AKTUELLSTE NACHRICHTEN

EU-Staaten verzögern die Umsetzung von NIS2

Eine große Mehrheit der EU-Mitgliedstaaten hat die Frist zur Umsetzung der neuen Cybersicherheitsrichtlinie NIS2 verpasst. Die Richtlinie, die 2022 verabschiedet wurde, soll den Schutz kritischer Infrastrukturen wie Energie, Transport, Banken und Wasserversorgung gegen Cyberangriffe verbessern. Trotz der verbindlichen Frist sind bisher nur Belgien und Kroatien im vollen Umfang konform, während Italien und Litauen bisher nur teilweise die Anforderungen der Richtlinie umgesetzt haben.

Stand der Umsetzung in verschiedenen Ländern

LandStand der UmsetzungWeitere Schritte
BelgienVollständigKeine zusätzlichen Maßnahmen nötig
KroatienVollständigKeine zusätzlichen Maßnahmen nötig
ItalienTeilweiseVollständige Umsetzung ausstehend
LitauenTeilweiseVollständige Umsetzung ausstehend
DeutschlandEntwurf vorhandenVerabschiedung des Gesetzes
NiederlandeEntwurf vorhandenVerabschiedung des Gesetzes
SchwedenEntwurf vorhandenVerabschiedung des Gesetzes
TschechienEntwurf vorhandenVerabschiedung des Gesetzes
IrlandNoch nicht begonnenUmsetzung erforderlich
GriechenlandNoch nicht begonnenUmsetzung erforderlich
SpanienNoch nicht begonnenUmsetzung erforderlich

Die Verzögerung bei der Umsetzung der NIS2-Richtlinie führt zu wachsender Sorge innerhalb der kritischen Sektoren und bei Cybersicherheitsexperten, da Unternehmen dadurch anfälliger für Cybervorfälle bleiben. NIS2 zielt darauf ab, die Schwächen der vorherigen Richtlinie NIS1 zu beheben, die laut der Europäischen Kommission die Cyberabwehrfähigkeit der Unternehmen nicht signifikant verbessern konnte. Zudem wird erwartet, dass die neue Richtlinie einheitlichere Standards und eine verbesserte Zusammenarbeit zwischen den Mitgliedstaaten fördert.

Erweiterter Schutzumfang der NIS2

Im Gegensatz zur NIS1, die nur etwa 500 Unternehmen erfasste, gilt die NIS2-Richtlinie nun für über 15.000 Unternehmen in der gesamten EU, darunter kleine und mittlere Unternehmen (KMU) in Lieferketten von größeren Unternehmen. Dieses breitere Spektrum führt jedoch auch zu Bedenken hinsichtlich der Umsetzbarkeit und Konsistenz der Richtlinie in den verschiedenen Mitgliedstaaten. Besonders die Länder, die ihre Umsetzung bisher noch nicht begonnen haben, könnten vor erhebliche administrative und finanzielle Herausforderungen gestellt werden.

Herausforderungen und Kritik seitens der Unternehmen

Einige Länder, wie Frankreich, äußerten Bedenken hinsichtlich des Bewusstseinsgrades innerhalb der Unternehmen, die jetzt von den Vorschriften betroffen sind. Unternehmen beklagen sich über die Fragmentierung der Regelungen sowie über die Herausforderungen, die die Einhaltung für diejenigen darstellt, die auf mehreren Märkten tätig sind. Die europäische Wasserwirtschaftsorganisation EurEau, die nationale Wasserdienstleister in Europa vertritt, teilte mit, dass die Verzögerungen in der Umsetzung der NIS2-Richtlinie bestimmte Risiken bergen. Oliver Loebel, Generalsekretär von EurEau, erklärte, dass es in vielen Ländern unklar bleibt, welche Wasserbetreiber von der Richtlinie betroffen sein werden. Diese Unklarheit könnte erhebliche Unterschiede in der Umsetzung zwischen den Mitgliedstaaten verursachen, was eine konsistente Sicherheitslage weiter erschwert.

Loebel betonte auch, dass insbesondere kleinere Betreiber möglicherweise Schwierigkeiten haben werden, die erforderlichen Maßnahmen umzusetzen, da ihnen sowohl finanzielle Mittel als auch Zugang zu Cybersicherheitsexperten fehlen. Um die umfassenden Schutzmaßnahmen zu verwirklichen, könnte finanzielle Unterstützung nötig sein, die jedoch keineswegs garantiert ist.

Strengere Berichterstattungsanforderungen und Sanktionen

Die NIS2-Richtlinie sieht neue Fristen für die Meldung von Sicherheitsvorfällen vor. Unternehmen müssen binnen 24 Stunden eine erste Warnung abgeben und binnen 72 Stunden einen vollständigen Bericht über den Vorfall vorlegen. Diese Verschärfung der Meldepflichten soll eine schnellere Reaktion auf Cybervorfälle ermöglichen und den Informationsfluss innerhalb der EU verbessern.

Zusätzlich sieht die Richtlinie hohe Sanktionen für Verstöße vor. Unternehmen, die die Anforderungen nicht einhalten, können mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes bestraft werden. Diese verschärften Strafen sollen Unternehmen dazu anregen, Cybersicherheitsmaßnahmen ernst zu nehmen. Darüber hinaus könnten leitende Angestellte persönlich zur Verantwortung gezogen werden, wenn Sicherheitsmängel durch Fahrlässigkeit verursacht werden. Damit trägt das Management eine größere Verantwortung, die über die IT-Abteilungen hinausgeht.

Ausblick und weitere Maßnahmen der EU-Kommission

Vertreter der Software-Lobbygruppe BSA sowie die Europäische Allianz für kleine und mittelständische Unternehmen (KMU) äußerten ebenfalls ihre Besorgnis über die mangelnde Kohärenz in den Umsetzungsfristen und Meldepflichten innerhalb Europas. BSA betonte, dass die EU-Kommission bis heute keine Durchführungsverordnung für das „Incident Reporting“ veröffentlicht hat, einen wesentlichen Bestandteil der NIS2-Richtlinie. Diese fehlende Klarheit erschwert es Unternehmen, die Erwartungen an sie vollständig zu verstehen, während der Compliance-Zeitraum schnell abläuft.

Die EU-Kommission hat die Mitgliedstaaten aufgefordert, ihre Umsetzung zu beschleunigen und harmonisierte Standards zu schaffen, die es Unternehmen erleichtern, die neuen Anforderungen zu erfüllen. Mit der NIS2-Richtlinie hofft die EU, die Abwehrfähigkeit gegen zunehmende Cyberbedrohungen zu stärken und eine sicherere digitale Infrastruktur in der gesamten Union zu gewährleisten.

Kostenlosen pentest jetzt anfordern

Über aeroaccess: 

aeroaccess ist ein mittelständisches, technik- und dienstleistungsorientiertes Systemhaus für mobile Kommunikation. Mit unserem umfangreichen Portfolio für Netzwerk, Security und Analysesoftware schaffen wir Lösungen für Großkonzern und Mittelständler gleichermaßen.

E-Mail:  info@aeroaccess.de

Tel.:      +49 (0)89 700 743 540

Tage
Stunden
Minuten
Sekunden
Wir bei aeroaccess leben für neue Technologien. Als spezialisiertes IT-Systemhaus bieten wir über 16 Jahre umfassende Lösungen für NetzwerkCybersicherheit 
und Managed Services.
 
Weltweiter Service: 175 Länder
Lösung: Netzwerk & IT-Cybersecurity
Erfahrung: 16 Jahre
Zertifiziert: Durch Marktführende Hersteller wie HPE, Aruba, Fortinet, Watchguard, Sophos, Checkpoint, Juniper...

It's time to level up your business with aeroaccess