NIS 2 für mehr Cybersecurity

Stärkung der EU-weiten Cybersicherheit und Resilienz – vorläufige Einigung zwischen Rat und Europäischem Parlament

Der Rat und das Europäische Parlament haben sich heute auf Maßnahmen zur Sicherung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union geeinigt, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter zu verbessern.

Nach ihrer Annahme wird die neue Richtlinie mit der Bezeichnung NIS 2 die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (die NIS-Richtlinie) ersetzen.

Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit

NIS 2 wird die Grundlage für Maßnahmen für das Cybersicherheitsrisikomanagement und für Meldepflichten in allen Sektoren bilden, die unter die Richtlinie fallen, wie etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.

Mit der überarbeiteten Richtlinie sollen Unterschiede bei den Anforderungen an die Cybersicherheit und bei der Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten beseitigt werden. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedstaaten festgelegt. Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten.

Mit der Richtlinie wird das Netzwerk der Verbindungsorganisationen für Cyberkrisen, EU-CyCLONe, offiziell eingerichtet, das das koordinierte Management massiver Cybersicherheitsvorfälle unterstützen wird.

Ausweitung des Anwendungsbereichs der Vorschriften

Während nach der alten NIS-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der neuen NIS 2-Richtlinie ein Schwellenwert für die Größe eingeführt. Das bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder die unter die Richtlinie fallende Art von Diensten erbringen, in den Anwendungsbereich der Richtlinie fallen.

In der Einigung zwischen dem Europäischen Parlament und dem Rat wird zwar an dieser allgemeinen Regel festgehalten, aber der vorläufig vereinbarte Text enthält auch zusätzliche Bestimmungen, um die Verhältnismäßigkeit, ein höheres Maß an Risikomanagement und eindeutige Kritikalitätskriterien zur Bestimmung der erfassten Einrichtungen zu gewährleisten.

In dem Text wird ferner klargestellt, dass die Richtlinie nicht für Einrichtungen gilt, die Tätigkeiten in Bereichen wie Verteidigung oder nationale Sicherheit, öffentliche Sicherheit, Strafverfolgung und Justiz ausüben. Auch Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen.

Da auch öffentliche Verwaltungen oft Ziel von Cyberangriffen sind, wird NIS 2 für Einrichtungen der öffentlichen Verwaltung auf zentraler und regionaler Ebene gelten. Darüber hinaus können die Mitgliedstaaten beschließen, dass sie auch für derartige Einrichtungen auf lokaler Ebene gilt.

Weitere Änderungen durch die beiden gesetzgebenden Organe

Das Europäische Parlament und der Rat haben den Text an die sektorspezifischen Rechtsvorschriften angepasst, insbesondere an die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience for the Financial Sector, DORA) und die Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience, CER), um Rechtsklarheit zu schaffen und für Kohärenz zwischen NIS 2 und diesen Rechtsakten zu sorgen.

Ein freiwilliger Peer-Learning-Mechanismus wird das gegenseitige Vertrauen stärken und die Erkenntnisse durch bewährte Verfahren und Erfahrungen verbessern und so zu einem hohen gemeinsamen Cybersicherheitsniveau beitragen.

Außerdem haben die beiden gesetzgebenden Organe die Meldepflichten gestrafft, um übermäßige Meldungen und einen übermäßigen Aufwand für die betreffenden Einrichtungen zu vermeiden.

Die Mitgliedstaaten müssen die Vorschriften der Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.

Nächste Schritte

Die heute erzielte vorläufige Einigung muss nunmehr vom Rat und vom Europäischen Parlament gebilligt werden.

Was den Rat betrifft, so beabsichtigt der französische Vorsitz, die Einigung dem Ausschuss der Ständigen Vertreter des Rates bald zur Billigung vorzulegen.

• Entwurf einer Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – vorläufige Einigung (Text zu einem späteren Zeitpunkt verfügbar)
• Entwurf einer Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – allgemeine Ausrichtung des Rates
• Cybersicherheit: Wie die EU Cyberbedrohungen begegnet (Hintergrundinformationen)
• Eine digitale Zukunft für Europa (Hintergrundinformationen)
• Wie die EU auf Krisen reagiert und Resilienz schafft (Hintergrundinformationen)
• Gestaltung der digitalen Zukunft Europas – Cybersicherheitspolitik (Informationen der Kommission)

Quelle: https://www.consilium.europa.eu/de/