EU-Regierungen und Gesetzgeber einigen sich auf strengere Cybersicherheitsregeln für Schlüsselsektoren

Die EU-Länder und der Gesetzgeber haben sich am Freitag auf strengere Regeln für die Cybersicherheit großer Energie-, Transport- und Finanzunternehmen, digitaler Anbieter und Hersteller medizinischer Geräte geeinigt, da sie sich Sorgen über Cyberangriffe durch staatliche Akteure und andere böswillige Akteure machen.

Die Europäische Kommission hat vor zwei Jahren Regeln für die Cybersicherheit von Netzwerk- und Informationssystemen vorgeschlagen, die als NIS-2-Richtlinie bezeichnet werden und den Anwendungsbereich der aktuellen NIS-Richtlinie erweitern.

Die neuen Vorschriften gelten für alle mittleren und großen Unternehmen in wichtigen Sektoren - Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Impfstoffe und medizinische Geräte, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt.

Alle mittleren und großen Unternehmen in den Bereichen Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittelherstellung, medizinische Geräte, Computer und Elektronik, Maschinenausrüstung, Kraftfahrzeuge und digitale Anbieter wie Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke fallen ebenfalls unter die Vorschriften.

Die Unternehmen sind verpflichtet, ihr Cybersicherheitsrisiko zu bewerten, die Behörden zu benachrichtigen und technische und organisatorische Maßnahmen zu ergreifen, um den Risiken zu begegnen. Bei Nichteinhaltung drohen Geldstrafen von bis zu 2 % des weltweiten Umsatzes.

Die EU-Länder und die EU-Cybersicherheitsbehörde ENISA könnten im Rahmen der Vorschriften auch die Risiken kritischer Lieferketten bewerten.

"Cyber-Bedrohungen sind mutiger und komplexer geworden. Es war zwingend notwendig, unseren Sicherheitsrahmen an die neuen Realitäten anzupassen und sicherzustellen, dass unsere Bürger und Infrastrukturen geschützt sind", sagte der EU-Industriechef Thierry Breton in einer Erklärung.