Einblick in die NIS2-Richtlinie: Stärkung der Digitalen Souveränität und Datensouveränität
Die NIS2-Richtlinie (Network and Information Systems Directive 2) der Europäischen Union ist ein wesentlicher Schritt zur Stärkung der digitalen und datenbasierten Souveränität von Unternehmen. Diese Richtlinie erweitert die Anforderungen an Sicherheit und Resilienz von Netz- und Informationssystemen und ist besonders relevant für Unternehmen, die auf Datensouveränität und Compliance setzen.
Kernpunkte der NIS2-Richtlinie
Erweiterter Geltungsbereich: NIS2 betrifft nun eine breitere Palette von Unternehmen, einschließlich mittelständischer Betriebe in kritischen Sektoren.- Fokus auf Datensouveränität: Die Richtlinie legt einen starken Fokus auf den Schutz und die souveräne Nutzung von Daten.
- Verpflichtende Compliance: Unternehmen müssen sich an strenge Vorschriften halten, die mit nationalen und EU-weiten Datenschutzgesetzen, wie der DSGVO, in Einklang stehen.
- Berichtspflichten: Unternehmen sind verpflichtet, Vorfälle und Sicherheitsrisiken den zuständigen Behörden zu melden.
Bedeutung für Unternehmen
Unternehmen, insbesondere solche, die Wert auf digitale Souveränität legen, müssen:
- Ihre Datenverwaltung und -sicherheit im Einklang mit der NIS2-Richtlinie gestalten.
- Compliance-Maßnahmen verstärken, insbesondere im Hinblick auf Datenschutzregelungen.
- Sich auf transparente und sichere Datenverarbeitungsprozesse konzentrieren.
Status in Deutschland im Herbst 2023
Das Innenministerium hat im September ein Diskussionspapier zum Dialog mit der Wirtschaft veröffentlicht. Dies ist der Dritte Entwurf, des NIS2-Umsetzungsgesetzes (NIS2UmsuCG).
Folgende Phasen sind bisher durchlaufen worden:
- April 2023: Erster Referentenentwurf
- Juli 2023: Zweiter Referentenentwurf
- September 2023: Dritter Entwurf (besagtes Diskussionspapier)
- Oktober 2023: Werkstattgespräch des BMI
Das Gesetz ist somit bisher nicht verabschiedet und muss die vollständige Gesetzgebung auf Bundesebene noch durchlaufen. Es soll voraussichtlich im März 2024 verabschiedet werden und geplant im Oktober 2024 in Kraft treten. Aktuell sind keine Übergangsfristen für die Implementierung vorgesehen. Die ersten Überprüfungen zur Einhaltung könnten demnach frühestens im Oktober 2027 beginnen.
NMMN: Förderung der Digitalen Souveränität
Als IT-Dienstleister fokussiert NMMN auf die Schaffung einer Sovereign Cloud für seine Kunden. Unsere Dienste umfassen:
- Aufbau und Management von Private Cloud-Lösungen, die vollständig DSGVO-konform und CLOUD ACT-frei sind.
- Beratung und Unterstützung bei der Implementierung von datensouveränen IT-Strukturen.
- Gewährleistung von Compliance und Sicherheit in der Cloud-Infrastruktur.
Alles verstanden?
Die NIS2-Richtlinie ist ein wichtiger Schritt zur Stärkung der digitalen und datenbasierten Souveränität. NMMN unterstützt Unternehmen dabei, diese Herausforderungen zu meistern und eine sichere, souveräne und compliant IT-Infrastruktur aufzubauen.
Wenn Sie weitere Fragen zum Thema NIS2 oder Sovereign Cloud haben, zögern Sie nicht, sich bei uns zu melden!
Wer muss NIS2 berücksichtigen?
Nachfolgend finden Sie eine Liste der Branchen und Unternehmen, die ab 2024 die NIS2-Richtlinie beachten müssen:
- Energie: Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff.
- Transport: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr.
- Bankwesen: Kreditinstitute.
- Finanzmarktinfrastruktur: Handelsplätze, Zentrale Gegenpartien.
- Gesundheit: Gesundheitsdienstleister, EU-Labore, Medizinforschung, Pharmazeutik, Medizingeräte.
- Trinkwasser: Wasserversorgung.
- Abwässer: Abwasserentsorgung.
- Digitale Infrastruktur: Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation.
- IKT-Dienstleistungsmanagement (B2B): Managed Service Providers, Managed Security Service Providers.
- Öffentliche Verwaltungen: Zentralregierung, regionale Regierung.
- Weltraum: Bodeninfrastruktur.
- Post- und Kurierdienste: Postdienste.
- Abfallwirtschaft: Abfallbewirtschaftung.
- Herstellung, Produktion und Vertrieb von Chemikalien.
- Lebensmittelproduktion, -verarbeitung und -vertrieb.
- Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten.
- Digitale Anbieter: Marktplätze, Suchmaschinen, soziale Netzwerke.
- Forschung: Forschungsinstitute.
Es wird damit gerechnet, dass in Deutschland mehr als 30.000 Unternehmen unter diese Richtlinie fallen. Es werden im Zuge der Umsetzung der NIS2-Richtlinie durch das neue BSI-Gesetz zwei Hauptgruppen von Unternehmen reguliert. Diese Gruppen müssen umfangreiche, teilweise neue Cybersecurity-Anforderungen erfüllen, die über die bisherigen Verpflichtungen für kritische Infrastrukturen hinausgehen.
Die erste Gruppe umfasst Betreiber kritischer Infrastrukturen. Diese Unternehmen müssen für jede Anlage individuell prüfen, ob sie von der Regulierung betroffen sind. Die zweite Gruppe beinhaltet besonders wichtige und wichtige Einrichtungen, die basierend auf der Unternehmensgröße identifiziert werden. Dabei werden mittlere und große Unternehmen unterschieden: Mittlere Unternehmen haben entweder 50 bis 249 Mitarbeiter und einen Umsatz unter 50 Millionen Euro oder eine Bilanzsumme unter 43 Millionen Euro, oder weniger als 50 Mitarbeiter und einen Umsatz sowie eine Bilanzsumme zwischen 10 und 50 bzw. 43 Millionen Euro. Große Unternehmen sind solche mit mindestens 250 Mitarbeitern oder einem Umsatz bzw. einer Bilanzsumme von über 50 bzw. 43 Millionen Euro.
Weiterführende Links
- Europäische Union – Offizielle Dokumentation zur NIS2-Richtlinie: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates.
- Fachartikel über Digitale Souveränität und Datensicherheit im Kontext der NIS2-Richtlinie: KPMG Deutschland – Cyber Security in der EU: NIS-2-Richtlinie erhöht Sicherheitsniveau.
- Leitfäden zur DSGVO-Konformität und Datensouveränität: European Data Protection Board – DSGVO: Leitlinien, Empfehlungen, bewährte Verfahren.
- OPENKRITIS: Das NIS2 Umsetzungsgesetz
