Die NIS-Richtlinie und die Datenschutz-Grundverordnung sind zwei wichtige europäische Rechtsinstrumente, die sich mit Cybersicherheit und Datenschutz befassen. Die NIS-Richtlinie zielt darauf ab, die Sicherheit von Netzwerken und Informationssystemen in der EU zu verbessern, insbesondere für wesentliche Dienste und Anbieter digitaler Dienste (Cole & Schmitz, 2019). Im Gegensatz dazu konzentriert sich die DSGVO auf den Schutz personenbezogener Daten.
Trotz ihrer unterschiedlichen Ziele überschneiden sich diese Verordnungen häufig, da die im Rahmen der NIS-Richtlinie geschützten Daten häufig personenbezogene Informationen umfassen (Cole & Schmitz, 2019). Mit der kürzlich vom EU-Rat verabschiedeten NIS2-Richtlinie werden neue europäische Rechtsvorschriften für die IT-Sicherheit eingeführt, die auf der ursprünglichen NIS-Richtlinie aufbauen (Voigt & Bastians, 2022). Es wird erwartet, dass diese aktualisierte Richtlinie die Cybersicherheitsmaßnahmen und die Meldepflichten für die betroffenen Sektoren weiter verschärfen wird. Das Zusammenspiel dieser Verordnungen verdeutlicht den umfassenden Ansatz der EU zur Bewältigung digitaler Bedrohungen und zum Schutz sowohl der Infrastruktur als auch der Privatsphäre des Einzelnen in einer zunehmend vernetzten digitalen Landschaft.
Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheit in der gesamten Europäischen Union zu stärken, indem der Umfang der regulierten Sektoren und Einrichtungen erweitert wird und strengere Anforderungen eingeführt werden (Noack, 2023; Vogel & Ziegler, 2023; Lucini, 2023). Sie ersetzt die bisherigen Kategorien von Betreibern durch ‚wichtige‘ und ‚wesentliche‘ Einrichtungen, die in erster Linie anhand der Unternehmensgröße und nicht anhand von Entscheidungen der nationalen Behörden bestimmt werden (Sievers, 2021). Die Richtlinie führt neue Verpflichtungen und geänderte Verfahrensbedingungen ein, die sich auf zuvor ausgenommene Betreiber auswirken und eine Neubewertung derjenigen erfordern, die bereits unter die NIS1 fallen. Die NIS2 befasst sich mit Kritikpunkten am derzeitigen deutschen Rechtsrahmen, darunter unklare Definitionen von kritischen Infrastrukturen und hohe Schwellenwerte (Vogel & Ziegler, 2023). AlleMitgliedsstaaten haben bis zum 17. Oktober 2024 Zeit, ihre Gesetzgebung an die NIS2 anzupassen. Die Richtlinie zielt darauf ab, einen kohärenteren regionalen Cybersicherheitsrahmen zu schaffen, der die fragmentierte Annahme der Vorgängerrichtlinie behebt und die Widerstandsfähigkeit der Mitgliedstaaten erhöht (Noack, 2023).
Die NIS2-Richtlinie, die seit Januar 2023 in Kraft ist, behebt Schwachstellen in der bisherigen Umsetzung der NIS-Richtlinie, darunter unklare Definitionen von kritischen Infrastrukturen und hohe Schwellenwerte für die Klassifizierung. Dieseneue Richtlinie dehnt ihre Reichweite aus, um mehr Sektoren und Unternehmen einzubeziehen, und basiert die Identifizierung auf der Unternehmensgröße und nicht auf der Klassifizierung der Mitgliedstaaten. Sie führt auch detaillierte Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit, strengere Aufsichts- und Durchsetzungsanforderungen sowie harmonisierte Sanktionen ein (Schmitz-Berndt & Chiara, 2022).
Einige Mitgliedstaaten, wie Italien und Deutschland, haben bereits nationale Gesetze verabschiedet, die mit Aspekten der NIS2 übereinstimmen. Unternehmen, die in der EU tätig sind, auch solche, die bisher davon ausgenommen waren, könnten vor neuen Herausforderungen bei der Einhaltung der Vorschriften stehen und sollten ihre Cybersicherheitsmaßnahmen neu bewerten, um rechtliche Risiken zu mindern (Lucini, 2023).
Literaturverzeichnis
- Cole, M. D., & Schmitz, S. (2019). The interplay between the NIS directive and the GDPR in a cybersecurity threat landscape. University of Luxembourg law workingpaper, (2019-017).
- Noack, A. (2023). Mehr Cybersicherheit in einer vernetzten Welt. ENTSORGA-Magazin, 42(4), 28-30.
- Lucini, V. (2023). The ever-increasing cybersecurity compliance in Europe: The NIS 2 and what all businesses in the EU should be aware of. Russian Law Journal, 11(6S), 145-154.
- Schmitz-Berndt, S., & Chiara, P. G. (2022). One step ahead: mapping the Italian and German cybersecurity laws against the proposal for a NIS2 directive. International Cybersecurity Law Review, 3(2), 289-311.
- Sievers, T. (2021). Proposal for a NIS directive 2.0: companies covered by the extended scope of application and their obligations. International Cybersecurity Law Review, 2(2), 223-231.
- Voigt, P., & Bastians, H. (2022). Neue europarechtliche Anforderungen an die IT-Sicherheit. Rat der EU nimmt NIS2-Richtlinie an–ein erster Überblick. Computer und Recht, 38(12), 768-775.
- Vogel, V., & Ziegler, N. (2023). Kritikalität: Von der BSI-KritisV zur NIS2-Richtlinie. International Cybersecurity Law Review, 4(1), 1-19.