NIS-2-Richtlinie: Erste Durchführungsvorschrift angenommen 

22. Oktober 2024

Seit dem 18.10.2024 gilt die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie). Diese Vorschriften legen konkrete Maßnahmen zur Risikominimierung fest und definieren, wann ein Sicherheitsvorfall im Unternehmen den nationalen Behörden zu melden ist. Am 16.10.2024 hat die EU-Kommission nun auch die ersten Durchführungsvorschriften hierzu angenommen.

Entwicklung der NIS-2-Richtlinie

Bereits 2016 wurde die erste NIS-Richtlinie (Network and Information Security Richtlinie) eingeführt, um ein Mindestmaß an Cybersicherheit innerhalb der EU zu gewährleisten. Mit der fortschreitenden Digitalisierung wuchs jedoch auch die Bedrohungslage, sodass eine Überarbeitung der Richtlinie notwendig wurde.

Die NIS-2-Richtlinie, die im Januar 2023 in Kraft trat, verschärft die Anforderungen an Unternehmen und verbessert die Durchsetzung von Cybersicherheitsstandards. Die Richtlinie richtet sich an „wesentliche Sektoren der Wirtschaft“, etwa an öffentliche elektronische Kommunikationsdienste, Abwasserunternehmen oder den Gesundheitssektor. Dies stellt eine Erweiterung des Geltungsbereichs im Vergleich zur ursprünglichen Richtlinie auf insgesamt 18 Sektoren dar.

Passend zur NIS-2-Richtlinie hat der EU-Rat erst eine Woche zuvor den Cyber Resilience Act verabschiedet. Ziel dieses neuen Rechtsakts ist es, verbindliche Anforderungen an die Cyber-Sicherheit vernetzter Geräte zu schaffen und so sowohl Verbraucher als auch Unternehmen besser vor Cyberangriffen zu schützen.

Die Durchführungsverordnung der EU

Die neue Durchführungsverordnung regelt verschiedene technische Vorgaben, die die NIS-2-Richtlinie vorschreibt. Insbesondere geht es um „Einzelheiten der Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit“. Außerdem bestimmt die Verordnung, wann genau ein Sicherheitsvorfall so erheblich ist, dass er von dem betroffenen Unternehmen, an die nationale Behörde gemeldet werden muss.

Betroffene Sektoren und Einrichtungen

Laut der Pressemitteilung der EU-Kommission betrifft die neue Verordnung „bestimmte Kategorien von Unternehmen, die digitale Dienste erbringen“. Adressiert sind insbesondere Anbieter von Cloud-Diensten, Rechenzentren, Online-Marktplätzen, sozialen Netzwerken und Suchmaschinen. Je nach Art des Dienstanbieters definiert die Verordnung, wann ein Sicherheitsvorfall vorliegt.

Umsetzungsfrist für Mitgliedssaaten abgelaufen

Die Umsetzungsfrist für die NIS-2-Richtlinie für die Mitgliedsstaaten endete am 17.10.2024. Somit müssen seit Ende letzter Woche alle EU-Mitglieder die Richtlinie in nationales Recht umsetzen. Das bedeutet insbesondere, dass sie ein Gesetz über Aufsichts- und Durchsetzungsmaßnahmen erlassen müssen. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) hat bereits am 24.07.2024 das Kabinett passiert, ist allerdings noch nicht in Kraft getreten. In diesem Zusammenhang hat Margrethe Vestager, Exekutiv-Vizepräsidentin des Ressorts „Ein Europa für das digitale Zeitalter“, die Mitgliedstaaten dringend dazu aufgefordert, „diese Vorschriften so schnell wie möglich auf nationaler Ebene umzusetzen, um die Cybersicherheit der Dienste, die für unsere Gesellschaften und Volkswirtschaften unentbehrlich sind, sicherzustellen“.

Fazit

Die neue Durchführungsverordnung der EU wird 20 Tage nach Veröffentlichung im Amtsblatt in Kraft treten. Die Umsetzung der NIS-2-Richtlinie stellt einen entscheidenden Schritt zur Stärkung der Cybersicherheit in Europa dar. Vor allem kritische Infrastrukturen und digitale Dienste stehen hier verstärkt im Fokus der Regulierungsmaßnahmen, da Ausfälle in diesen Bereichen gravierende Folgen für die Gesellschaft haben könnten. Unternehmen sollten die verbleibende Zeit nutzen, um ihre internen Sicherheitsstrategien zu überarbeiten und sicherzustellen, dass sie den neuen Anforderungen gerecht werden.