NIS2 in EU-Ländern

Die EU NIS2-Richtlinie muss von den EU-Mitglieds­staaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Der Umsetzungsstand der NIS2-Gesetze in der EU variiert jedoch stark. Einige Länder haben bereits Entwürfe verfasst und befinden sich im öffentlichen Diskurs:

Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

Die Informationslage (Januar 2024) ist eher uneinheitlich — bei vielen Ländern haben wir keine oder nur sehr wenige öffentlichen Informationen gefunden. Hier waren noch keine Fortschritte erkennbar: Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn und Zypern.

Nationale Umsetzung in EU-Staaten

Umsetzungsstatus von EU NIS2 in Mitgliedsstaaten, Stand Januar 2024
Informationen zu vielen (weiteren) Ländern fehlen noch
Land Umsetzung Status Besonderheiten
Belgien Das Centre for Cybersecurity of Belgium (CCB) hat einen Gesetzesentwurf veröffentlicht, der sich bis Dezember 2023 in der Konsultation befand. 1 Entwurf,
Konsultations­phase abgeschlossen
Unterschiedliche Wege zur Nachweiserbringung, Nachweisfrist 18 Monate nach Inkrafttreten
Deutschland Das Innenministerium arbeitet am neuen Umsetzungsgesetz NIS2UmsuCG, es erweitert das bestehende BSI-Gesetz (KRITIS) deutlich. Regulierungsbehörde wird das Bundesamt für Sicherheit in der Informations­technik. 3 Entwürfe, Diskussionstermine mit Wirtschaft & Verbänden sind erfolgt Mehr Sektoren, KRITIS als zusätzliche Gruppe, teilweise Audits, keine Übergangs­fristen
Finnland Das Ministry of Transport and Communications (LVM) hat einen Gesetzesentwurf veröffentlicht. Die Konsultationsphase endete Ende November 2023. 1 Entwurf, Konsultations­phase abge­schlossen Keine Nachweisfristen, Registrierungspflicht ab Januar 2025
Frankreich Die nationale Umsetzung erfolgt durch die Agence nationale de la sécurité des systemes d'information (ANSSI). Kein Entwurf bekannt,
FAQ mit Antworten zu Betroffenheit, Pflichten und weiteren Themen
Italien Die Gesetzgebung erfolgt durch die Agenza per la cybersicurezza nazionale (ACN). Kein Entwurf, Zeitplan unbekannt
Kroatien Die nationale Umsetzung wird durch das Office of the National Security Counsil vorangetrieben. Finaler Entwurf veröffentlicht, Konsultationsphase abgeschlossen Viele Pflichten auch für wichtige Einrichtungen in abgemilderter Form, keine Meldepflicht für 24/72h, bis zu 9 Monate Übergangsfristen
Niederlande Die nationale Umsetzung erfolgt durch die Rijksinspectie Digitale Infrastructuur (RDI), vermutlich durch Überarbeitung des bestehenden Gesetzes zur Netz- und Informationssicherheit. Erster Entwurf in Erarbeitung, Konsultationsphase voraussichtlich in Q1/2024, Evaluierungstool verfügbar
Österreich Die nationale Umsetzung erfolgt durch das Bundeskanzleramt. Kein Entwurf, Zeitplan unbekannt Umfangreiche FAQ-Seiten, Förderprogramm für KMUs mit Ausschreibung bis Mitte April 2024
Schweden Die nationale Umsetzung erfolgt durch die Swedish Post and Telecom Authority (PTS). Entwurf im Februar 2024 erwartet
Tschechien Die nationale Umsetzung erfolgt durch die Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), das Nationale Amt für Cyber- und Informationssicherheit. Finaler Entwurf veröffentlicht, Konsultationsphase abgeschlossen Gesetz in zwei Teilen, viele konkrete Anforderungen an Risiko­manage­ment­maß­nahmen, Einrichtungen + strategisch wichtige Dienste

Belgien

Die nationale Umsetzung erfolgt in Belgien durch das (bisher sogenannte) NIS2 Gesetz. Das Gesetz ersetzt das bestehende NIS-1-Gesetz aus 2019 und das Gesetz zum Schutz kritischer Infrastrukturen aus dem Jahr 2011.

Status

Das Centre pour la Cybersécurité Belgique, kurz CCB, treibt die Ausarbeitung voran und wird in Belgien die zuständige nationale Cybersicherheitsbehörde.

Bis zum 21. Dezember 2023 befand sich der aktuelle Gesetzesentwurf in der Konsultation, die Textentwürfe wurden dem Staatsrat und der Datenschutzbehörde zur Beratung vorgelegt. Der weitere Zeitplan ist aktuell unbekannt.

Der aktuelle Gesetzesentwurf sieht Übergangsfristen vor: Betroffene Unternehmen haben nach Inkrafttreten 5 Monate Zeit, um sich beim CCB zu registrieren. Die Nachweiserbringung muss innerhalb von 18 Monaten nach Inkrafttreten erfolgen (wohl 2026).

Besonderheiten

Der belgische Gesetzesentwurf zeichnet sich durch die folgenden Besonderheiten aus:

Literatur

up

Deutschland

Die nationale Umsetzung erfolgt in Deutschland durch das NIS-2-Umsetzungs- und Cyber­sicherheits­stärkungsgesetz, NIS2UmsuCG. Das NIS2UmsuCG erweitert die bisherige deutsche KRITIS-Regulierung deutlich und wird das bestehende BSI-Gesetz umfangreich ändern.

Das Bundesamt für Sicherheit in der Informations­technik, BSI, bleibt der deutsche Regulator und erhält zusätzliche Befugnisse. Weitere Sektorregulierung durch andere Gesetze und Behörden bleibt bestehen (Telekommunikation, Energie, Finanzen). Durch EU RCE wird die Behörde BBK mit dem KRITIS-Dachgesetz auch Teil der Regulierung.

Status

Die Umsetzung wird auf Bundesebene durch das Bundes­innen­ministerium, BMI, getrieben. Zurzeit liegen drei Entwürfe des Gesetzes vor, der letzte ein Diskussions­papier zur Kommentierung durch Verbände (Werkstatt­gespräch). Ein vierter Entwurf wird im Winter 2023-24 erwartet, der die groben Züge des Diskussionspapiers beibehält.

Das NIS2-Umsetzungsgesetz soll im April 2024 verkündet werden und dann im Oktober 2024 in Kraft treten. Es sind keine Übergangsfristen bekannt.

Besonderheiten

Die deutsche Regulierung wird über das EU-Mindestniveau von NIS2 hinausgehen:

Literatur

up

Finnland

Die nationale Umsetzung erfolgt in Finnland durch das Gesetz zum Cyber-Sicherheits­risiko­management, Laki kyberturvallisuuden riskienhallinnasta. Zuständig ist das finnische Ministry of Transport and Communications (LVM) in enger Zusammenarbeit mit einer Arbeitsgruppe des Finanzministeriums (VM) für Belange des öffentlichen Sektors.

Die Arbeitsgruppe von LVM und VM hat sich seit Frühjahr 2023 in mehreren Diskussionsrunden mit Interessensgruppen und Verbänden abgestimmt, auch im Hinblick auf eine Harmonisierung mit EU CER und DORA. Das finnische Transport- und Kommunikations­ministerium mit seinem Cyber­sicherheits­zentrum bleibt weiterhin Regulator.

Status

Derzeit liegt ein Gesetzesentwurf vor, der bis Ende November 2023 die Konsultationsphase durchlief. Eine Stakeholder-Veranstaltung fand zuletzt am 9. Oktober 2023 statt. Ziel ist es, das Gesetz im Winter/Frühjahr 2024 ins Parlament zu geben. Das Gesetz soll im Oktober 2024 in Kraft treten.

Besonderheiten

Im finnischen Gesetzesentwurf finden sich einige Details, die sich von der deutschen Umsetzung unterscheiden:

Literatur

up

Frankreich

Die nationale Umsetzung erfolgt in Frankreich durch die Nationale Agentur für Sicherheit der Informationssysteme, Agence nationale de la sécurité des systemes d'information (ANSSI). Ein nationaler NIS-2-Gesetzesentwurf wurde bisher noch nicht veröffentlicht. Im Mai 2023 hat die ANSSI ein Webinar zu EU NIS 2 veranstaltet und pflegt derzeit ein ausführliches FAQ hinsichtlich Betroffenheit, Pflichten und weiteren Themen.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

up

Italien

Die Federführung in Italien erfolgt durch die nationale Agentur für Cybersicherheit, Agenza per la cybersicurezza nazionale (ACN). Die italienische nationale Gesetzgebung befindet sich in der Erarbeitung. Die ACN gibt an, dass ein vereinfachtes Klassifizierungs­verfahren genutzt werden soll, bei dem wesentliche und wichtige Einrichtungen je nach der Kritikalität ihrer IKT-Anlagen in drei Kategorien eingeteilt werden.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

up

Kroatien

Die nationale Umsetzung in Kroatien erfolgt durch das Cybersicherheits­gesetz Zokona o Kiberenetičkoj Sigurnosti. Der finale Entwurf wirkt sich auf bestehende Gesetze aus, die mit der Umsetzung von NIS geschaffen wurden: Beispielsweise wird das Gesetz zur Cybersicherheit von Betreibern von Schlüsseldiensten und Anbietern digitaler Dienste (Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, 64/2018) außer Kraft gesetzt.

Der Regulator in Kroatien wird der kroatische Nachrichtendienst SOA, Sigurnosno-obavještajna agencija, welcher das nationale Zentrum für Cybersicherheit beinhaltet.

Status

Auf nationaler Ebene organisiert das Büro des Nationalen Sicherheitsrates UVNS, Ured Vijeća za nacionalnu sigurnost, die Umsetzung der NIS-2-Richtlinie. Die Gesetzesentwürfe werden vom kroatischen Verteidigungsministerium veröffentlicht. Derzeit liegen drei Entwürfe vor, von denen der finale Entwurf im Dezember veröffentlicht wurde. Der weitere Zeitplan ist unbekannt. Die Übergangsfristen belaufen sich auf bis zu 9 Monate.

Besonderheiten

Die Besonderheiten des kroatischen Gesetzesentwurfes sind:

Literatur

up

Niederlande

Die nationale Umsetzung in der Niederlande erfolgt durch die Behörde für digitale Infrastruktur, Rijksinspectie Digitale Infrastructuur (RDI), vermutlich durch Überarbeitung des bestehenden Gesetzes zur Netz- und Informations­sicherheit Wet beveiliging netwerk- en informatiesystemen (Wbni). Nach Angaben der Regierung soll im ersten Quartal 2024 eine Internet­konsultation stattfinden, die mögliche Verbesserungen zum Gesetzes­entwurf anregt.

Außerdem können Unternehmen eine NIS2-Selbstbewertung durchführen, um Betroffenheit festzustellen.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

up

Österreich

Die nationale Umsetzung erfolgt durch das Bundeskanzleramt. Österreich arbeitet an einem Gesetzesentwurf, hat aber noch keine Details zur nationalen Gesetzgebung veröffentlicht. Es wird sicherlich eine Erweiterung des Netz- und Informations­systemsicherheits­gesetz, NISG.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

up

Schweden

Die nationale Umsetzung erfolgt durch die Swedish Post and Telecom Authority (PTS). Im Februar 2024 hat die schwedische Regierung einen Ausschuss eingesetzt, um zu untersuchen, wie die EU NIS2-Richtlinie in schwedisches Recht überführt werden kann. Bis zum 23. Februar 2024 wird (soll) das Gremium seine Empfehlungen vorlegen.

Weitere Informationen werden nachgetragen, sobald sich Neuerungen ergeben.

up

Tschechien

Die nationale Umsetzung erfolgt in Tschechien durch das Cybersicherheits­gesetz Zákon o kybernetické bezpečnosti. Dazu gehören einige Dekrete im zweiten Teil des Gesetzes, die Anforderungen an Sicherheits­maßnahmen für wichtige und besonders wichtige Einrichtungen im Detail beschreiben.

Die tschechische Verwaltung erwartet, dass die Anzahl der betroffenen Unternehmen von 400 auf 6.000 steigt. Zusätzlich werden ca. 150 besonders wichtige Einrichtungen als strategisch wichtige Dienste eingestuft. Für sie gelten in einzelnen Bereichen erhöhte Sicherheits­anforderungen, vorrangig im Bereich der Lieferkettensicherheit und Dienste-Verfügbarkeit.

Die National Cyber and Information Security Agency (NÚKIB) bleibt der tschechische Regulator.

Status

Die Umsetzung wird auf nationaler Ebene durch die NÚKIB getrieben. Am 22. Dezember 2023 übergab die NÚKIB den Gesetzesentwurf für das tschechische Cybersicherheitsgesetz an den Legislativrat der Regierung. Zuvor wurden während der Konsultationsphase Juni bis Juli 2023 Anmerkungen zum ersten Gesetzesentwurf eingeholt.

Besonderheiten

Der tschechische Gesetzesentwurf besteht aus mehreren Dokumenten: Das Cybersicherheits­gesetz regelt Pflichten, die sowohl wichtige und besonders wichtige Einrichtungen betreffen, als auch staatliche Behörden. Neben dem Cybersicherheits­gesetz existieren Verordnungen, die die geforderten Sicherheitsmaßnahmen je Betroffenengruppe konkretisieren.

Es existiert jeweils eine Verordung für Betreiber regulierter Dienste, besonders wichtige Einrichtungen und wichtige Einrichtungen.

Die tschechischen Anforderungen für NIS2 sind sehr umfangreich und übersteigen die NIS2-Umsetzungen anderer EU-Mitgliedstaaten in ihrem Detailgrad deutlich. Der tschechische Gesetzesentwurf zeichnet sich durch weitere Besonderheiten aus:

Literatur

up

Unterschiede

Sektoren

Die Annex I und II Sektoren unterscheiden sich zwischen den Ländern nur wenig. Es stechen vor allem zwei Länder heraus, die zusätzliche Sektoren einführen: Kroatien und Tschechien.

Unterschiede NIS2-Sektoren je Mitgliedsstaat
eigene Zusammenstellung, Stand Januar 2024
Sektoren Unterschied
Deutschland IT und TK Fasst Digitale Infrastruktur und Verwaltung von IKT-Diensten zusammen
Öffentliche Verwaltung Umfasst nur Teile der Bundesverwaltung (föderale Zentralregierung)
Teilsektor Gasversorgung Fasst Gas und Wasserstoff zusammen
KRITIS-Sektoren Zusätzliche Sektordefinitionen
Finnland Annex II Sektoren teils ohne Namen
Bankwesen und Finanzmarkt­infrastrukturen Definition fehlt
Kroatien Bildungssystem
Sustav Obrazovanja
Neuer Sektor
Tschechien Militärindustrie
Vojenský Průmysl
Neuer Sektor
Wasserverwaltung
Vodní Hospodářství
Fasst Trinkwasser und Abwasser zusammen
Finanzmarkt
Finanční Trh
Fasst Bankwesen und Finanzmarkt­infrastrukturen zusammen
Digitale Infrastruktur und Dienste
Digitální Infrastruktura a Služby
Fasst Digitale Infrastruktur und Verwaltung von IKT-Diensten zusammen

Pflichtenübersicht

Da es sich bei EU NIS 2 um eine Richtlinie handelt, enthalten die Umsetzungsentwürfe der EU-Mitgliedsstaaten ähnliche Inhalte. Die folgende Tabelle listet die wesentlichen Paragraphen der NIS-2-Pflichten je Land auf.

Auflistung der Paragraphen zu wesentlichen NIS2-Pflichten je Mitgliedsstaat
eigene Zusammenstellung, Stand Januar 2024
Betroffenheit Maßnahmen Meldung Registrierung Nachweise
Belgien § 3 § 30 § 34 §§ 13, 14 §§ 39, 41
Deutschland § 28 § 30 § 31 §§ 32, 33 § 34
Finnland § 3 § 9 § 11 §§ 43, 165 -
Kroatien §§ 9, 10 § 30
§ 37 §§ 20, 23 § 34
Tschechien §§ 3, 4 Teil 1 § 15 Teil 1,
Teil 2 gesamt
§§ 16, 17 Teil 1,
§ 3
§ 8 Teil 1 § 17 Teil 2 für essential

up

Weitere Informationen

Literatur

  1. NISD 2 Tracker, Bird & Bird LLP, 24.11.2023
  2. NIS 2 Directive Transposition, Cyber Risk GmbH, 24.11.2023