NIS2 in EU-Ländern

Belgien

Die nationale Umsetzung erfolgt in Belgien durch das (bisher sogenannte) NIS2 Gesetz. Das Gesetz ersetzt das bestehende NIS-1-Gesetz aus 2019 und das Gesetz zum Schutz kritischer Infrastrukturen aus dem Jahr 2011.

Status

Das Centre pour la Cybersécurité Belgique, kurz CCB, treibt die Ausarbeitung voran und wird in Belgien die zuständige nationale Cybersicherheitsbehörde.

Bis zum 21. Dezember 2023 befand sich der aktuelle Gesetzesentwurf in der Konsultation, die Textentwürfe wurden dem Staatsrat und der Datenschutzbehörde zur Beratung vorgelegt. Der weitere Zeitplan ist aktuell unbekannt.

Der aktuelle Gesetzesentwurf sieht Übergangsfristen vor: Betroffene Unternehmen haben nach Inkrafttreten 5 Monate Zeit, um sich beim CCB zu registrieren. Die Nachweiserbringung muss innerhalb von 18 Monaten nach Inkrafttreten erfolgen (wohl 2026).

Besonderheiten

Der belgische Gesetzesentwurf zeichnet sich durch die folgenden Besonderheiten aus:

• Schutz für Informationssysteme: Belgische Unternehmen müssen eine Risikoanalyse auf Basis eines All-Gefahren-Ansatzes durchführen, um Netzwerk- und Informationssysteme gezielt zu schützen. Die Ergebnisse müssen anschließend in einer Sicherheitsrichtlinie dokumentiert werden. Der Gesetzesentwurf spricht hier von der politique de sécurité des systèmes et réseaux d'information, kurz P.S.I.
• Koordinierte Offenlegung: Belgische Unternehmen müssen zukünftig eine Richtlinie erstellen, die sich mit der Offenlegung von Schwachstellen befasst.
• Nachweise: Für die Konformitätsbewertung haben besonders wichtige Einrichtungen mehrere Optionen. Sie können sich für eine Inspektion (Audit) durch das CCB entscheiden oder die Konformitätsbewertung durch eine Konformitätsbewertungsstelle durchführen lassen. Hierbei können Unternehmen sich mit einer ISO/IEC 27001-Zertifizierung oder auf Grundlage des Referenzrahmens des CCBs prüfen lassen.
• Wichtige Einrichtungen können die Konformitätsbewertung auf freiwilliger Basis durchführen. Hierbei handelt es sich um eine Selbstbewertung, die von einer Konformitäts­bewertungs­stelle überprüft wird.

Literatur

• Voräufiger Gesetzesentwurf des Centre for Cybersecurity Belgium zur Umsetzung der NIS-2-Richtlinie in Belgien, Webseite des CCB, Datum der Veröffentlichung unbekannt
• Zusammenfassung der wesentlichen Inhalte des Gesetzesentwurfs, Agoria, 24.11.2023

Deutschland

Die nationale Umsetzung erfolgt in Deutschland durch das NIS-2-Umsetzungs- und Cyber­sicherheits­stärkungsgesetz, NIS2UmsuCG. Das NIS2UmsuCG erweitert die bisherige deutsche KRITIS-Regulierung deutlich und wird das bestehende BSI-Gesetz umfangreich ändern.

Das Bundesamt für Sicherheit in der Informations­technik, BSI, bleibt der deutsche Regulator und erhält zusätzliche Befugnisse. Weitere Sektorregulierung durch andere Gesetze und Behörden bleibt bestehen (Telekommunikation, Energie, Finanzen). Durch EU RCE wird die Behörde BBK mit dem KRITIS-Dachgesetz auch Teil der Regulierung.

English article with details on German NIS2 Implementation available.

Status

Die Umsetzung wird auf Bundesebene durch das Bundes­innen­ministerium, BMI, getrieben. Zurzeit liegen drei Entwürfe des Gesetzes vor, der letzte ein Diskussions­papier zur Kommentierung durch Verbände (Werkstatt­gespräch). Ein vierter Entwurf wird im Winter 2023-24 erwartet, der die groben Züge des Diskussionspapiers beibehält.

Das NIS2-Umsetzungsgesetz soll im April 2024 verkündet werden und dann im Oktober 2024 in Kraft treten. Es sind keine Übergangsfristen bekannt.

Besonderheiten

Die deutsche Regulierung wird über das EU-Mindestniveau von NIS2 hinausgehen:

• Die deutsche KRITIS-Methodik mit Anlagen und Schwellenwerten bleibt als dritte Unternehmens­gruppe Betreiber kritischer Anlagen bestehen.
• Die NIS2 essential und important entities heißen auf deutsch besonders wichtige und wichtige Einrichtungen.
• Die Schwelle für Unternehmen liegt tiefer, da die Kriterien der Unternehmensgröße in Mitarbeitern und Umsatz einzeln zählen – es sind auch Unternehmen <50 Mitarbeitern potenziell betroffen (wenn der Umsatz ≥10 Mio. EUR ist).
• Die NIS2-Sektoren der Annexe I und II sind in Deutschland leicht unterschiedlich gefasst – ICT Service Management und Digital Infrastructure gehören in Deutschland zu IT/TK.
• Neben den NIS2-Sektoren gibt es weiter die bisherigen KRITIS-Sektoren, die leicht von NIS2 abweichen.
• Eine weitere Besonderheit betrifft den Sektor öffentliche Verwaltung in Deutschland. Im Diskussionspapier von September 2023 fehlt die genaue Auflistung der betroffenen Einrichtungen und Teilsektoren der öffentlichen Verwaltung. Nach Angaben des Dis­kus­si­ons­papiers sollen die Einzelheiten in Anhang 3 folgen, der noch nicht veröffentlicht wurde.
• Deutschland fasst mehrere Sektoren zusammen: Aus den EU-Sektoren Gas und Wasserstoff wird der Sektor Gasversorgung. Der Sektor IT und TK wird die EU-Sektoren Digitale Infrastruktur und Verwaltung von IKT-Diensten umfassen.

Literatur

• Diskussionspapier des Bundesministeriums des Innern und für Heimat zur Umsetzung der NIS-2-Richtlinie in Deutschland, Webseite des BMI, 29.09.2023
• Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
• Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023

Finnland

Die nationale Umsetzung erfolgt in Finnland durch das Gesetz zum Cyber-Sicherheits­risiko­management, Laki kyberturvallisuuden riskienhallinnasta. Zuständig ist das finnische Ministry of Transport and Communications (LVM) in enger Zusammenarbeit mit einer Arbeitsgruppe des Finanzministeriums (VM) für Belange des öffentlichen Sektors.

Die Arbeitsgruppe von LVM und VM hat sich seit Frühjahr 2023 in mehreren Diskussionsrunden mit Interessensgruppen und Verbänden abgestimmt, auch im Hinblick auf eine Harmonisierung mit EU CER und DORA. Das finnische Transport- und Kommunikations­ministerium mit seinem Cyber­sicherheits­zentrum bleibt weiterhin Regulator.

Status

Derzeit liegt ein Gesetzesentwurf vor, der bis Ende November 2023 die Konsultationsphase durchlief. Eine Stakeholder-Veranstaltung fand zuletzt am 9. Oktober 2023 statt. Ziel ist es, das Gesetz im Winter/Frühjahr 2024 ins Parlament zu geben. Das Gesetz soll im Oktober 2024 in Kraft treten.

Besonderheiten

Im finnischen Gesetzesentwurf finden sich einige Details, die sich von der deutschen Umsetzung unterscheiden:

• Übergangsfrist Registrierung: Unternehmen müssen die notwendigen Informationen erst ab dem 1. Januar 2025 melden.
• Fehlende Nachweispflichten: Im Gesetzesentwurf finden sich grundsätzlich keine Nachweispflichten, die Einrichtungen zu erfüllen haben. Das Ministerium für Verkehr und Kommunikation ist gemäß § 30 lediglich dazu befugt, Betreiber zur Beauftragung eines Sicherheitsaudits zu verpflichten, wenn bestimmte Voraussetzungen erfüllt sind.
• Umfangreiche Gesetzesänderungen: Die finnische NIS2-Umsetzung ändert eine Reihe weiterer Gesetze. Betroffen sind vor allem:
  • Gesetz über das Informationsmanagement der öffentlichen Verwaltung (Laki julkisen hallinnon tiedonhallinnasta)
  • Gesetz über elektronische Kommunikationsdienste (Laki sähköisen viestinnän palveluista)
  Teilweise werden sektorspezifische Regelungen, die zur Umsetzung der NIS-Richtlinie in Sondergesetze integriert wurden, wieder aufgehoben. Dazu zählen beispielsweise einige Paragraphen im Luftfahrtgesetz (ilmailulain), Eisenbahnverkehrsgesetz (raideliikennelain) und Schiffsverkehrsdienstegesetz (alusliikennepalvelulain).
• In Finnland besitzen viele Sektoren keine explizite Benennung. Dies gilt vor allem für die Annex II Sektoren, mit Ausnahme des Sektors Anbieter digitaler Dienste Digitaalisen Palvelun Tarjoajat. Außerdem fehlt im finnischen Gesetzesentwurf eine genaue Definition der Sektoren Bankwesen und Finanzmarkt­infrastrukturen.

Literatur

• NIS2-Interessengruppenveranstaltung des LVM, Livestream-Aufzeichung des finnischen Verkehrs- und Kommunikationsministeriums, 09.10.2023
• Aufruf zur Stellungnahme des LVM mit weiterführenden Links, Webseite des finnischen Konsultationsdienstes Lausuntopalvelu, 01.11.2023
• Übersicht über den NIS2-Umsetzungsfortschritt, Webseite der finnischen Regierung, 29.11.2023
• Projektfortschritt der NIS2-Arbeitsgruppe, Webseite der finnischen Regierung, 09.10.2023
• NIS2-Gesetzesentwurf in finnischer Sprache, Webseite des finnischen Konsultationsdienstes, 01.11.2023
• NIS2-Gesetzesentwurf in schwedischer Sprache mit vollständiger Begründung, Webseite des finnischen Konsultationsdienstes, 01.11.2023

Frankreich

Die nationale Umsetzung erfolgt in Frankreich durch die Nationale Agentur für Sicherheit der Informationssysteme, Agence nationale de la sécurité des systemes d'information (ANSSI). Ein nationaler NIS-2-Gesetzesentwurf wurde bisher noch nicht veröffentlicht. Im Mai 2023 hat die ANSSI ein Webinar zu EU NIS 2 veranstaltet und pflegt derzeit ein ausführliches FAQ hinsichtlich Betroffenheit, Pflichten und weiteren Themen.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

• Foliensatz der Agence nationale de la sécurité des systemes d'information (ANSSI) zur Vorstellung der der xNIS-2-Richtlinie, Webseite der ANSSI, 23.05.2023
• Überblick und FAQ, Webseite der ANSSI, o.D.
• Projektgruppe PortailNIS2, Webseite der französischen Regierung, o.D.

Italien

Die Federführung in Italien erfolgt durch die nationale Agentur für Cybersicherheit, Agenza per la cybersicurezza nazionale (ACN). Die italienische nationale Gesetzgebung befindet sich in der Erarbeitung. Die ACN gibt an, dass ein vereinfachtes Klassifizierungs­verfahren genutzt werden soll, bei dem wesentliche und wichtige Einrichtungen je nach der Kritikalität ihrer IKT-Anlagen in drei Kategorien eingeteilt werden.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

• Vorstellung des Umsetzungsvorhabens von NIS-2 in Italien, Webseite der ENISA, 21.01.2022
• Delegation an die italienische Regierung zur Umsetzung europäischer Richtlinien inklusive einer Analyse der Auswirkungen von NIS 2, 27. Juli 2023

Kroatien

Die nationale Umsetzung in Kroatien erfolgt durch das Cybersicherheits­gesetz Zokona o Kiberenetičkoj Sigurnosti. Der finale Entwurf wirkt sich auf bestehende Gesetze aus, die mit der Umsetzung von NIS geschaffen wurden: Beispielsweise wird das Gesetz zur Cybersicherheit von Betreibern von Schlüsseldiensten und Anbietern digitaler Dienste (Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, 64/2018) außer Kraft gesetzt.

Der Regulator in Kroatien wird der kroatische Nachrichtendienst SOA, Sigurnosno-obavještajna agencija, welcher das nationale Zentrum für Cybersicherheit beinhaltet.

Status

Auf nationaler Ebene organisiert das Büro des Nationalen Sicherheitsrates UVNS, Ured Vijeća za nacionalnu sigurnost, die Umsetzung der NIS-2-Richtlinie. Die Gesetzesentwürfe werden vom kroatischen Verteidigungsministerium veröffentlicht. Derzeit liegen drei Entwürfe vor, von denen der finale Entwurf im Dezember veröffentlicht wurde. Der weitere Zeitplan ist unbekannt. Die Übergangsfristen belaufen sich auf bis zu 9 Monate.

Besonderheiten

Die Besonderheiten des kroatischen Gesetzesentwurfes sind:

• Nachweiserbringung: Die Konformitätsprüfung für besonders wichtige Einrichtungen ist allein durch Audits möglich. Der Auditzyklus beträgt zwei Jahre, wobei auch kürzere Zyklen denkbar sind, wenn es die zuständige Behörde verlangt.
  Wichtige Einrichtungen können eine Selbstbewertung durchführen. Die jeweils zuständige Behörde kann in Ausnahmenfällen aber auch ein Audit verlangen.
• Meldepflichten: Wichtige und besonders wichtige Einrichtungen müssen erhebliche Vorfälle melden. Abweichend von der NIS2-Richtlinie fehlt in dem Entwurf die Vorgabe, erhebliche Sicherheitsvorfälle innerhalb von 24h bzw. 72h melden zu müssen. Die Meldeplattform wird von CARNET betrieben werden, dem kroatischen Netzwerk für Wissenschaft und Forschung.
• Flächendeckende Angriffserkennung: Die kroatische Nachrichtendienst SOA wird ein nationales System zur Erkennung von Cyberbedrohungen entwickeln, auf das wichtige und besonders wichtige Einrichtungen zugreifen können.
• Mehr Sektoren: In Kroatien wird es zukünftig den Sektor Bildungssystem geben: Sustav Obrazovanja. Anhang II des finalen Gesetzesentwurfes listet auf, dass darin private und öffentliche Ein­rich­tungen des Bildungssystems erfasst sind.
• Unterschiedliche CSIRTs: Grundsätzlich übernimmt das nationale Zentrum für Cyber­security in den Sektoren die Rolle des zuständigen CSIRTs. Für die Sektoren Bankwesen, Finanz­marktinfras­trukturen, Digitale Infrastruktur, Forschung und Bildungssystem ist das nationale CSIRT direkt zuständig.
• Übergangsfristen: Kriterien für die Feststellung der Betroffenheit und für die Durchführung von Konformitätsbewertungen werden bis zum Juli 2025 von der kroatischen Regierung veröffentlicht (gemäß §24 und §113). Daraus ergibt sich für betroffene Einrichtungen eine Übergangsfrist von 9 Monaten bezüglich der Nachweis- und Registrierungspflichten.

Literatur

• Tagesordnung der 253. Regierungssitzung mit Link zum zweiten NIS2-Gesetzesentwurf, Webseite der kroatischen Regierung, 27.09.2023
• Finaler NIS2-Gesetzesentwurf, Webseite der kroatischen Regierung, 13.12.2023
• Tagesordnung der 271. Regierungssitzung mit Link zum finalen NIS2-Gesetzesentwurf, Webseite der kroatischen Regierung, 13.12.2023
• Konsultationsergebnisse zum ersten kroatischen NIS2-Gesetzesentwurf, Webseite des kroatischen Konsultationsdienstes, 16.08.2023
• Erster NIS2-Gesetzesentwurf, Webseite des kroatischen Konsultationsdienstes, 17.07.2023

Niederlande

Die nationale Umsetzung in der Niederlande erfolgt durch die Behörde für digitale Infrastruktur, Rijksinspectie Digitale Infrastructuur (RDI), vermutlich durch Überarbeitung des bestehenden Gesetzes zur Netz- und Informations­sicherheit Wet beveiliging netwerk- en informatiesystemen (Wbni). Nach Angaben der Regierung soll im ersten Quartal 2024 eine Internet­konsultation stattfinden, die mögliche Verbesserungen zum Gesetzes­entwurf anregt.

Außerdem können Unternehmen eine NIS2-Selbstbewertung durchführen, um Betroffenheit festzustellen.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

• Zusammenfassung der wesentlichen NIS2-Inhalte, Webseite der niederländischen Regierung und Unternehmens­agentur RVO, o.D.
• Pressemitteilung über die Einführung des NIS2-Evaluierungstools, Webseite der Security.NL-Redaktion, 18.10.2023
• NIS2-Überblick und FAQ, Webseite des niederländischen Cybersicherheits­zentrums, o.D.
• NIS2-Selbstbewertung der Regierung

Österreich

Die nationale Umsetzung erfolgt durch das Netz- und Informationssystemsicherheitsgesetz, NISG. Österreich hat am 03. April 2024 einen Begutachtungsentwurf veröffentlicht. Die Begutachtungsfrist endet am 01. Mai 2024.

Das Bundesministerium für Inneres (BMI) wird als Cybersicherheitsbehörde der österreichische Regulator sein. Getrieben wird die Umsetzung sowohl durch das Bundeskanzleramt, als auch durch das BMI.

Weitere Informationen werden in Kürze nachgetragen.

• Begutachtungsentwurf zur Umsetzung der NIS-2-Richtlinie in Österreich, Webseite des österreichischen Rechtsinformationssystems, 03. April 2024
• Übersicht zum NISG-Referenentwurf mit FAQ, Webseite der Wirtschaftskammer Österreich, 10. April 2024
• EU-NIS2-Übersicht und FAQ, Webseite der Wirtschaftskammer Österreich, o.D.
• NIS2-Newsletteranmeldung des WKO, Webseite der Wirtschaftskammer Österreich, o.D.
• Österreichisches NIS2-Förderprogramm für KMU, Webseite der Österreichischen Forschungsförderungsgesellschaft, o.D.

Schweden

Die nationale Umsetzung erfolgt durch die Swedish Post and Telecom Authority (PTS). Im Februar 2024 hat die schwedische Regierung einen Ausschuss eingesetzt, um zu untersuchen, wie die EU NIS2-Richtlinie in schwedisches Recht überführt werden kann. Bis zum 23. Februar 2024 wird (soll) das Gremium seine Empfehlungen vorlegen.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

• Regierungsmitteilung über den NIS2-Umsetungsfortschritt, Webseite der schwedischen Regierung, 03.11.2023
• Regierungsdokument über die NIS2-Ausschussdirektive , Webseite der schwedischen Regierung, 19.01.2024

Tschechien

Die nationale Umsetzung erfolgt in Tschechien durch das Cybersicherheits­gesetz Zákon o kybernetické bezpečnosti. Dazu gehören einige Dekrete im zweiten Teil des Gesetzes, die Anforderungen an Sicherheits­maßnahmen für wichtige und besonders wichtige Einrichtungen im Detail beschreiben.

Die tschechische Verwaltung erwartet, dass die Anzahl der betroffenen Unternehmen von 400 auf 6.000 steigt. Zusätzlich werden ca. 150 besonders wichtige Einrichtungen als strategisch wichtige Dienste eingestuft. Für sie gelten in einzelnen Bereichen erhöhte Sicherheits­anforderungen, vorrangig im Bereich der Lieferkettensicherheit und Dienste-Verfügbarkeit.

Die National Cyber and Information Security Agency (NÚKIB) bleibt der tschechische Regulator.

Status

Die Umsetzung wird auf nationaler Ebene durch die NÚKIB getrieben. Am 22. Dezember 2023 übergab die NÚKIB den Gesetzesentwurf für das tschechische Cybersicherheitsgesetz an den Legislativrat der Regierung. Zuvor wurden während der Konsultationsphase Juni bis Juli 2023 Anmerkungen zum ersten Gesetzesentwurf eingeholt.

Besonderheiten

Der tschechische Gesetzesentwurf besteht aus mehreren Dokumenten: Das Cybersicherheits­gesetz regelt Pflichten, die sowohl wichtige und besonders wichtige Einrichtungen betreffen, als auch staatliche Behörden. Neben dem Cybersicherheits­gesetz existieren Verordnungen, die die geforderten Sicherheitsmaßnahmen je Betroffenengruppe konkretisieren.

Es existiert jeweils eine Verordung für Betreiber regulierter Dienste, besonders wichtige Einrichtungen und wichtige Einrichtungen.

Die tschechischen Anforderungen für NIS2 sind sehr umfangreich und übersteigen die NIS2-Umsetzungen anderer EU-Mitgliedstaaten in ihrem Detailgrad deutlich. Der tschechische Gesetzesentwurf zeichnet sich durch weitere Besonderheiten aus:

• Fristen: Die Registrierung muss spätestens 90 Tage nach Betroffenheit erfolgen, in jedem Fall 30 Tage nach Identifizierung. Es gilt die Frist, die schneller erreicht wird.
• ISMS: Der Gesetzesentwurf fordert explizit den Einsatz eines ISMS mit entsprechender Dokumentation und Festlegung des Geltungsbereichs für Cyber-Sicherheits­manage­ment.
• Auführliche Lieferkettensicherheit: Der finale Gesetzesentwurf widmet dem Thema viel Aufmerksamkeit in Teil 1, Abschnitt 5, der sich über 6 Paragraphen erstreckt.
• Übergangsfrist bei Meldepflichten: Betroffene müssen Vorfälle erst ab einem Jahr nach Eingang der Registrierungsbestätigung melden.
• Strategisch wichtige Dienste: Betreibt eine Einrichtung einen strategisch wichtigen Dienst, muss sie bestimmte Verfügbarkeitswerte garantieren. Diese sind in Anhang 9 des Cyber­sicherheits­gesetzes definiert.
• Meldepflichten: Für besonders wichtige Einrichtungen fehlt im finalen Gesetzesentwurf die Einschränkung, dass nur erhebliche Vorfälle zu melden sind.
• Sektoren: Tschechien führt zusätzlich den Sektor Militärindustrie ein: Vojenský Průmysl. Das Dekret über regulierte Dienstleistungen listet ihn im Anhang als 21. Sektor auf.
  Außerdem fasst Tschechien mehrere Sektoren aus der NIS-2-Richtlinie zusammen:
  • Die Sektoren Trinkwasser und Abwasser sind im Sektor Wasserverwaltung Vodní Hospodářství zusammengefasst.
  • Die Sektoren Bankwesen und Finanzmarktinfrastrukturen fasst Tschechien zum Sektor Finanzmarkt Finanční Trh zusammen.
  • Der Sektor Digitale Infrastruktur und Dienste Digitální Infrastruktura a Služby umfasst die EU-Sektoren Digitale Infrastruktur und Verwaltung von IKT-Diensten.

Literatur

• Pressemitteilung zum NIS2-Entwurf, Webseite des NÚKIB, 18.06.2023
• Cybersicherheitsgesetz des tschechsichen Umsetzung, Webseite des NÚKIB, 22.12.2023
• Verordnung der tschechischen Umsetzung mit Definitionen zu kritischen Dienstleistungen und Schwellenwerten für Betroffenheit, Webseite des NÚKIB, 22.12.2023
• Verordnung der tschechischen Umsetzung für wichtige Einrichtungen, Webseite des NÚKIB, 22.12.2023
• Verordnung der tschechischen Umsetzung für besonders wichtige Einrichtungen, Webseite des NÚKIB, 22.12.2023
• Übersicht über die Inhalte der NIS2-Umsetzung mit praktischen Hinweisen für Betroffene, Webseite des NÚKIB, Datum der Veröffentlichung unbekannt
• Übersicht über den NIS2-Umsetzungsstand mit weiterführenden Links, Webseite des ODok-Informationsportals der tschechischen Regierung, 22.12.2023
• Pressemitteilung des tschechischen Amts für Cyber- und Informationssicherheit zur Veröffentlichung des finalen Gesetzesentwurfes, Webseite des NÚKIB, 22.12.2023
• Graphische Übersicht über die tschechischen NIS2-Sektoren, Webseite des NÚKIB, 19.01.2024
• Dekret über regulierte Dienstleistungen

Unterschiede

Sektoren

Die Annex I und II Sektoren unterscheiden sich zwischen den Ländern nur wenig. Es stechen vor allem zwei Länder heraus, die zusätzliche Sektoren einführen: Kroatien und Tschechien.

Pflichtenübersicht

Da es sich bei EU NIS 2 um eine Richtlinie handelt, enthalten die Umsetzungsentwürfe der EU-Mitgliedsstaaten ähnliche Inhalte. Die folgende Tabelle listet die wesentlichen Paragraphen der NIS-2-Pflichten je Land auf.

Literatur

1. NISD 2 Tracker, Bird & Bird LLP, 24.11.2023
2. NIS 2 Directive Transposition, Cyber Risk GmbH, 24.11.2023