12.01.2023

eco kommentiert neue EU-Regeln für Cybersicherheit: NIS 2 konfrontiert Unternehmen mit unverhältnismäßigen Bürokratieaufwand

Die Richtlinie „für ein hohes gemeinsames Cybersicherheitsniveau“ ist Ende Dezember im EU-Amtsblatt erschienen und wird am 16. Januar 2023 in Kraft treten. Mit der NIS 2 Richtlinie werden die bestehenden Vorschriften zur Netz- und Informationssicherheit (NIS) nun reformiert. Damit kommen auf zahlreiche Unternehmen, Staatsbetriebe und Behörden neue Auflagen im Bereich Cybersicherheit zu.

Dazu sagt eco Vorstand Klaus Landefeld:

„Die spürbare Zunahme schwerwiegender Cyberattacken erfordert es, die Cyber-Resilienz europäischer Unternehmen und kritischer Einrichtungen nachhaltig zu stärken. Entscheidend ist dabei, dass die Unternehmen auf etwaige IT-Sicherheitsvorfälle schnell reagieren können. In NIS 2 wird der Geltungsbereich auf eine größere Anzahl von Sektoren und Aktivitäten ausgeweitet. Auch die Einrichtung einer europäischen Schwachstellen-Datenbank ist zu begrüßen. Allerdings muss NIS 2 für die Unternehmen viel praxistauglicher ausgestaltet werden. Die aktuell geplanten Berichts- und Meldepflichten konfrontieren die Unternehmen mit einem unverhältnismäßigen Bürokratieaufwand, der Abläufe verzögert. Auch darf durch die Ausweitung des Anwendungsbereichs von NIS 2 keine Doppel- oder Mehrfachregulierung entstehen. Hier muss insbesondere auf den bereits spezial-gesetzlich regulierten Telekommunikationssektor ein besonderes Augenmerk gelegt werden.“

Zum Hintergrund:
Die neue Richtlinie „NIS 2“ ersetzt die derzeitige Richtlinie „NIS“ und wurde im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen. Am 27.12.2022 wurde die NIS 2 Richtlinie im EU-Amtsblatt veröffentlicht und tritt zum 16.01.2023 in Kraft. Dann haben die Mitgliedstaaten 21 Monate zur Umsetzung in nationales Recht.

Klaus Landefeld