EU NIS2 Cybersecurity

EU and Europe picture

EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cybersecurity-Mindeststandards in der EU fest. NIS2 erweitert Betroffenheit und Pflichten deutlich – bis Oktober 2024 müssen EU-Mitglieds­staaten NIS2 in lokale Gesetze überführen und Unternehmen als Einrichtungen regulieren.

  1. Update 2026
  2. Betroffenheit
  3. Cybersecurity
  4. Staaten und EU
  5. Roadmap
  6. in English

NIS2, EU 2022/2555, ist seit Anfang 2023 in der EU in Kraft, Staaten müssen die Mindeststandards von NIS2 seit 2024 durch nationale Gesetze verbindlich umsetzen. In Deutschland geschieht dies durch das NIS2-Umsetzungsgesetz, das deutlich verzögert erst Ende 2025 in Kraft trat. Vorschläge für ein erstes Update der NIS2-Richtlinie sind seit Anfang 2026 im CSA2 öffentlich.

Skyline picture

NIS2 und KRITIS-Dachgesetz (2026)

Umsetzung der neuen NIS2 und KRITIS-Regulierung ab 2026
Deutsch ∙ PDF ∙ Januar 2026 ∙ OpenKRITIS-Briefing

Die NIS-2 Direktive

Einheitliche Cybersecurity in der EU

Die EU NIS2-Direktive überarbeitet und ersetzt die EU NIS-Direktive von 2016 in der EU mit deutlich mehr Betroffenheit, Pflichten und Aufsicht seit 2023, umgesetzt in Mitgliedsstaaten ab 2024:

  • Sektoren: Die kritischen Essential Entities (Einrichtungen) erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren — auf insgesamt achtzehn NIS2 Sektoren.
  • Einrichtungen: Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Anlagen/Schwellenwerte-Methodik, einige Einrichtungen werden unabhängig der Größe reguliert – Teile der digitalen Infrastruktur und öffentliche Verwaltung.
  • Cybersecurity: Die Anforderungen an Einrichtungen und Mitglied­staaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
  • Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen nationalen Behörden und Einrichtungen werden vertieft, die europäische (EU) Jurisdiktion geschärft.
  • Sanktionen: Strafen und Durchsetzungsakte werden deutlich ausgeweitet – auf Maximal­strafen von mind. 7 oder 10 Mio. EUR oder globalem Umsatz, je nach Sektor.

Nationale Umsetzungen können mit mehr und tieferen Regelungen abweichen, so auch Deutschland.

up

Update von NIS2 in 2026

Im Rahmen des aktualisierten Cyber Security Act 2 (EU CSA2) von Anfang 2026 schlägt die Europäische Kommission eine Aktualisierung der EU NIS2-Richtlinie vor. In einem CSA2-Annex, COM(2026) 13, finden sich Anpassungen und Erweiterungen von NIS2.

Zurerst soll die Betroffenheit von NIS2 in Teilen etwas abgeschwächt und damit die Wirtschaft und Aufsichtsbehörden entlasten werden. Die Grenzen der Betroffenheit wird in Teilen bei Essential Entities und DNS-Providern angehoben, dafür gibt es eine neue Gruppe zusätzlich betroffener Einrichtungen von strategic dual-use infrastructure und Wallets.

Gründe

Die Notwendigkeit, die EU NIS2-Richtlinie zu überarbeiten, ergibt sich aus den vier Zielen des CSA2:

  1. Diskrepanzen zwischen dem Cybersecurity-Rahmenwerk und den Anforderungen der Stakeholder
  2. Stockende Umsetzung des European Cybersecurity Certification Framework (ECCF)
  3. Komplexität und Diversität der Cybersecurity-Richtlinien mit Auswirkungen auf die Cyber Posture
  4. Zunehmende Risiken von ICT Lieferketten

Die Überarbeit von NIS2 liegt vor allem in Punkt 3, der Komplexität der Richtlinien – notwendige Konkretisierungen sollen die Compliance regulierter Einrichtungen erleichtern. Im Rahmen von 2 soll der CSA2 die Nutzung von Zertifizierungen für die NIS2-Compliance ebenfalls erleichtern.

Betroffenheit

Die Grenzen der großen Unternehmen, die Essential Entities EE werden, sollen erhöht werden, wozu die small mid-cap enterprises neu eingeführt werden, definiert in (EU) 2025/1099. Die Grenzen der Essential Entities als Großunternehmen werden dann oberhalb der small mid-cap neu definiert.

Unternehmen FTE Umsatz Bilanz
G Groß large 750
 > 150 Mio. EUR und/oder > 129 Mio. EUR
SM Small mid-cap < 750
 ≤ 150 Mio. EUR und/oder ≤ 129 Mio. EUR
M Mittel medium < 250
 ≤ 50 Mio. EUR und/oder ≤ 43 Mio. EUR

Das würde bedeuten, dass Essential Entities EE in den Annex I Sektoren von NIS2 erst bei 750 FTE oder über 150 Mio. EUR beginnen, eine Reduktion des Teilnehmerkreises, um den burden of compliance für Entities zu reduzieren und die Aufsichtspflichten der Behörden zu entlasten.

An den größenunabhängig U regulierten Essential Entities EE soll es auch Änderungen geben:

  • Neu European Digital Identity Wallets
  • Neu Anbieter von European Business Wallets
  • Top-level Domain (TLD) Registries bleiben größenunabhängig reguliert, normale DNS-Provider nur noch nach normalen Größenregeln (keine kleinen und micro)
  • Neu Einrichtungen von strategic dual-use infrastructure – Eigentümer, Manager und Betreiber

Weitere Änderungen sollen noch im Energiesektor vorgenommen werden, mit einem Schwellenwert von 1 MW für Einrichtungen sowie neu betroffene Unterseekabel (Submarine data transmission infrastructure) [die in Deutschland schon im IT und TK als Seekabelanlandestation reguliert sind – Ed.].

Maßnahmen

Die Kommission soll für Implementing Acts nach Art. 21 (5) regelmäßig die Notwendigkeit von sektoralen oder Einrichtungs-spezifischen Maßnahmenkatalogen prüfen, welche nationale Maßnahmen nach Art. 21 (2) überflüssig machen.

Mitgliedsstaaten sollen Maßnahmen und Bedrohungen von Post-Quanten-Kryptographie in ihren nationalen Cybersicherheits-Strategien berücksichtigen.

Ausblick

Ob und wie die Anpassungen die weitere EU-Gesetzgebung von Kommission, Parlament und Rat passieren und dann (irgendwann) national verbindlich werden, muss sich zeigen.

up

Betroffenheit

Betreiber und Sektoren

EU NIS2 definiert zwei Gruppen von Einrichtungen, Entities, die in achtzehn Sektoren in der EU kritische Dienstleistungen erbringen und nach Größe reguliert werden. Art. 2 Art. 3

Entities Größe Sektoren
EE Essential Entities G Groß, large
Sonderfälle		 elf
alle		 Annex I
Annex III
 IE  Important Entities G Groß large
M Mittel medium		 sieben
alle		 Annex II
Annex III

Die Unterschiede zwischen Essential und Important Entities (Einrichtungen) beziehen sich in NIS2 vor allem auf den Umfang der staatlichen Aufsicht und Sanktionen. Nationale Gesetze weichen teilweise von den EU-Betreiber- und Sektor-Definitionen ab. Im deutschen NIS2-Umsetzungsgesetz sind Einrichtungen und Sektoren etwas anders definiert.

Size-cap

Die Betroffenheit wird in NIS2 nach der size-cap Regel festgestellt – reguliert werden mittlere und große Unternehmen der achtzehn Sektoren nach Größe gemäß 2003/361/EC:

Unternehmen FTE Umsatz Bilanz
G Groß large ≥ 250
 > 50 Mio. EUR und/oder > 43 Mio. EUR
M Mittel medium < 250
 ≤ 50 Mio. EUR und/oder ≤ 43 Mio. EUR

EU NIS2 greift hier auf eine Definition von Small and Medium Enterprises (SMEs, KMU) zurück, die sich von Großunternehmen abgrenzen. Mittlere sind ein Teil der Definition.

Essential Entities

Essential Entities EE sind in NIS2 große Einrichtungen G aus Annex I Sektoren sowie bestimmte Einrichtungen unabhängig der Größe; in Deutschland besonders wichtige Einrichtungen (bWE).

Einrichtung Sektor Größe
Essential Sektoren aus Annex I G groß
Essential Digitale Infrastruktur I
  • Qualified Trust Service Provider
  • TLD Registries
  • Domain Registrare
  • Elektronische Kommunikation M
 U unabhängig
Essential Öffentliche Verwaltung I
Zentralregierung und kritische Regionalregierungen		 U unabhängig
Essential Sonderfälle aus I und II durch Mitgliedsstaaten
  • Nationale Betreiber, essentiell für Gesellschaft/Wirtschaft
  • Signifikanter Effekt auf öffentliche Sicherheit/Gesundheit
  • Signifikantes systemisches Risiko und Abhängigkeiten
  • Nationale oder regionale Wichtigkeit
 U unabhängig
Essential Critical Entities nach EU CER (2022/2557) U unabhängig
Essential Bisherige Entities nach EU NIS 2016/1148

Important Entities

Important Entities  IE  sind NIS2-Einrichtungen aus Annex II und Annex I Sektoren; in Deutschland wichtige Einrichtungen (WE).

Einrichtung Sektor Größe
Important Sektoren aus Annex I und II M mittel
Important Sektoren aus Annex II G groß
Important Sonderfälle aus I und II durch Mitgliedsstaaten
  • Nationale Betreiber, essentiell für Gesellschaft/Wirtschaft
  • Signifikanter Effekt auf öffentliche Sicherheit/Gesundheit
  • Signifikantes systemisches Risiko und Abhängigkeiten
  • Nationale oder regionale Wichtigkeit
 U unabhängig
Essential Critical Entities nach EU CER (2022/2557) U unabhängig
Essential Bisherige Entities nach EU NIS 2016/1148

up

Sektoren

NIS2 definiert in Annex I und II der EU-Direktive achtzehn betroffene NIS2 Sektoren. Die deutsche NIS2-Umsetzung weicht leicht von diesen Sektoren ab.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 1
* - in NIS2 teils unabhängig der Größe
NIS2-Sektoren Inhalt DE NIS2
Annex I Sektoren
Energie Elektrizität
Fernwärme
Erdöl
Erdgas
Wasserstoff		 Energie
Transport
 Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr		 Transport/Verkehr
Bankwesen Kreditinstitute Finanzwesen
Finanzmärkte Handelsplätze
Zentrale Gegenpartien		 Finanzwesen
Gesundheit Gesundheits­dienstleister
EU Labore
Medizinforschung
Pharmazeutik
Medizingeräte		 Gesundheit
Trinkwasser Wasserversorgung Wasser
Abwasser Abwasserentsorgung Wasser
Digitale Infrastruktur Internet-Knoten (IXP)
DNS (ohne Root)*
TLD Registries*
Cloud Provider
Rechenzentren
CDNs
Vertrauensdienste (TSP)*
Elektronische Kommunikation*		 Digitale Infrastruktur
ICT Service Management
im B2B		 Managed Service Providers
Managed Security Service Providers		 Digitale Infrastruktur
Öffentliche Verwaltung Zentralregierung*
Regionale Regierung*		 Bundesverwaltung
Weltraum Bodeninfrastruktur Weltraum
Annex II Sektoren
Post und Kurier Postdienste Transport
Abfall Abfallbewirtschaftung Entsorgung
Chemikalien Produktion, Herstellung und Handel Chemie
Lebensmittel Produktion, Verarbeitung und Vertrieb Ernährung
Industrie (Herstellung)
NACE-Kategorien		 Medizinprodukte und In-vitro
DV (Computer), Elektronik, Optik
Elektrische Ausrüstung
Maschinenbau
Kraftwagen und Teile
Fahrzeugbau		 Verarbeitendes Gewerbe
Digitale Dienste Marktplätze
Suchmaschinen
Soziale Netzwerke		 Digitale Dienste
Forschung Forschungsinstitute Forschung

up

Cybersecurity

Mindestanforderungen

Die EU NIS2-Direktive legt für Essential und Important Entities Mindest­anforderungen an Cyber Security fest, deren Einhaltung die Geschäftsführung von Einrichtungen nach nationaler Gesetzgebung überwachen und dafür haftbar gemacht werden soll. Art. 20

Maßnahmen

Einrichtungen in der EU müssen mindestens folgende Cybersecurity-Maßnahmen (Risiko-Management) umsetzen, um IT und Netzwerke ihrer Dienstleistungen zu schützen: Art. 21

  • Policies: Richtlinien für Risiken und Informationssicherheit
  • Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
  • Business Continuity: BCM mit Backup Management, DR, Krisen Management
  • Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
  • Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
  • Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
  • Training: Cyber Security Hygiene
  • Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
  • Personal: Human Resources Security
  • Zugangskontrolle
  • Asset Management
  • Authentication: Einsatz von Multi Factor Authentisierung und SSO
  • Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
  • Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Bei der Auswahl der Maßnahmen sollen Einrichtungen einen Allgefahren­ansatz (all hazards approach) einsetzen.

Implementing Acts

Bestimmte Vorgaben aus EU NIS2 können durch in Implementing Acts der Europäischen Kommission, Durchführungs­rechtsakten, konkretisiert werden.

  • Technische und methodische Maßnahmen für Internet-Provider (DNS, cloud, CDN, DCs, managed services), welche die Art. 25 Maßnahmen konkretisieren Art. 21 (5) UAbs 1
  • Technische und methodische Maßnahmen für alle Sektoren, welche die Art. 25 Maßnahmen konkretisieren Art. 21 (5) UAbs 2
  • Definitionen für signifikante Incidents und Meldeschwellen für Internet-Provider (s.o.), der möglicherweise auch für andere Sektoren genutzt werden soll Art. 23 (11)

Standards

Für Cybersecurity-Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitglied­staaten Einrichtungen dabei die Nutzung von EU Cyber Security Zertifizierungen und zertifizierten Produkten vorschreiben. Art. 24 Art. 25

Meldewesen

Einrichtungen müssen ihre nationale Cybersecurity-Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ebenfalls wo möglich die Empfänger (Kunden) ihrer Dienstleistungen. Art. 23 EU-Mitglied­staaten sollen den Austausch von Informationen zwischen Einrichtungen fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 29 Art. 30

Registrierung

Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25

up

Aufsicht und EU

Mitgliedsstaaten

Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und die Governance für Cyber Security in den Mitglieds­staaten fest. Mitglied­staaten steht es frei, über die NIS2Anforderungen mit eigener Regulierung hinaus­zugehen. Art. 5

Sektoren und Betreiber

Bestehende und sektor-spezifische Regulierung soll bestehen bleiben, wenn äquivalent; fehlende Sektoren müssen dann aber von NIS2-Regelungen abgedeckt werden. Art. 4

Mitglied­staaten müssen bis April 2025 Listen über Einrichtungen von important und essential services erstellen und an die EU Kommission melden. Art. 3

Nationale Cyber Security Strategien

Mitglied­staaten müssen eine nationale Cyber-Sicherheits­strategie (NCSS) als Rahmen der Cybersecurity-Regulierung definieren und mit angemessener Aufsicht umsetzen, dazu gehören diverse nationale Pläne und Verbesserungs­vorhaben. Art. 7

Behörden

Mitglied­staaten sollen Behörden im eigenen Land für Cybersecurity-Aufgaben designieren und ermächtigen:

  • Competent Authority: Eine für Cybersecurity und Aufsicht zuständige Behörde und Single Point of Contact Art. 8
  • Krisen-Management: Für die nationale Bewältigung von large-scale Cyber Security Incidents und Krisen Art. 9
  • CSIRT: Für das Incident Handling der kritischen Sektoren muss ein nationales Computer Security Incident Response Team (CSIRT) eingerichtet werden Art. 10
  • Nationale Kooperation: Die Cyber Security Behörden, CSIRT und SPOCs in den Mitglied­staaten sollen eng zusammenarbeiten Art. 13

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland die NIS2 Competent Authority.

Governance

NIS2 schreibt umfangreiche nationale Aufsicht in Mitglied­staaten vor. Art. 31

Die Liste der Befugnisse der nationalen Behörden bei Essential Einrichtungen umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions: Art. 32 Art. 29

  • Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen können
  • Dies schliesst Random Checks durch Experten (trained professionals), und regelmäßige und ad-hoc Security Audits durch unabhängige Dritte oder Behörden ein
  • Dies schliesst ebenfalls Security Scans ein
  • Informationen: Behörden sollen Daten, Akten, Informationen, Nachweise der Umsetzung anfordern und einsehen können
  • Anweisungen: Behörden sollen Einrichtungen im Fall von Non-Compliance Anweisungen erteilen, öffentliche Warnungen aussprechen, einen Aufsichtsbeamten bestellen können
  • Betriebserlaubnis: Bei fortwährender Non-Compliance sollen Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierungen o.ä. entziehen können
  • Organhaftung: Die Leitungsorgane von Einrichtungen sollen für Verstöße persönlich haftbar gemacht werden

Die Aufsichtspflichten für Important Einrichtungen lehnen sich an diese an und sind (nur noch) leicht abgeschwächt. Art. 33

Sanktionen

Für Verstöße gegen die Anforderungen von NIS2 sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 34 Art. 35 Art. 36

  • Essential Sektoren: Strafen bis zu einem Maximum von mind. 10 Mio. EUR oder 2% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23 (Cyber Security Maßnahmen und Meldungen)
  • Important Sektoren: Strafen bis zu einem Maximum von mind. 7 Mio. EUR oder 1,4% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23

Incidents und Meldungen

Für die Bewältigung von Cyber Security Incidents sollen Mitglied­staaten ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 10 Art. 11 Art. 13

  • Überwachung von nationalen Cyber Threats und Incidents
  • Frühwarnung, Alarmierung und Informationen zu Cyber Risiken
  • Incident Bewältigung und Unterstützung
  • Proaktives Scannen von Netzwerken bei Bedarf
  • Zusammenarbeit in der EU, im CSIRT-Netzwerk und mit Einrichtungen

Nationale Behörden müssen sicherstellen, dass die nationalen CSIRTs in Meldungen involviert sind, und bei grenz­überschreitenden Vorfällen die Single Points of Contact in anderen Mitglied­staaten einzubinden. Art. 23

Domains und TLDs

Mitglied­staaten sollen Registrierungsdaten von TLD-Registries und Domain-Registries erfassen — dies umfasst eine Datenbank an Domain-Namen, Namen und Kontaktdaten der Registranten. Weiterhin gibt es striktere Regeln zur Erfassung und Aktualisierung von Daten innerhalb der Registries. Art. 28

up

Zusammenarbeit in der EU

Kooperation

Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitglied­staaten. Dabei tauschen sich Vertreter der Mitglied­staaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 14

Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Krisen. Die EU darf auch internationale Vereinbarungen zur Zusammenarbeit eingehen. Art. 16 Art. 17

Cyber Security

Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 18

Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitglied­staaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 19

  • Cyber Security Fähigkeiten und Ressourcen der nationalen Behörden
  • Umsetzung der Reporting und Risiko-Management Anforderungen
  • Fähigkeiten und Effektivität der CSIRTs
  • Effektivität vom Informationsaustausch und der gegenseitigen Unterstützung

Die Sicherheit von Lieferketten, IT-Diensten und Systemen soll von der Cooperation Group und der Kommission untersucht und kritische Ergebnisse identifiziert werden. Art. 22

Informationsaustausch

Die nationalen CSIRTs sollen im EU-Netzwerk Informationen zu Incidents, Krisen und Fähigkeiten austauschen. Das CSIRT-Netzwerk dient auch zu tieferer Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 15

Territorialität und Jurisdiktion

Die Zuständigkeit für Einrichtungen in den Important und Essential Sektoren bleibt national – Einrichtungen fallen unter die nationale Jurisdiktion und Behörde(n), wo sie etabliert sind.

Es gibt jedoch in manchen Fällen auch zentrale Zuständigkeit einzelner nationaler Behörden für Einrichtungen, die EU-weit tätig sind: Art. 26

  • Anbieter elektronischer Kommunikations­netze und öffentlicher Kommunikations­dienste fallen unter die Jurisdiktion, wo sie ihre Dienste anbieten
  • Anbieter digitaler Infrastrukturen und Diensten wie DNS-Provider, TLD-Registries, Domain-Registries, Cloud-Provider, Rechenzentren, CDN-Provider, Managed Service Provider, Managed Security Service Provider, Online Marktplätze, Suchmaschinen und Soziale Netzwerke fallen unter die Jurisdiktion beim Mitglied­staat ihres Hauptsitzes (main establishment) in der EU. Dieser Hauptsitz ist definiert als:
    • Der Mitglied­staat, an dem Cyber Risiko Maßnahmen getroffen werden, oder
    • der Mitglied­staat, an dem Cyber Security Operations durchgeführt werden, oder
    • der Mitglied­staat mit der höchsten Mitarbeiterzahl in der EU.
  • Öffentliche Verwaltung fällt unter die Jurisdiktion des Staates, der diese etabliert hat
  • Hat ein Anbieter keinen Sitz in der EU, bietet aber Dienste an, muss er definierte Vertreter in der EU bestimmen
  • Mitglied­staaten und die EU können Maßnahmen gegen diese Anbieter ergreifen

Bei europäischen Einrichtungen, die Dienste in mehreren Mitglied­staaten anbieten oder deren IT in mehreren Mitglied­staaten ist, sollen die nationalen Aufsichtsbehörden zusammenarbeiten oder, wo notwendig, gemeinsame Aufsicht ausüben. Art. 37

Datenbanken und Register

Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitglied­staaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 12

Die ENISA soll ein Register von Anbietern digitaler Dienste aufbauen: DNS-Provider, TLD-Registries, Domain-Registries, Cloud-Provider, Rechenzentren, CDN-Provider, Managed Service Provider, Managed Security Service Provider, Online Marktplätze, Suchmaschinen und Soziale Netzwerke. Mitglied­staaten sollen über ihre Behörden Informationen über Einrichtungen an die ENISA schicken. Art. 27

up

Roadmap

Gesetzgebung

Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitglied­staaten fest. Diese Anforderungen der NIS2 und CER Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.

EU

Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU CER ebenfalls. Ab Oktober 2021 gab es einen leicht veränderten Kompromiss-Vorschlag des Europäischen Parlaments, im Mai 2022 konnte dann Einigkeit zwischen Kommission und Parlament erzielt werden. Das EU-Parlament hat am 10. November 2022 dem NIS2 Entwurf zugestimmt (T9-0383/2022), der Rat am 28. November 2022, womit NIS2 in Kraft ist.

EU-Mitglied­staaten müssen bis Oktober 2024, innerhalb von 21 Monaten, die Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

EU NIS2 wird in Deutschland durch das NIS2-Umsetzungsgesetz in nationales Recht überführt.

In Deutschland wird NIS2 zu einer deutlichen Erweiterung der erfassten Einrichtungen führen und Befugnisse und Handlungs­möglichkeiten für die national zuständigen Behörden erweitert werden. Die deutsche KRITIS-Methodik von Anlagen soll beibehalten werden: das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritisverordnung berücksichtigt wird.

Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt. Das IT-Sicherheitsgesetz 2.0 nahm 2021 einige Änderungen von NIS2 schon vorweg.

Review

EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.

Zeitleiste

Ablauf NIS und NIS2-Direktiven, Stand Januar 2026
Version Status Datum Akteur
NIS Deadline nationale Umsetzung Mai 2018 Mitglied­staaten
NIS EU-weite nationale Umsetzung 2020 Mitglied­staaten
NIS Evaluation/review Roadmap Jun 2020 Kommission
NIS Open public consultation 7-10/2020 Kommission
NIS2 Impact Assessment (IA) Okt 2020 Kommission
NIS2 Feedback zum IA Nov 2020 Regulatory Scrutiny Board
NIS2 Entwurfsversion (Proposal) Dez 2020 Kommission
NIS2 Opinion zum Entwurf Apr 2021 EESC
NIS2 Deadline nationale Rückmeldungen Mar 2021 Nationale Parlamente
NIS2 Kompromiss­vorschlag NIS2 Okt 2021 EU Parlament
NIS2 Einigkeit NIS2 Mai 2022 EU Parlament + Kommission
NIS2 Zustimmung NIS2 Nov 2022 EU Parlament
NIS2 Annahme NIS2 Nov 2022 Rat der EU
NIS2 Richtlinie, EU 2022/2555 Dez 2022 Amtsblatt
NIS2 Frist Umsetzung national bis Okt 24 Mitglied­staaten
NIS2 Umsetzung national Dez 2025 Deutschland
CSA2 Überarbeitung NIS2, COM(2026) 13 Jan 2026 Europ. Kommission

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
  3. SME User Guide, European Commission, 2020
  4. EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation , Council of the EU, Press release, 28 November 2022
  5. EN OpenKRITIS EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ November, 2021 — in English
  6. The NIS2 Directive: A high common level of cybersecurity in the EU, EPRS - European Parliamentary Research Service, PE 689.333, 01 Dec 2021
  7. NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit, Heise Online 10/2021
  8. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  9. DIGITALEUROPE’s position on the NIS2 Directive, DIGITALEUROPE, 19 Mar 2021
  10. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
  11. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
  12. Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  13. Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
  14. Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020

Quellen

  1. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
  2. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
  3. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
  4. EU erzielt Einigung über neue Vorschriften für die Cyber­sicherheit kritischer Einrichtungen und Netze, Vertretung der EU in Deutschland, Pressemitteilung 13. Mai 2022
  5. COMPROMISE AMENDMENT 1 for NIS2 Directive, CA 1 for (2020)0823 - 2020/0359 (COD), Oktober 2021
  6. Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
  7. Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
  8. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016