Die EU-Kommission hat 17.10.2024 die ersten Durchführungsvorschriften für die Cybersicherheit kritischer Einrichtungen und Netze im Rahmen der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) angenommen. Darin werden Einzelheiten der Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit sowie die Fälle festgelegt, in denen ein Sicherheitsvorfall als erheblich gelten sollte und in denen Unternehmen, die digitale Infrastrukturen und Dienste bereitstellen, Meldung bei den nationalen Behörden machen sollten. Dies ist ein weiterer wichtiger Schritt zur Stärkung der Cyberresilienz der kritischen digitalen Infrastruktur Europas. Die heute angenommene Durchführungsverordnung gilt für bestimmte Kategorien von Unternehmen, die digitale Dienste erbringen, darunter Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke. Für jede Kategorie von Diensteanbietern wird darin auch festgelegt, wann ein Sicherheitsvorfall als erheblich gilt. Die Annahme der Durchführungsverordnung fällt mit dem Ablauf der Frist zusammen, in der die Mitgliedstaaten die NIS-2-Richtlinie in nationales Recht umzusetzen hatten. Ab morgen, dem 18. Oktober 2024, müssen alle Mitgliedstaaten die zur Einhaltung der NIS-2-Cybersicherheitsvorschriften erforderlichen Maßnahmen, einschließlich Aufsichts- und Durchsetzungsmaßnahmen, anwenden.

Hintergrund
Das erste EU-weite Gesetz zur Cybersicherheit, die NIS-Richtlinie, trat 2016 in Kraft und trug dazu bei, ein gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu erreichen. Als Teil ihres zentralen politischen Ziels, Europa für das digitale Zeitalter fit zu machen, schlug die Kommission im Dezember 2020 die Überarbeitung der NIS-Richtlinie vor. Nach ihrem Inkrafttreten im Januar 2023 mussten die Mitgliedstaaten die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Mit der NIS2-Richtlinie soll ein hohes Maß an Cybersicherheit in der gesamten Union sichergestellt werden. Sie umfasst Einrichtungen, die in Sektoren tätig sind, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, darunter Anbieter öffentlicher elektronischer Kommunikationsdienste, IKT-Dienstleistungsmanagement, digitale Dienste, Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung. Die Richtlinie verschärft die den Unternehmen auferlegten Sicherheitsanforderungen und befasst sich mit der Sicherheit von Lieferketten und Lieferantenbeziehungen. Sie strafft die Meldepflichten, führt strengere Aufsichtsmaßnahmen für die nationalen Behörden sowie strengere Durchsetzungsanforderungen ein und zielt darauf ab, die Sanktionsregelungen in den Mitgliedstaaten zu harmonisieren. Sie wird dazu beitragen, den Informationsaustausch und die Zusammenarbeit bei der Bewältigung von Cyberkrisen auf nationaler und EU-Ebene zu verbessern.

mehr