Die EU-Sicherheitsrichtlinie NIS 2 betrifft nicht nur Betreiber kritischer Infrastrukturen (KRITIS), sondern auch Zulieferer und Dienstleister. In diesem Whitepaper erfahren Sie, welche Anforderungen auf Unternehmen der Lieferkette zukommen, welche Rechtsunsicherheiten noch bestehen und wie Sie sich vor den daraus resultierenden Risiken schützen.
Inhalt:
Die Novelle der EU-Sicherheitsrichtlinie „Network and Information Security“ (NIS 2) ist im Januar 2023 in Kraft getreten. Die Mitgliedsstaaten müssen sie bis Mitte Oktober 2024 in nationales Recht umsetzen. Wie das konkret aussehen wird, ist noch unklar, denn NIS 2 schreibt nur Mindeststandards vor und verbietet den EU-Ländern nicht, strengere Regeln zu erlassen.
Dennoch sollten sich Unternehmen bereits jetzt mit den in der Sicherheitsrichtlinie formulierten Anforderungen auseinandersetzen und ihre Betroffenheit prüfen, denn die Zeit wird knapp. Dies gilt nicht nur für Betreiber kritischer Infrastrukturen (KRITIS), die auf jeden Fall von der Richtlinie erfasst werden, sondern auch für deren Zulieferer und Dienstleister.
Dieses Whitepaper, das in der Zusammenarbeit zwischen dem IT-Fachanwalt Stefan Sander und ESET entstanden ist, setzt sich intensiv mit der Frage auseinander, welche Unternehmen in der Lieferkette voraussichtlich betroffen sind, welche Anforderungen daraus entstehen und was jetzt zu tun ist.
Es zeigt Ihnen:
- Welche Rechtsunsicherheiten derzeit noch bestehen.
- Welche Unternehmen definitiv und welche wahrscheinlich von den NIS-2-Regeln betroffen sind.
- Welche rechtlichen Pflichten auf die Betroffenen zukommen.
Originalauszug aus dem Dokument:
Sicherheit in der Unsicherheit
Das Gesetz der EU, als die NIS2 Richtlinie, richtet sich wie alle Richtlinien der EU ausschließlich an die Mitgliedsstaaten der EU, was bedeutet, dass es den deutschen Staat insgesamt betrifft. Deutschland ist verpflichtet, seine Gesetze so anzupassen, dass sie mit den Inhalten der NIS2 Richtlinie übereinstimmen. Offiziell trägt das Gesetz den Titel „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“. Die Bezeichnung „NIS2“ ergibt sich lediglich aus dem Zusammenhang, da NIS2 die ältere Richtlinie (EU) 2016/1148 aufhebt und durch inhaltlich überarbeitete, strengere Regelungen ersetzt. Die Richtlinie von 2016 wiederum trug den Titel „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS- Richtlinie).
Die Verpflichtung Deutschlands zur Umsetzung der Richtlinie in nationales Recht wurde mit dem Inkrafttreten der NIS2-Richtlinie am 17. Januar 2023 begründet, wofür bestimmte Fristen festgelegt wurden. Bis zum 17. Oktober 2024 müssen alle EU-Mitgliedstaaten die erforderlichen Vorschriften erlassen und veröffentlichen, um den Anforderungen der Richtlinie zu entsprechen. Gemäß der Richtlinie müssen die Mitgliedsstaaten diese Vorschriften ab dem 18. Oktober 2024 anwenden.