Die neuen Regeln gelten für alle mittleren und großen Unternehmen in wesentlichen Sektoren – Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Impfstoffe und medizinische Geräte, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Alle mittleren und großen Unternehmen in den Bereichen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelherstellung, medizinische Geräte, Computer und Elektronik, Maschinenausrüstung, Kraftfahrzeuge und digitale Anbieter wie Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke fallen ebenfalls unter die Regeln. Die Unternehmen müssen ihr Cybersicherheitsrisiko bewerten, Behörden benachrichtigen und technische und organisatorische Maßnahmen ergreifen, um den Risiken entgegenzuwirken, mit Bußgeldern von bis zu 2 % des weltweiten Umsatzes bei Nichteinhaltung. Auch die EU-Länder und die EU-Cybersicherheitsagentur ENISA könnten die Risiken kritischer Lieferketten gemäß den Vorschriften bewerten. „Cyber-Bedrohungen sind mutiger und komplexer geworden. Es war zwingend erforderlich, unseren Sicherheitsrahmen an die neuen Realitäten anzupassen und sicherzustellen, dass unsere Bürger und Infrastrukturen geschützt sind“, sagte EU-Industriechef Thierry Breton in einer Erklärung.
EU-Regierungen und Gesetzgeber einigen sich auf strengere Cybersicherheitsregeln für Schlüsselsektoren
EU Länder und Gesetzgeber einigten sich am Freitag auf härtere Maßnahmen Cybersicherheitsregeln für große Energie-, Transport- und Finanzunternehmen, digitale Anbieter und Hersteller medizinischer Geräte angesichts der Besorgnis über Cyberangriffe durch staatliche Akteure und andere böswillige Akteure. Die Europäische Kommission hat vor zwei Jahren Vorschriften über die vorgeschlagen Internet-Sicherheit von Netzwerk- und Informationssystemen, die als NIS 2-Richtlinie bezeichnet wird und den Geltungsbereich der aktuellen Regel erweitert, die als bekannt ist NIS-Richtlinie.