2016 wurde die "Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS)" verabschiedet, die im Januar 2023 durch die Neufassung der Richtlinie namens "Richtlinie über Massnahmen für ein hohes gemeinsames Niveau der Cybersicherheit in der Union" (NIS 2-Richtlinie) ersetzt wurde. Bis Oktober 2024 muss diese von den Mitgliedstaaten in nationales Recht umgesetzt werden. Nachfolgend wird insbesondere auf Änderungen für private Unternehmen eingegangen.

Bei der NIS 2 handelt es sich um eine Mindestharmonisierung (Art. 5). Es steht den Mitgliedstaaten frei, strengere Bestimmungen zu erlassen oder beizubehalten. 

Anwendungsbereich private Unternehmen

• Unternehmen mit mindestens 50 Beschäftigten oder einem Umsatz von mindestens 10 Mio. EUR (mittelgrosse Unternehmen), die in der Union Dienstleistungen erbringen oder tätig sind.
• Unternehmen nach Anhang I oder Anhang II
• Unabhängig von ihrer Grösse gilt die Richtlinie auch für die in Anhang I oder II aufgeführten Einrichtungen, wenn ihre Dienste von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen elektronischen
...