NIS2 ist die Cybersicherheitsrichtlinie der Europäischen Union, die auf ihrer Vorgängerin aufbaut, um einen stärkeren Schutz und eine größere Widerstandsfähigkeit zu gewährleisten. In diesem Blogartikel werfen wir einen genaueren Blick auf die von der NIS2-Richtlinie geforderte nationale Umsetzung und werfen einen Blick auf die lokalen Gesetze: Welche sind unter Cyberday verfügbar und wie unterscheiden sie sich von der europäischen Richtlinie?
Die NIS2-Richtlinie ist eine aktualisierte Fassung der ursprünglichen NIS-Richtlinie, die den Anwendungsbereich der ursprünglichen Richtlinie erweitert und die Cybersicherheit in der gesamten Europäischen Union stärken soll. Die NIS2-Richtlinie gilt für eine breite Palette von Sektoren, die für das Funktionieren der Wirtschaft von entscheidender Bedeutung sind, wie Energie, Verkehr, Wasser, Lebensmittel, Gesundheit, Finanzen, Betreiber digitaler Infrastrukturen, die verarbeitende Industrie und viele andere.
Im Frühjahr 2024 haben wir ein E-Book über NIS2 bereit mit ISO 27001 Best Practices. In unserem kostenlosen E-Book führen wir Sie durch die Welt von NIS2, die Inhalte der Richtlinie und geben Ihnen praktische Tipps, wie Sie die Konformität erreichen können. Holen Sie sich Ihr E-Book hier: cyberday.ai/ebook
.png)
Die EU-Mitgliedstaaten mussten die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen, wobei die Umsetzung kurz danach erfolgen sollte. Zwar haben viele die Frist verpasst, doch die Fortschritte sind ungebrochen, und die meisten Länder dürften ihre Rechtsvorschriften bald fertigstellen. Die Richtlinie erweitert die erfassten Sektoren und verschärft die Anforderungen an das Risikomanagement, die Meldung von Zwischenfällen und die Cybersicherheitsmaßnahmen, einschließlich strengerer Standards für die Meldung von Zwischenfällen und die Sicherheit der Lieferkette.
Zu den wichtigsten Entscheidungen auf nationaler Ebene gehören die Festlegung der lokalen Behörden, die Umsetzung und die Einzelheiten der Überwachung. Die Richtlinie legt Mindestkontrollmethoden fest und erlaubt nur Ergänzungen auf nationaler Ebene. Zu den Überlegungen gehören:
Die NIS2 legt großen Wert auf die Rolle der Behörden bei der Gewährleistung der Cybersicherheit kritischer Dienste und kritischer Infrastrukturen in der Europäischen Union und betont die Notwendigkeit einer verstärkten Zusammenarbeit zwischen den Behörden der EU-Mitgliedstaaten.
In den nationalen Rechtsvorschriften sollte festgelegt werden , welche Behörden für die Überwachung der Umsetzung der NIS2 in dem betreffenden Land zuständig sind und ob die Überwachung beispielsweise auf verschiedene Behörden je nach ihren Zuständigkeitsbereichen aufgeteilt ist. Die Länder müssen lokale Behörden benennen, die für die Einhaltung der NIS2-Vorschriften sorgen: Dies bedeutet, dass sie nationale Aufsichtsbehörden benennen oder neue Aufsichtsteams für Bereiche wie Energie, Gesundheit und Verkehr einrichten.
Die NIS2 legt klare und strenge Anforderungen für die Umsetzung und Überwachung fest, um die Einhaltung sowohl durch Organisationen als auch durch die Mitgliedstaaten zu gewährleisten. Die Mitgliedstaaten müssen gegenüber den Hauptakteuren wirksame, verhältnismäßige und abschreckende Kontrollmaßnahmen durchsetzen und dabei die besonderen Umstände jedes Einzelfalls berücksichtigen. Ergibt die Überwachung, dass ein wichtiger Akteur möglicherweise gegen die Vorschriften verstößt, müssen die Behörden geeignete Maßnahmen ergreifen, gegebenenfalls auch nachträgliche Kontrollmaßnahmen. Darüber hinaus sollten die Länder Teams einrichten, die sich mit Vorfällen im Bereich der Cybersicherheit befassen und diese bei Bedarf untersuchen.
Laut NIS2 sollte eine Organisation über klar definierte Richtlinien verfügen, um Informationssicherheitsrisiken zu verwalten, die Wirksamkeit von Sicherheitsmaßnahmen zu bewerten und Schlüsselbereiche für Verbesserungen zu identifizieren.
In der NIS2-Richtlinie werden insbesondere die folgenden Bereiche der Informationssicherheit genannt, für die die Organisation ihre Maßnahmen dokumentieren und umsetzen muss, wobei die Leitung der Organisation für die Angemessenheit dieser Maßnahmen verantwortlich ist:
Jedes Land muss sicherstellen, dass die Organisationen Maßnahmen zum Risikomanagement ergreifen. Zu diesen Maßnahmen gehören die Gewährleistung sicherer Lieferketten und eine sorgfältige Überprüfung der Risiken.
Im Rahmen der NIS2 müssen bedeutende Vorfälle der nationalen Aufsichtsbehörde gemeldet werden, so dass die nationalen Rechtsvorschriften festlegen, wann und wie Vorfälle zu melden sind. Die NIS2 legt somit die grundlegenden Standards fest, aber die Länder können je nach ihren eigenen Bedürfnissen strengere oder detailliertere Vorschriften erlassen.
Auf nationaler Ebene ist es auch möglich, über den Anwendungsbereich der NIS2-Richtlinie hinauszugehen und Spezifikationen entsprechend den nationalen Bedürfnissen zu erstellen. Diese Vereinbarungen und Maßnahmen auf nationaler Ebene werden sicherstellen, dass die NIS2-Richtlinie auf die Rechtsvorschriften der einzelnen Länder zugeschnitten ist und gleichzeitig ein kohärenter Ansatz für die Cybersicherheit in der gesamten EU beibehalten wird.
Hier die aktuelle Situation in Kürze:
Das österreichische Netz- und Informationssystemsicherheitsgesetz (NIS-Gesetz) setzt die NIS2-Richtlinie in nationales Recht um. Es legt Anforderungen für das Cybersecurity-Risikomanagement, die Meldung von Vorfällen und sektorspezifische Schutzmaßnahmen für wesentliche und wichtige Einrichtungen fest. Das Gesetz lehnt sich eng an den Geltungsbereich der NIS2 an und legt gleichzeitig die nationalen Aufsichtsstrukturen und Kooperationsmechanismen fest. Die Vollziehung erfolgt durch das Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMKÖ) in Abstimmung mit dem österreichischen Cyber-Sicherheitsrat.
Belgien hat die NIS2-Richtlinie der Europäischen Union in Form des NIS2-Gesetzes in nationales Recht umgesetzt. Dieses Gesetz ist eng an die EU-Richtlinie angelehnt und enthält nur geringfügige nationale Anpassungen. Es legt die Anforderungen an die Cybersicherheit für Unternehmen fest, die in kritischen Sektoren tätig und in Belgien registriert sind. Zu den wichtigsten nationalen Maßnahmen gehören spezifische Registrierungsverfahren und Konformitätsbewertungen.
Mit dem bulgarischen Gesetz über die Anwendung der NIS2 wird ein nationaler Rahmen für die Identifizierung und Sicherung wesentlicher und wichtiger Einrichtungen im Einklang mit der NIS2-Richtlinie geschaffen. Es führt spezifische nationale Verfahren für die Registrierung, die Meldung von Vorfällen und sektorale Audits ein und stärkt gleichzeitig die Aufsichtsbefugnisse. Die Durchsetzung wird gemeinsam von der staatlichen Agentur für nationale Sicherheit und der Kommission für den Schutz personenbezogener Daten durchgeführt.
Die kroatische Umsetzung der NIS2 Das Cybersicherheitsgesetz (Zakon o kibernetičkoj sigurnosti NN 14/2024) ist im Februar 2024 in Kraft getreten. Es definiert Cybersicherheitsregeln für kroatische Unternehmen mit denselben Kriterien wie die NIS2, mit einigen Ausnahmen, wie der Einbeziehung zusätzlicher Sektoren, einer detaillierten Kategorisierung von Unternehmen, definierten Fristen für die Einhaltung und bestimmten Strafen.
Das zyprische Cybersicherheitsgesetz setzt die NIS2-Richtlinie der EU um und verpflichtet wesentliche und wichtige Einrichtungen, Risikomanagementmaßnahmen zu ergreifen, Vorfälle zu melden und mit den nationalen Behörden zusammenzuarbeiten. Es umfasst nationale Benennungsverfahren und klärt die sektorspezifischen Verantwortlichkeiten. Die Abteilung für elektronische Kommunikation des Ministeriums für Verkehr, Kommunikation und Bauwesen fungiert als Hauptaufsichtsbehörde.
Finnlands "Kyberturvallisuuslaki" wartet auf die letzte Genehmigung, kann aber bereits in der Umsetzung verwendet werden. Das Cybersicherheitsgesetz schafft einen klaren Rechtsrahmen für das Risikomanagement im Bereich der Informationssicherheit und die Meldung von Vorfällen im Einklang mit der NIS2-Richtlinie. Das neue Gesetz zielt darauf ab, die derzeitige fragmentierte finnische Gesetzgebung zur Cybersicherheit zu vereinheitlichen und mit den durch NIS2 eingeführten EU-weiten Standards zu harmonisieren. Es erweitert den Geltungsbereich der Anforderungen an das Risikomanagement und die Berichterstattung und präzisiert die Zahl der Unternehmen und öffentlichen Einrichtungen, die diese einhalten müssen. Das Cybersicherheitsgesetz nimmt das Mindestniveau der Richtlinie als Ausgangspunkt und definiert hauptsächlich die Punkte, die dem Inhalt der Richtlinie entsprechen. Das Cybersicherheitsgesetz erweitert weder den Anwendungsbereich der NIS2-Richtlinie noch die Kontrollmöglichkeiten.
Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz setzt die EU-Richtlinie mit zusätzlichen nationalen Maßnahmen zur Durchsetzung um, einschließlich strengerer Fristen für die Meldung von Vorfällen, höherer Strafen und eines breiteren sektoralen Anwendungsbereichs in einigen Bereichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dient als Hauptaufsichtsbehörde und wird in bestimmten Bereichen von den Landesregulierungsbehörden unterstützt.
Griechenland hat seine NIS2-Umsetzung in Kraft gesetzt und damit die Cybersicherheitsverpflichtungen für kritische Sektoren wie Energie, Verkehr und digitale Infrastruktur gestärkt. Das Gesetz lehnt sich eng an die EU-Richtlinie an, führt jedoch zusätzliche Aufsichts- und Überprüfungsverfahren ein. Die Durchsetzung erfolgt durch die griechische nationale Cybersicherheitsbehörde, die sich mit den sektoralen Regulierungsbehörden abstimmt.
Mit dem irischen Gesetz zur Cybersicherheit (National Cyber Security Bill 2024) wird die NIS2-Richtlinie in irisches Recht umgesetzt. Sie legt Risikomanagement- und Meldepflichten für wesentliche und wichtige Einrichtungen fest und sieht nationale Verfahren für die Registrierung und Überwachung der Einhaltung vor. Das Nationale Zentrum für Cybersicherheit (NCSC), das dem Ministerium für Umwelt, Klima und Kommunikation untersteht, ist die federführende Durchsetzungsstelle.
Das italienische Cybersicherheitsgesetz (Gesetzesdekret Nr. 138) setzt die NIS2 mit zusätzlichen Maßnahmen für Einrichtungen der öffentlichen Verwaltung und bestimmte private Betreiber um. Es legt detaillierte Fristen für die Einhaltung der Vorschriften, verschärfte Strafen und erweiterte Verpflichtungen in kritischen Sektoren fest. Die Nationale Agentur für Cybersicherheit (ACN) ist für die Überwachung und Durchsetzung zuständig.
Die NIS2 wurde in Lettland als "Nationales Cybersicherheitsgesetz" verabschiedet. Es verbessert die Sicherheit von Informations- und Kommunikationstechnologien, einschließlich der Festlegung von Anforderungen für die Bereitstellung und den Empfang wesentlicher und wichtiger Dienste und den Betrieb von Informations- und Kommunikationstechnologien. Das Gesetz dehnt den Geltungsbereich auf Organisationen des öffentlichen und privaten Sektors aus und teilt sie je nach Kritikalität in drei Gruppen ein.
Das Cybersicherheitsgesetz "Kibernetinio Saugumo Įstatymas" setzt das NIS2-Gesetz der Europäischen Union in Litauen um. Es enthält Anforderungen an verschiedene Organisationen zur Stärkung ihres Cybersecurity-Risikomanagements. Das litauische Gesetz sieht einen erweiterten Anwendungsbereich, detaillierte Umsetzungsfristen (12 Monate ab Aufnahme) und definierte Aufsichtsfunktionen vor.
Der luxemburgische Gesetzentwurf Nr. 8364 setzt die NIS2-Richtlinie in nationales Recht um und enthält Bestimmungen zu Cybersicherheitsverpflichtungen, zur Meldung von Vorfällen und zu sektorspezifischen Anforderungen, insbesondere in den Bereichen Finanzen und digitale Infrastruktur. Die Hohe Kommission für Nationalen Schutz (HCPN) wird als Hauptaufsichtsbehörde fungieren, sobald das Gesetz in Kraft getreten ist.
Die maltesische Rechtsmitteilung 71 aus dem Jahr 2025 setzt die NIS2 auf nationaler Ebene in Kraft, indem sie wesentlichen und wichtigen Einrichtungen Anforderungen an die Sicherheit, das Risikomanagement und die Meldung von Vorfällen auferlegt. Er umreißt die sektoralen Zuständigkeiten und Berichtsmechanismen. Die maltesische Behörde für Cybersicherheit überwacht die Umsetzung und Durchsetzung.
Das niederländische Cybersicherheitsgesetz (Cyberbeveiligingswet) setzt die NIS2 mit nationalen Anpassungen für die Behandlung von Vorfällen, die sektorale Zusammenarbeit und die öffentlich-private Koordination um. Es gilt für wesentliche und wichtige Einrichtungen in kritischen Sektoren. Das Nationale Zentrum für Cybersicherheit (NCSC), das dem Ministerium für Justiz und Sicherheit untersteht, dient als federführende Durchsetzungsstelle.
Die rumänische Dringlichkeitsverordnung Nr. 155/2024 setzt die NIS2-Richtlinie auf nationaler Ebene durch und fügt technische und verfahrenstechnische Anforderungen sowohl für öffentliche als auch private Betreiber hinzu. Die Nationale Direktion für Cybersicherheit (DNSC) ist für die Aufsicht, Durchsetzung und sektorale Koordinierung zuständig.
Das spanische Cybersicherheitsgesetz setzt die NIS2 mit nationalen Verfahren für die Benennung, Überwachung der Einhaltung und Sanktionen um. Es enthält zusätzliche Maßnahmen für den Bereich der öffentlichen Verwaltung und stärkt die Reaktionsmöglichkeiten auf Vorfälle. Der Nationale Rat für Cybersicherheit koordiniert die Durchsetzung mit den zuständigen sektoralen Behörden.
Das schwedische Cybersicherheitsgesetz setzt die NIS2-Anforderungen für wesentliche und wichtige Einrichtungen um und enthält sektorspezifische Leitlinien und Koordinierungsmechanismen. Die schwedische Agentur für zivile Notfälle (MSB) fungiert als primäre Aufsichtsbehörde, die von den einschlägigen sektoralen Regulierungsbehörden unterstützt wird.
Sie können jetzt Ihre nationalen Gesetze unter Cyberday aktivieren! Hier finden Sie die allgemeine EU-Fassung der NIS2-Richtlinie sowie die nationalen Gesetze der Länder, die dem NIS2-Rahmen unterliegen. Aktivieren Sie die Gesetzgebung Ihrer Wahl mit einem Klick auf eine Schaltfläche.
.png)
