(17.10.2024)
Die EU-Kommission hat die ersten Durchführungsbestimmungen zur Cybersicherheit kritischer Einrichtungen und Netze im Rahmen der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) angenommen.
Margrethe Vestager, Exekutiv-Vizepräsidentin für ein Europa für das digitale Zeitalter, sagte: „Cybersicherheit ist einer der wichtigsten Bausteine für den Schutz unserer Bürgerinnen und Bürger und unserer Infrastruktur. In der heutigen Cybersicherheitslandschaft ist es von größter Bedeutung, unsere Fähigkeiten, Sicherheitsanforderungen und den schnellen Informationsaustausch mit aktuellen Regeln zu verbessern. Ich fordere die verbleibenden Mitgliedstaaten auf, diese Regeln so schnell wie möglich auf nationaler Ebene umzusetzen, um sicherzustellen, dass die für unsere Gesellschaften und Volkswirtschaften kritischen Dienste cybersicher sind.“
Vorgaben für erhebliche Sicherheitsvorfälle
Dieser Durchführungsrechtsakt enthält detaillierte Maßnahmen für das Cybersicherheitsrisikomanagement sowie für die Fälle, in denen ein Sicherheitsvorfall als erheblich angesehen werden sollte. Unternehmen, die digitale Infrastrukturen und Dienste bereitstellen, sollten dies den nationalen Behörden melden.
Die Durchführungsverordnung gilt für bestimmte Kategorien von Unternehmen, die digitale Dienste erbringen, wie beispielsweise Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Online-Marktplätze, Online-Suchmaschinen und Plattformen sozialer Netzwerke. Für jede Kategorie von Diensteanbietern wird im Durchführungsrechtsakt festgelegt, wann ein Sicherheitsvorfall als erheblich erachtet wird, an wen er gemeldet werden muss und in welchem Zeitrahmen.
Die Annahme der Durchführungsverordnung fällt mit der Frist für die Umsetzung der NIS2-Richtlinie in nationales Recht durch die Mitgliedstaaten zusammen. Ab dem 18. Oktober 2024 müssen alle Mitgliedstaaten die Maßnahmen anwenden, die erforderlich sind, um die NIS2-Cybersicherheitsvorschriften einzuhalten, einschließlich Aufsichts- und Durchsetzungsmaßnahmen.
Die nächsten Schritte
Die Durchführungsverordnung wird zu gegebener Zeit im Amtsblatt veröffentlicht und tritt 20 Tage später in Kraft.
Hintergrund
Das erste EU-weite Gesetz zur Cybersicherheit, die NIS-Richtlinie, trat 2016 in Kraft und trug dazu bei, ein gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu erreichen. Als Teil ihres zentralen politischen Ziels, Europa für das digitale Zeitalter fit zu machen, schlug die Kommission im Dezember 2020 die Überarbeitung der NIS-Richtlinie vor. Nach ihrem Inkrafttreten im Januar 2023 mussten die Mitgliedstaaten die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.
Mit der NIS2-Richtlinie soll ein hohes Maß an Cybersicherheit in der gesamten Union sichergestellt werden. Sie umfasst Einrichtungen, die in Sektoren tätig sind, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, darunter Anbieter öffentlicher elektronischer Kommunikationsdienste, IKT-Dienstleistungsmanagement, digitale Dienste, Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung.
Die Richtlinie verschärft die den Unternehmen auferlegten Sicherheitsanforderungen und befasst sich mit der Sicherheit von Lieferketten und Lieferantenbeziehungen. Sie strafft die Meldepflichten, führt strengere Aufsichtsmaßnahmen für die nationalen Behörden sowie strengere Durchsetzungsanforderungen ein und zielt darauf ab, die Sanktionsregelungen in den Mitgliedstaaten zu harmonisieren. Sie wird dazu beitragen, den Informationsaustausch und die Zusammenarbeit bei der Bewältigung von Cyberkrisen auf nationaler und EU-Ebene zu verbessern.
Für weitere Informationen
- Durchführungsrechtsakt
- Factsheet zur Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2)
- Fragen und Antworten zu NIS2: Neue EU-Cybersicherheitsstrategie und neue Vorschriften zur Stärkung der Resilienz physischer und digitaler kritischer Einrichtungen
Quelle: Büro der Europäischen Kommission in Deutschland