungen von NIS 1 auf NIS 2

Es werden viel mehr Unternehmen und Behörden davon betroffen sein. Zusätzlich wird der Anwendungsbereich erweitert:

Die Anforderungen werden über Ländergrenzen hinweg angepasst:

Verbesserung der gemeinsamen Lageerfassung:

CyberSecurity Links für Öserreich

CyberSecurity Links für die EU: