NIS2 in EU-Ländern
Die EU NIS2-Richtlinie muss von den EU-Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Der Umsetzungsstand der NIS2-Gesetze in der EU variiert jedoch stark. Einige Länder haben bereits Entwürfe verfasst und befinden sich im öffentlichen Diskurs:
- Belgien
- Deutschland
- Finnland
- Frankreich
- Italien
- Kroatien
- Niederlande
- Österreich
- Schweden
- Tschechien
- Unterschiede
Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.
EU NIS2 Implementation in EU Member States
Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024
Die Informationslage (Januar 2024) ist eher uneinheitlich — bei vielen Ländern haben wir keine oder nur sehr wenige öffentlichen Informationen gefunden. Hier waren noch keine Fortschritte erkennbar: Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn und Zypern.
Nationale Umsetzung in EU-Staaten
Land | Umsetzung | Status | Besonderheiten |
---|---|---|---|
Belgien | Das Centre for Cybersecurity of Belgium (CCB) hat einen Gesetzesentwurf veröffentlicht, der sich bis Dezember 2023 in der Konsultation befand. | 1 Entwurf, Konsultationsphase abgeschlossen |
Unterschiedliche Wege zur Nachweiserbringung, Nachweisfrist 18 Monate nach Inkrafttreten |
Deutschland | Das Innenministerium arbeitet am neuen Umsetzungsgesetz NIS2UmsuCG, es erweitert das bestehende BSI-Gesetz (KRITIS) deutlich. Regulierungsbehörde wird das Bundesamt für Sicherheit in der Informationstechnik. | 3 Entwürfe, Diskussionstermine mit Wirtschaft & Verbänden sind erfolgt | Mehr Sektoren, KRITIS als zusätzliche Gruppe, teilweise Audits, keine Übergangsfristen |
Finnland | Das Ministry of Transport and Communications (LVM) hat einen Gesetzesentwurf veröffentlicht. Die Konsultationsphase endete Ende November 2023. | 1 Entwurf, Konsultationsphase abgeschlossen | Keine Nachweisfristen, Registrierungspflicht ab Januar 2025 |
Frankreich | Die nationale Umsetzung erfolgt durch die Agence nationale de la sécurité des systemes d'information (ANSSI). | Kein Entwurf bekannt, FAQ mit Antworten zu Betroffenheit, Pflichten und weiteren Themen |
|
Italien | Die Gesetzgebung erfolgt durch die Agenza per la cybersicurezza nazionale (ACN). | Kein Entwurf, Zeitplan unbekannt | |
Kroatien | Die nationale Umsetzung wird durch das Office of the National Security Counsil vorangetrieben. | Finaler Entwurf veröffentlicht, Konsultationsphase abgeschlossen | Viele Pflichten auch für wichtige Einrichtungen in abgemilderter Form, keine Meldepflicht für 24/72h, bis zu 9 Monate Übergangsfristen |
Niederlande | Die nationale Umsetzung erfolgt durch die Rijksinspectie Digitale Infrastructuur (RDI), vermutlich durch Überarbeitung des bestehenden Gesetzes zur Netz- und Informationssicherheit. | Erster Entwurf in Erarbeitung, Konsultationsphase voraussichtlich in Q1/2024, Evaluierungstool verfügbar | |
Österreich | Nationale Umsetzung durch BMI (Bundesminister für Inneres) | Offizieller Begutachtungsentwurf veröffentlicht, Umsetzung bis 18.10. möglich / wahrscheinlich | Umfangreiche FAQ-Seiten, Förderprogramm für KMUs mit Ausschreibung bis Mitte April 2024 |
Schweden | Die nationale Umsetzung erfolgt durch die Swedish Post and Telecom Authority (PTS). | Entwurf im Februar 2024 erwartet | |
Tschechien | Die nationale Umsetzung erfolgt durch die Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), das Nationale Amt für Cyber- und Informationssicherheit. | Finaler Entwurf veröffentlicht, Konsultationsphase abgeschlossen | Gesetz in zwei Teilen, viele konkrete Anforderungen an Risikomanagementmaßnahmen, Einrichtungen + strategisch wichtige Dienste |
Belgien
Die nationale Umsetzung erfolgt in Belgien durch das (bisher sogenannte) NIS2 Gesetz. Das Gesetz ersetzt das bestehende NIS-1-Gesetz aus 2019 und das Gesetz zum Schutz kritischer Infrastrukturen aus dem Jahr 2011.
Status
Das Centre pour la Cybersécurité Belgique, kurz CCB, treibt die Ausarbeitung voran und wird in Belgien die zuständige nationale Cybersicherheitsbehörde.
Bis zum 21. Dezember 2023 befand sich der aktuelle Gesetzesentwurf in der Konsultation, die Textentwürfe wurden dem Staatsrat und der Datenschutzbehörde zur Beratung vorgelegt. Der weitere Zeitplan ist aktuell unbekannt.
Der aktuelle Gesetzesentwurf sieht Übergangsfristen vor: Betroffene Unternehmen haben nach Inkrafttreten 5 Monate Zeit, um sich beim CCB zu registrieren. Die Nachweiserbringung muss innerhalb von 18 Monaten nach Inkrafttreten erfolgen (wohl 2026).
Besonderheiten
Der belgische Gesetzesentwurf zeichnet sich durch die folgenden Besonderheiten aus:
- Schutz für Informationssysteme: Belgische Unternehmen müssen eine Risikoanalyse auf Basis eines All-Gefahren-Ansatzes durchführen, um Netzwerk- und Informationssysteme gezielt zu schützen. Die Ergebnisse müssen anschließend in einer Sicherheitsrichtlinie dokumentiert werden. Der Gesetzesentwurf spricht hier von der
politique de sécurité des systèmes et réseaux d'information
, kurz P.S.I. - Koordinierte Offenlegung: Belgische Unternehmen müssen zukünftig eine Richtlinie erstellen, die sich mit der Offenlegung von Schwachstellen befasst.
- Nachweise: Für die Konformitätsbewertung haben besonders wichtige Einrichtungen mehrere Optionen. Sie können sich für eine Inspektion (Audit) durch das CCB entscheiden oder die Konformitätsbewertung durch eine Konformitätsbewertungsstelle durchführen lassen. Hierbei können Unternehmen sich mit einer ISO/IEC 27001-Zertifizierung oder auf Grundlage des Referenzrahmens des CCBs prüfen lassen.
- Wichtige Einrichtungen können die Konformitätsbewertung auf freiwilliger Basis durchführen. Hierbei handelt es sich um eine Selbstbewertung, die von einer Konformitätsbewertungsstelle überprüft wird.
Literatur
- Voräufiger Gesetzesentwurf des Centre for Cybersecurity Belgium zur Umsetzung der NIS-2-Richtlinie in Belgien, Webseite des CCB, Datum der Veröffentlichung unbekannt
- Zusammenfassung der wesentlichen Inhalte des Gesetzesentwurfs, Agoria, 24.11.2023
Deutschland
Die nationale Umsetzung erfolgt in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, NIS2UmsuCG. Das NIS2UmsuCG erweitert die bisherige deutsche KRITIS-Regulierung deutlich und wird das bestehende BSI-Gesetz umfangreich ändern.
Das Bundesamt für Sicherheit in der Informationstechnik, BSI, bleibt der deutsche Regulator und erhält zusätzliche Befugnisse. Weitere Sektorregulierung durch andere Gesetze und Behörden bleibt bestehen (Telekommunikation, Energie, Finanzen). Durch EU RCE wird die Behörde BBK mit dem KRITIS-Dachgesetz auch Teil der Regulierung.
English article with details on German NIS2 Implementation available.
Status
Die Umsetzung wird auf Bundesebene durch das Bundesinnenministerium, BMI, getrieben. Zurzeit liegen drei Entwürfe des Gesetzes vor, der letzte ein Diskussionspapier zur Kommentierung durch Verbände (Werkstattgespräch). Ein vierter Entwurf wird im Winter 2023-24 erwartet, der die groben Züge des Diskussionspapiers beibehält.
Das NIS2-Umsetzungsgesetz soll im April 2024 verkündet werden und dann im Oktober 2024 in Kraft treten. Es sind keine Übergangsfristen bekannt.
Besonderheiten
Die deutsche Regulierung wird über das EU-Mindestniveau von NIS2 hinausgehen:
- Die deutsche KRITIS-Methodik mit Anlagen und Schwellenwerten bleibt als dritte Unternehmensgruppe Betreiber kritischer Anlagen bestehen.
- Die NIS2 essential und important entities heißen auf deutsch besonders wichtige und wichtige Einrichtungen.
- Die Schwelle für Unternehmen liegt tiefer, da die Kriterien der Unternehmensgröße in Mitarbeitern und Umsatz einzeln zählen – es sind auch Unternehmen <50 Mitarbeitern potenziell betroffen (wenn der Umsatz ≥10 Mio. EUR ist).
- Die NIS2-Sektoren der Annexe I und II sind in Deutschland leicht unterschiedlich gefasst – ICT Service Management und Digital Infrastructure gehören in Deutschland zu IT/TK.
- Neben den NIS2-Sektoren gibt es weiter die bisherigen KRITIS-Sektoren, die leicht von NIS2 abweichen.
- Eine weitere Besonderheit betrifft den Sektor öffentliche Verwaltung in Deutschland. Im Diskussionspapier von September 2023 fehlt die genaue Auflistung der betroffenen Einrichtungen und Teilsektoren der öffentlichen Verwaltung. Nach Angaben des Diskussionspapiers sollen die Einzelheiten in Anhang 3 folgen, der noch nicht veröffentlicht wurde.
- Deutschland fasst mehrere Sektoren zusammen: Aus den EU-Sektoren Gas und Wasserstoff wird der Sektor Gasversorgung. Der Sektor IT und TK wird die EU-Sektoren Digitale Infrastruktur und Verwaltung von IKT-Diensten umfassen.
Literatur
- Diskussionspapier des Bundesministeriums des Innern und für Heimat zur Umsetzung der NIS-2-Richtlinie in Deutschland, Webseite des BMI, 29.09.2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
Finnland
Die nationale Umsetzung erfolgt in Finnland durch das Gesetz zum Cyber-Sicherheitsrisikomanagement
, Laki kyberturvallisuuden riskienhallinnasta.
Zuständig ist das finnische Ministry of Transport and Communications (LVM) in enger Zusammenarbeit mit einer Arbeitsgruppe des Finanzministeriums (VM) für Belange des öffentlichen Sektors.
Die Arbeitsgruppe von LVM und VM hat sich seit Frühjahr 2023 in mehreren Diskussionsrunden mit Interessensgruppen und Verbänden abgestimmt, auch im Hinblick auf eine Harmonisierung mit EU CER und DORA. Das finnische Transport- und Kommunikationsministerium mit seinem Cybersicherheitszentrum bleibt weiterhin Regulator.
Status
Derzeit liegt ein Gesetzesentwurf vor, der bis Ende November 2023 die Konsultationsphase durchlief. Eine Stakeholder-Veranstaltung fand zuletzt am 9. Oktober 2023 statt. Ziel ist es, das Gesetz im Winter/Frühjahr 2024 ins Parlament zu geben. Das Gesetz soll im Oktober 2024 in Kraft treten.
Besonderheiten
Im finnischen Gesetzesentwurf finden sich einige Details, die sich von der deutschen Umsetzung unterscheiden:
- Übergangsfrist Registrierung: Unternehmen müssen die notwendigen Informationen erst ab dem 1. Januar 2025 melden.
- Fehlende Nachweispflichten: Im Gesetzesentwurf finden sich grundsätzlich keine Nachweispflichten, die Einrichtungen zu erfüllen haben. Das Ministerium für Verkehr und Kommunikation ist gemäß § 30 lediglich dazu befugt, Betreiber zur Beauftragung eines Sicherheitsaudits zu verpflichten, wenn bestimmte Voraussetzungen erfüllt sind.
- Umfangreiche Gesetzesänderungen: Die finnische NIS2-Umsetzung ändert eine Reihe weiterer Gesetze.
Betroffen sind vor allem:
- Gesetz über das Informationsmanagement der öffentlichen Verwaltung (Laki julkisen hallinnon tiedonhallinnasta)
- Gesetz über elektronische Kommunikationsdienste (Laki sähköisen viestinnän palveluista)
- In Finnland besitzen viele Sektoren keine explizite Benennung. Dies gilt vor allem für die Annex II Sektoren, mit Ausnahme des Sektors Anbieter digitaler Dienste
Digitaalisen Palvelun Tarjoajat
. Außerdem fehlt im finnischen Gesetzesentwurf eine genaue Definition der Sektoren Bankwesen und Finanzmarktinfrastrukturen.
Literatur
- NIS2-Interessengruppenveranstaltung des LVM, Livestream-Aufzeichung des finnischen Verkehrs- und Kommunikationsministeriums, 09.10.2023
- Aufruf zur Stellungnahme des LVM mit weiterführenden Links, Webseite des finnischen Konsultationsdienstes Lausuntopalvelu, 01.11.2023
- Übersicht über den NIS2-Umsetzungsfortschritt, Webseite der finnischen Regierung, 29.11.2023
- Projektfortschritt der NIS2-Arbeitsgruppe, Webseite der finnischen Regierung, 09.10.2023
- NIS2-Gesetzesentwurf in finnischer Sprache, Webseite des finnischen Konsultationsdienstes, 01.11.2023
- NIS2-Gesetzesentwurf in schwedischer Sprache mit vollständiger Begründung, Webseite des finnischen Konsultationsdienstes, 01.11.2023
Frankreich
Die nationale Umsetzung erfolgt in Frankreich durch die Nationale Agentur für Sicherheit der Informationssysteme, Agence nationale de la sécurité des systemes d'information (ANSSI). Ein nationaler NIS-2-Gesetzesentwurf wurde bisher noch nicht veröffentlicht. Im Mai 2023 hat die ANSSI ein Webinar zu EU NIS 2 veranstaltet und pflegt derzeit ein ausführliches FAQ hinsichtlich Betroffenheit, Pflichten und weiteren Themen.
Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.
- Foliensatz der Agence nationale de la sécurité des systemes d'information (ANSSI) zur Vorstellung der der xNIS-2-Richtlinie, Webseite der ANSSI, 23.05.2023
- Überblick und FAQ, Webseite der ANSSI, o.D.
- Projektgruppe PortailNIS2, Webseite der französischen Regierung, o.D.
Italien
Die Federführung in Italien erfolgt durch die nationale Agentur für Cybersicherheit, Agenza per la cybersicurezza nazionale (ACN). Die italienische nationale Gesetzgebung befindet sich in der Erarbeitung. Die ACN gibt an, dass ein vereinfachtes Klassifizierungsverfahren genutzt werden soll, bei dem wesentliche und wichtige Einrichtungen je nach der Kritikalität ihrer IKT-Anlagen in drei Kategorien eingeteilt werden.
Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.
- Vorstellung des Umsetzungsvorhabens von NIS-2 in Italien, Webseite der ENISA, 21.01.2022
- Delegation an die italienische Regierung zur Umsetzung europäischer Richtlinien inklusive einer Analyse der Auswirkungen von NIS 2, 27. Juli 2023
Kroatien
Die nationale Umsetzung in Kroatien erfolgt durch das Cybersicherheitsgesetz Zokona o Kiberenetičkoj Sigurnosti. Der finale Entwurf wirkt sich auf bestehende Gesetze aus, die mit der Umsetzung von NIS geschaffen wurden: Beispielsweise wird das Gesetz zur Cybersicherheit von Betreibern von Schlüsseldiensten und Anbietern digitaler Dienste (Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, 64/2018) außer Kraft gesetzt.
Der Regulator in Kroatien wird der kroatische Nachrichtendienst SOA, Sigurnosno-obavještajna agencija, welcher das nationale Zentrum für Cybersicherheit beinhaltet.
Status
Auf nationaler Ebene organisiert das Büro des Nationalen Sicherheitsrates UVNS, Ured Vijeća za nacionalnu sigurnost, die Umsetzung der NIS-2-Richtlinie. Die Gesetzesentwürfe werden vom kroatischen Verteidigungsministerium veröffentlicht. Derzeit liegen drei Entwürfe vor, von denen der finale Entwurf im Dezember veröffentlicht wurde. Der weitere Zeitplan ist unbekannt. Die Übergangsfristen belaufen sich auf bis zu 9 Monate.
Besonderheiten
Die Besonderheiten des kroatischen Gesetzesentwurfes sind:
- Nachweiserbringung: Die Konformitätsprüfung für besonders wichtige Einrichtungen ist allein durch Audits möglich. Der Auditzyklus beträgt zwei Jahre, wobei auch kürzere Zyklen denkbar sind, wenn es die zuständige Behörde verlangt.
Wichtige Einrichtungen können eine Selbstbewertung durchführen. Die jeweils zuständige Behörde kann in Ausnahmenfällen aber auch ein Audit verlangen. - Meldepflichten: Wichtige und besonders wichtige Einrichtungen müssen erhebliche Vorfälle melden. Abweichend von der NIS2-Richtlinie fehlt in dem Entwurf die Vorgabe, erhebliche Sicherheitsvorfälle innerhalb von 24h bzw. 72h melden zu müssen. Die Meldeplattform wird von CARNET betrieben werden, dem kroatischen Netzwerk für Wissenschaft und Forschung.
- Flächendeckende Angriffserkennung: Die kroatische Nachrichtendienst SOA wird ein nationales System zur Erkennung von Cyberbedrohungen entwickeln, auf das wichtige und besonders wichtige Einrichtungen zugreifen können.
- Mehr Sektoren: In Kroatien wird es zukünftig den Sektor Bildungssystem geben:
Sustav Obrazovanja
. Anhang II des finalen Gesetzesentwurfes listet auf, dass darin private und öffentliche Einrichtungen des Bildungssystems erfasst sind. - Unterschiedliche CSIRTs: Grundsätzlich übernimmt das nationale Zentrum für Cybersecurity in den Sektoren die Rolle des zuständigen CSIRTs. Für die Sektoren Bankwesen, Finanzmarktinfrastrukturen, Digitale Infrastruktur, Forschung und Bildungssystem ist das nationale CSIRT direkt zuständig.
- Übergangsfristen: Kriterien für die Feststellung der Betroffenheit und für die Durchführung von Konformitätsbewertungen werden bis zum Juli 2025 von der kroatischen Regierung veröffentlicht (gemäß §24 und §113). Daraus ergibt sich für betroffene Einrichtungen eine Übergangsfrist von 9 Monaten bezüglich der Nachweis- und Registrierungspflichten.
Literatur
- Tagesordnung der 253. Regierungssitzung mit Link zum zweiten NIS2-Gesetzesentwurf, Webseite der kroatischen Regierung, 27.09.2023
- Finaler NIS2-Gesetzesentwurf, Webseite der kroatischen Regierung, 13.12.2023
- Tagesordnung der 271. Regierungssitzung mit Link zum finalen NIS2-Gesetzesentwurf, Webseite der kroatischen Regierung, 13.12.2023
- Konsultationsergebnisse zum ersten kroatischen NIS2-Gesetzesentwurf, Webseite des kroatischen Konsultationsdienstes, 16.08.2023
- Erster NIS2-Gesetzesentwurf, Webseite des kroatischen Konsultationsdienstes, 17.07.2023
Niederlande
Die nationale Umsetzung in der Niederlande erfolgt durch die Behörde für digitale Infrastruktur, Rijksinspectie Digitale Infrastructuur (RDI), vermutlich durch Überarbeitung des bestehenden Gesetzes zur Netz- und Informationssicherheit Wet beveiliging netwerk- en informatiesystemen (Wbni). Nach Angaben der Regierung soll im ersten Quartal 2024 eine Internetkonsultation stattfinden, die mögliche Verbesserungen zum Gesetzesentwurf anregt.
Außerdem können Unternehmen eine NIS2-Selbstbewertung durchführen, um Betroffenheit festzustellen.
Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.
- Zusammenfassung der wesentlichen NIS2-Inhalte, Webseite der niederländischen Regierung und Unternehmensagentur RVO, o.D.
- Pressemitteilung über die Einführung des NIS2-Evaluierungstools, Webseite der Security.NL-Redaktion, 18.10.2023
- NIS2-Überblick und FAQ, Webseite des niederländischen Cybersicherheitszentrums, o.D.
- NIS2-Selbstbewertung der Regierung
Österreich
Die nationale Umsetzung erfolgt durch das Netz- und Informationssystemsicherheitsgesetz, NISG. Österreich hat am 03. April 2024 einen Begutachtungsentwurf veröffentlicht. Die Begutachtungsfrist endet am 01. Mai 2024.
Das Bundesministerium für Inneres (BMI) wird als Cybersicherheitsbehörde der österreichische Regulator sein. Getrieben wird die Umsetzung sowohl durch das Bundeskanzleramt, als auch durch das BMI.
Weitere Informationen werden in Kürze nachgetragen.
- Begutachtungsentwurf zur Umsetzung der NIS-2-Richtlinie in Österreich, Webseite des österreichischen Rechtsinformationssystems, 03. April 2024
- Übersicht zum NISG-Referenentwurf mit FAQ, Webseite der Wirtschaftskammer Österreich, 10. April 2024
- EU-NIS2-Übersicht und FAQ, Webseite der Wirtschaftskammer Österreich, o.D.
- NIS2-Newsletteranmeldung des WKO, Webseite der Wirtschaftskammer Österreich, o.D.
- Österreichisches NIS2-Förderprogramm für KMU, Webseite der Österreichischen Forschungsförderungsgesellschaft, o.D.
Schweden
Die nationale Umsetzung erfolgt durch die Swedish Post and Telecom Authority (PTS). Im Februar 2024 hat die schwedische Regierung einen Ausschuss eingesetzt, um zu untersuchen, wie die EU NIS2-Richtlinie in schwedisches Recht überführt werden kann. Bis zum 23. Februar 2024 wird (soll) das Gremium seine Empfehlungen vorlegen.
Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.
- Regierungsmitteilung über den NIS2-Umsetungsfortschritt, Webseite der schwedischen Regierung, 03.11.2023
- Regierungsdokument über die NIS2-Ausschussdirektive , Webseite der schwedischen Regierung, 19.01.2024
Tschechien
Die nationale Umsetzung erfolgt in Tschechien durch das Cybersicherheitsgesetz Zákon o kybernetické bezpečnosti. Dazu gehören einige Dekrete im zweiten Teil des Gesetzes, die Anforderungen an Sicherheitsmaßnahmen für wichtige und besonders wichtige Einrichtungen im Detail beschreiben.
Die tschechische Verwaltung erwartet, dass die Anzahl der betroffenen Unternehmen von 400 auf 6.000 steigt.
Zusätzlich werden ca. 150 besonders wichtige Einrichtungen als strategisch wichtige Dienste
eingestuft.
Für sie gelten in einzelnen Bereichen erhöhte Sicherheitsanforderungen, vorrangig im Bereich der Lieferkettensicherheit und Dienste-Verfügbarkeit.
Die National Cyber and Information Security Agency (NÚKIB) bleibt der tschechische Regulator.
Status
Die Umsetzung wird auf nationaler Ebene durch die NÚKIB getrieben. Am 22. Dezember 2023 übergab die NÚKIB den Gesetzesentwurf für das tschechische Cybersicherheitsgesetz an den Legislativrat der Regierung. Zuvor wurden während der Konsultationsphase Juni bis Juli 2023 Anmerkungen zum ersten Gesetzesentwurf eingeholt.
Besonderheiten
Der tschechische Gesetzesentwurf besteht aus mehreren Dokumenten: Das Cybersicherheitsgesetz regelt Pflichten, die sowohl wichtige und besonders wichtige Einrichtungen betreffen, als auch staatliche Behörden. Neben dem Cybersicherheitsgesetz existieren Verordnungen, die die geforderten Sicherheitsmaßnahmen je Betroffenengruppe konkretisieren.
Es existiert jeweils eine Verordung für Betreiber regulierter Dienste, besonders wichtige Einrichtungen und wichtige Einrichtungen.
Die tschechischen Anforderungen für NIS2 sind sehr umfangreich und übersteigen die NIS2-Umsetzungen anderer EU-Mitgliedstaaten in ihrem Detailgrad deutlich. Der tschechische Gesetzesentwurf zeichnet sich durch weitere Besonderheiten aus:
- Fristen: Die Registrierung muss spätestens 90 Tage nach Betroffenheit erfolgen, in jedem Fall 30 Tage nach Identifizierung. Es gilt die Frist, die schneller erreicht wird.
- ISMS: Der Gesetzesentwurf fordert explizit den Einsatz eines ISMS mit entsprechender Dokumentation und Festlegung des Geltungsbereichs für Cyber-Sicherheitsmanagement.
- Auführliche Lieferkettensicherheit: Der finale Gesetzesentwurf widmet dem Thema viel Aufmerksamkeit in Teil 1, Abschnitt 5, der sich über 6 Paragraphen erstreckt.
- Übergangsfrist bei Meldepflichten: Betroffene müssen Vorfälle erst ab einem Jahr nach Eingang der Registrierungsbestätigung melden.
- Strategisch wichtige Dienste: Betreibt eine Einrichtung einen strategisch wichtigen Dienst, muss sie bestimmte Verfügbarkeitswerte garantieren. Diese sind in Anhang 9 des Cybersicherheitsgesetzes definiert.
- Meldepflichten: Für besonders wichtige Einrichtungen fehlt im finalen Gesetzesentwurf die Einschränkung, dass nur erhebliche Vorfälle zu melden sind.
- Sektoren: Tschechien führt zusätzlich den Sektor Militärindustrie ein:
Vojenský Průmysl
. Das Dekret über regulierte Dienstleistungen listet ihn im Anhang als 21. Sektor auf.
Außerdem fasst Tschechien mehrere Sektoren aus der NIS-2-Richtlinie zusammen:- Die Sektoren Trinkwasser und Abwasser sind im Sektor Wasserverwaltung
Vodní Hospodářství
zusammengefasst. - Die Sektoren Bankwesen und Finanzmarktinfrastrukturen fasst Tschechien zum Sektor Finanzmarkt
Finanční Trh
zusammen. - Der Sektor Digitale Infrastruktur und Dienste
Digitální Infrastruktura a Služby
umfasst die EU-Sektoren Digitale Infrastruktur und Verwaltung von IKT-Diensten.
- Die Sektoren Trinkwasser und Abwasser sind im Sektor Wasserverwaltung
Literatur
- Pressemitteilung zum NIS2-Entwurf, Webseite des NÚKIB, 18.06.2023
- Cybersicherheitsgesetz des tschechsichen Umsetzung, Webseite des NÚKIB, 22.12.2023
- Verordnung der tschechischen Umsetzung mit Definitionen zu kritischen Dienstleistungen und Schwellenwerten für Betroffenheit, Webseite des NÚKIB, 22.12.2023
- Verordnung der tschechischen Umsetzung für wichtige Einrichtungen, Webseite des NÚKIB, 22.12.2023
- Verordnung der tschechischen Umsetzung für besonders wichtige Einrichtungen, Webseite des NÚKIB, 22.12.2023
- Übersicht über die Inhalte der NIS2-Umsetzung mit praktischen Hinweisen für Betroffene, Webseite des NÚKIB, Datum der Veröffentlichung unbekannt
- Übersicht über den NIS2-Umsetzungsstand mit weiterführenden Links, Webseite des ODok-Informationsportals der tschechischen Regierung, 22.12.2023
- Pressemitteilung des tschechischen Amts für Cyber- und Informationssicherheit zur Veröffentlichung des finalen Gesetzesentwurfes, Webseite des NÚKIB, 22.12.2023
- Graphische Übersicht über die tschechischen NIS2-Sektoren, Webseite des NÚKIB, 19.01.2024
- Dekret über regulierte Dienstleistungen
Unterschiede
Sektoren
Die Annex I und II Sektoren unterscheiden sich zwischen den Ländern nur wenig. Es stechen vor allem zwei Länder heraus, die zusätzliche Sektoren einführen: Kroatien und Tschechien.
Sektoren | Unterschied | |
---|---|---|
Deutschland | IT und TK | Fasst Digitale Infrastruktur und Verwaltung von IKT-Diensten zusammen |
Öffentliche Verwaltung | Umfasst nur Teile der Bundesverwaltung (föderale Zentralregierung) | |
Teilsektor Gasversorgung | Fasst Gas und Wasserstoff zusammen | |
KRITIS-Sektoren | Zusätzliche Sektordefinitionen | |
Finnland | Annex II | Sektoren teils ohne Namen |
Bankwesen und Finanzmarktinfrastrukturen | Definition fehlt | |
Kroatien | BildungssystemSustav Obrazovanja |
Neuer Sektor |
Tschechien | MilitärindustrieVojenský Průmysl |
Neuer Sektor |
WasserverwaltungVodní Hospodářství |
Fasst Trinkwasser und Abwasser zusammen | |
FinanzmarktFinanční Trh |
Fasst Bankwesen und Finanzmarktinfrastrukturen zusammen | |
Digitale Infrastruktur und DiensteDigitální Infrastruktura a Služby |
Fasst Digitale Infrastruktur und Verwaltung von IKT-Diensten zusammen |
Pflichtenübersicht
Da es sich bei EU NIS 2 um eine Richtlinie handelt, enthalten die Umsetzungsentwürfe der EU-Mitgliedsstaaten ähnliche Inhalte. Die folgende Tabelle listet die wesentlichen Paragraphen der NIS-2-Pflichten je Land auf.
Betroffenheit | Maßnahmen | Meldung | Registrierung | Nachweise |
|
---|---|---|---|---|---|
Belgien | § 3 | § 30 | § 34 | §§ 13, 14 | §§ 39, 41 |
Deutschland | § 28 | § 30 | § 31 | §§ 32, 33 | § 34 |
Finnland | § 3 | § 9 | § 11 | §§ 43, 165 | - |
Kroatien | §§ 9, 10 | § 30 |
§ 37 | §§ 20, 23 | § 34 |
Tschechien | §§ 3, 4 Teil 1 | § 15 Teil 1, Teil 2 gesamt |
§§ 16, 17 Teil 1, § 3 |
§ 8 Teil 1 | § 17 Teil 2 für essential |
Weitere Informationen
Literatur
- NISD 2 Tracker, Bird & Bird LLP, 24.11.2023
- NIS 2 Directive Transposition, Cyber Risk GmbH, 24.11.2023