NIS versus NIS2: Die Unterschiede zwischen den EU-Richtlinien

Durch die NIS2 Direktiven stehen immer mehr KRITIS-Betreiber in der Pflicht Cybersecurity-Maßnahmen umzusetzen. Doch wo liegen die Unterschiede zur NIS (2016)?

Die NIS 2 unterscheidet sich in vielen Einzelheiten von der bis jetzt geltenden Richtlinie (NIS 2016). Wir haben die wichtigsten Unterschiede zusammengefasst:

• Die relevanten Sektoren wurden erweitert. So stehen nun deutlich mehr Unternehmen in der Pflicht, Cybersecurity-Maßnahmen umzusetzen. Eine Übersicht der Sektoren, können Sie in diesem Beitrag einsehen.
• Sowohl bei den Sektoren, als auch Unternehmen, wird zwischen “wesentlich” und “essenziell” unterschieden. So betrifft die Direktive elf wesentliche sowie sieben essenzielle Sektoren. Die Einstufung der Unternehmen als wesentliche oder essenzielle Entität hängt von der Zuordnung zu entsprechenden Sektoren und der Erfüllung vordefinierter Größenkriterien ab. Eine Übersicht erhalten sie in diesem Beitrag.
• Zudem legt die NIS2 Direktive höhere Sanktionen bei Verstoß oder Nicht-Einhaltung fest. Für die essenziellen Sektoren können Strafen bis zu einem Maximum von mind. 10 Mio. EUR oder 2% des weltweiten Umsatzes geltend gemacht werden. Operieren die Unternehmen in den wesentlichen Sektoren, drohen Straften bis zu einem Maximum von 7 Mio. EUR, oder 1,4% des weltweiten Umsatzes.
• Darüber hinaus werden durch die NIS2 konkretere Anforderungen, wie beispielsweise die Einführung von Penetration Tests, Systemen zur Meldung von Sicherheitsvorfällen, sowie ein aktiver Ansatz zur Verteidigung von Netzwerken und Systemen.
• Zudem fordert die NIS2 eine einheitliche Umsetzung EU-weit, indem Vorfälle nicht nur national, sondern Informationen auch EU-weit ausgetauscht werden. Die zuständigen Cybersecurity-Behörden der Mitgliedstaaten sollen eng miteinander zusammenarbeiten.

‍