Definition Was ist NIS?

Redakteur: Sarah Gandorfer

NIS (EU Network and Information Security directive) und NIS2 sind die Abkürzungen für zwei Gesetze der EU, die in der gesamten Union umzusetzen waren oder sind. Diese setzen Vorschriften für die Netzwerk- und Informationssicherheit. Sie sollen also für Cybersicherheit sorgen.

Firmen zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

NIS ist ein Akronym für die englischen Vokabeln „Network and Information Security“ - also „Netzwerk- und Informationssicherheit“. Ursprünglich handelte es sich um eine Direktive der EU aus dem Jahr 2016. Faktisch erließ die Union eine Gesetzesvorlage bezüglich der Stärkung des Komplexes, den sie im Namen trägt. Diese war von den Mitgliedsländern innerhalb von 18 Monaten umzusetzen. Im Dezember 2020 stellte die EU NIS2 vor. Die neue Direktive trägt den Erkenntnissen über die Mängel des ersten Gesetzes Rechenschaft und soll diese beseitigen.

NIS 2016: die wesentlichen Inhalte

NIS 2016 war dreiteilig. Erstens mussten alle Mitglieder gewisse Kapazitäten sowie Einrichtungen aufbauen, mit denen sich Cyberangriffe abwehren lassen. Zweitens wurden Gruppen eingerichtet, die grenzübergreifend zusammenarbeiten würden, um Netzwerke und Informationsflüsse abzusichern. Das bekannteste Beispiel ist die NIS Cooperation Group. Drittens mussten die Mitglieder kritische Sektoren ihrer Wirtschaft unter nationale Aufsicht stellen und diese zwingen, geeignete Sicherheitsmaßnahmen einzuführen. Dies betraf beispielsweise:

  • Energie
  • Transportwesen
  • Wasser
  • Gesundheit
  • Finanzwesen
  • digitale Infrastrukturen

NIS2: Diese Mängel werden beseitigt

Mit NIS2 erklärte die EU im Dezember 2020, dass es notwendig sei, die Widerstandskraft im Bereich der digitalen Sicherheit „in allen Bereichen zu stärken, die eine wichtige Rolle für das Funktionieren der Wirtschaft und Gesellschaft spielen.“ Die bisherigen Regelungen deckten diese nicht komplett ab. Postdienste, Nahrungsmittelerzeugung und die Fertigung kritischer Produkte wie zum Beispiel Arzneien werden deshalb ebenfalls unter nationale Aufsicht gestellt.

Die bisherige Trennung zwischen „Anbietern kritischer Dienste“ und „Anbietern digitaler Dienste“ entfällt dabei. Dies bedeutet, dass Digitalsysteme fortan immer als kritisch zu behandeln sind. Zudem schreibt die EU ein "Minimum an Basis-Sicherheitselementen" für alle Unternehmen vor, die unter nationaler Aufsicht stehen. Diese unterscheiden sich branchenspezifisch, sollen aber dabei helfen, insgesamt „präziser als bislang auf Vorfälle und Angriffe zu reagieren.“ Das EU-Parlament wird NIS2 im Frühjahr 2021 verabschieden. Anschließend haben die Mitglieder 18 Monaten Zeit, die Regeln in nationalstaatliche Gesetze zu gießen und umzusetzen.

(ID:47158199)