Die Network and Information Security Directive (kurz: NIS) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit und die Widerstandsfähigkeit von Netz- und Informationssystemen in der Europäischen Union zu verbessern. 

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) trat am 16. Januar 2023 in Kraft und die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Das sind die wichtigsten Neuerungen, die sich mit der Einarbeitung der NIS-2 Regelung in nationales Recht ergeben:

1. Erweiterter Anwendungsbereich: Die NIS-2-Verordnung deckt mehr Sektoren und Unternehmen ab, darunter auch mittelgroße und kleine Unternehmen in bestimmten risikoreichen Sektoren. Zu den neu hinzugefügten Sektoren gehören beispielsweise Abfallwirtschaft, öffentliche Verwaltung, Raumfahrt und die Herstellung von bestimmten kritischen Produkten.
2. Höhere Anforderungen an Sicherheitsmaßnahmen: Unternehmen müssen strengere technische und organisatorische Maßnahmen implementieren, um ihre Netz- und Informationssysteme zu schützen. Dies umfasst unter anderem den Schutz vor Cyberangriffen, die Sicherstellung der Geschäftskontinuität und die Minimierung von Risiken.
3. Verbesserte Meldepflichten: Die Verordnung führt präzisere und strengere Meldepflichten ein. Unternehmen müssen Cybervorfälle innerhalb von 24 Stunden nach Entdeckung vorläufig melden und anschließend innerhalb von 72 Stunden einen detaillierten Bericht einreichen.
4. Stärkere Durchsetzungsmechanismen und Sanktionen: Die NIS-2-Verordnung sieht härtere Strafen für die Nichteinhaltung der Sicherheitsanforderungen vor. Dies kann zu erheblichen Geldbußen führen. Nationale Behörden erhalten mehr Befugnisse zur Durchsetzung der Regeln und zur Überwachung der Unternehmen.
5. Risikomanagement und Berichterstattung: Unternehmen müssen regelmäßige Risikobewertungen durchführen und geeignete Sicherheitsmaßnahmen implementieren. Außerdem müssen sie regelmäßig über ihre Sicherheitslage und Vorfälle berichten.