EU NIS 2 Cybersecurity
EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest. NIS2 erweitert Betroffenheit und Pflichten deutlich – bis 2024 müssen EU-Mitgliedsstaaten NIS2 in lokale Gesetzgebung überführen und nationale Betreiber mit Cybersecurity regulieren.
NIS2 (EU 2022/2555) ist seit Anfang 2023 in der EU in Kraft, Staaten müssen diesen Mindeststandard von NIS2 durch nationale Gesetze verbindlich machen. In Deutschland geschieht dies mit dem NIS2-Umsetzungsgesetz, das mit leichten Abweichungen und deutschen Anpassungen wahrscheinlich ab Oktober 2024 in Kraft tritt.
DE KRITIS Betreiber und nun? EU NIS2, CER und KRITIS-Dachgesetz
Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ April 2023 ∙ OpenKRITIS-Briefing
EN EU NIS2 and RCE: Security and Resilience in Infrastructures
Fact Sheet: Pflichten, Sektoren, Betreiber in NIS2 und RCE (CER)
English ∙ PDF ∙ März 2023 ∙ OpenKRITIS-Briefing
English version of this page available at EU NIS2 and RCE.
Die NIS-2 Direktive
Neuerungen
Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016 mit deutlich mehr Betroffenheit, Pflichten und Aufsicht in der EU:
- Sektoren: Die kritischen Essential Entities erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren — auf insgesamt achtzehn NIS2 Sektoren.
- Betreiber: Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Anlagen-Schwellenwerte o.ä. Methodik, einige Betreiber sollen unabhängig der Größe reguliert werden – Teile der digitalen Infrastruktur und öffentliche Verwaltung.
- Cyber Security: Die Anforderungen an Betreiber und Mitgliedstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
- Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
- Sanktionen: Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mind. 7 oder 10 Mio. EUR, je nach Sektor.
Die nationalen Umsetzungen können leicht hiervon abweichen, so auch in Deutschland.
Betreiber und Sektoren
EU NIS2 definiert zwei Gruppen von Betreibern (Entities), die in achtzehn Sektoren in der EU Dienstleistungen erbringen und nach Größe reguliert werden. Art. 2 Art. 3
Entities | Größe | Sektoren | |
---|---|---|---|
I Essential Entities | Groß (large) Sonderfälle |
elf alle |
Annex I Annex I/II |
II Important Entities | Groß (large) Mittel (medium) |
sieben alle |
Annex II Annex I/II |
Die Unterschiede zwischen Essential und Important Entities beziehen sich in NIS2 vor allem auf den Umfang der staatlichen Aufsicht und Sanktionsmöglichkeiten.
Nationale Gesetzgebung weicht teilweise von den EU-Betreiber- und Sektor-Definitionen ab. Im deutschen NIS2-Umsetzungsgesetz sind Schwellenwerte und Sektoren etwas anders.
Schwellenwerte
Die Betroffenheit wird in NIS2 nach der size-cap Regel festgestellt – reguliert werden mittlere und große Unternehmen der achtzehn Sektoren nach Größe gemäß 2003/361/EC:
Unternehmen | Mitarbeiter | Umsatz | Bilanz | Entities | ||
---|---|---|---|---|---|---|
M Mittel (medium) | 50-249 | und | < 50 Mio. EUR | und/oder | < 43 Mio. EUR | II |
G Groß (large) | ≥ 250 |
und | ≥ 50 Mio. EUR | und/oder | ≥ 43 Mio. EUR | I oder II |
Essential Entities
Neben großen Betreibern G aus den Annex I Sektoren (Essential) werden bestimmte Betreiber und Branchen unabhängig der Größe als Essential Entity in NIS2 reguliert:
- Digitale Infrastruktur aus I
- Qualified Trust Service Provider
- TLD Registries
- Domain Registrare
- Anbieter elektronischer Kommunikation ab mittlerer M Größe
- Öffentliche Verwaltung aus I: Zentralregierung und kritische Regionalregierungen
- Sonderfälle aus I und II, die Mitgliedsstaaten als Essential festlegen:
- Nationale Betreiber (sole provider), die essentiell für Gesellschaft und Wirtschaft sind
- Betreiber, deren Ausfall einen signifikanten Effekt auf öffentliche Sicherheit oder Gesundheit hätte
- Betreiber, deren Ausfall ein signifikantes systemisches Risiko für Sektoren und grenzüberschreitende Abhängigkeiten darstellt
- Betreiber, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
- Critical Entities: Betreiber, die unter die EU RCE/CER (2022/2557) Regulierung fallen, sollen als Essential unter NIS2 fallen
- Bisherige Entities: Betreiber, die bis Januar 2023 von voriger Regulierung (NIS/KRITIS) betroffen waren, können durch Staaten als Essential definiert werden (bleiben)
Important Entities
Important Entities sind Betreiber aus Annex II (Important) und Annex I (Essential):
- Große Betreiber aus II sind Important Entities
- Mittlere Betreiber aus allen achtzehn II und I Sektoren sind Important Entities
- Sonderfälle aus II und I, die Mitgliedsstaaten als Important festlegen:
- Einzelne Betreiber (
sole provider
), die national essentiell für Gesellschaft und Wirtschaft sind - Betreiber, deren Ausfall einen signifikanten Effekt auf die öffentliche Sicherheit oder Gesundheit hätte
- Betreiber, deren Ausfall ein signifikantes systemisches Risiko für Sektoren und grenzüberschreitende Abhängigkeiten darstellt
- Betreiber, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
- Einzelne Betreiber (
Sektoren
NIS2 definiert in Annex I und II der EU-Direktive achtzehn betroffene NIS2 Sektoren. Die deutsche NIS2-Umsetzung weicht leicht von diesen Sektoren ab.
NIS2-Sektoren | Inhalt | KRITIS |
---|---|---|
Annex I Sektoren (Essential) |
||
Energie | Elektrizität Fernwärme Erdöl Erdgas Wasserstoff |
Energie - |
Transport |
Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
Transport/Verkehr |
Bankwesen | Kreditinstitute | Finanzwesen |
Finanzmärkte | Handelsplätze Zentrale Gegenpartien |
Finanzwesen |
Gesundheit | Gesundheitsdienstleister EU Labore Medizinforschung Pharmazeutik Medizingeräte |
Gesundheit |
Trinkwasser | Wasserversorgung | Wasser |
Abwasser | Abwasserentsorgung | Wasser |
Digitale Infrastruktur | Internet-Knoten (IXP) DNS (ohne Root)* TLD Registries* Cloud Provider Rechenzentren CDNs Vertrauensdienste (TSP)* Elektronische Kommunikation* |
IT tw. TKG |
ICT Service Management im B2B |
Managed Service Providers Managed Security Service Providers |
- |
Öffentliche Verwaltung | Zentralregierung* Regionale Regierung* |
- |
Weltraum | Bodeninfrastruktur | tw. Transport |
Annex II Sektoren (Important) |
||
Post und Kurier | Postdienste | tw. Transport |
Abfall | Abfallbewirtschaftung | Entsorgung |
Chemikalien | Produktion, Herstellung und Handel | UBI (3) |
Lebensmittel | Produktion, Verarbeitung und Vertrieb | Ernährung |
Industrie (Herstellung) NACE-Kategorien |
Medizinprodukte und In-vitro DV (Computer), Elektronik, Optik Elektrische Ausrüstung Maschinenbau Kraftwagen und Teile Fahrzeugbau |
tw. UBI (2) |
Digitale Dienste | Marktplätze Suchmaschinen Soziale Netzwerke |
tw. TMG |
Forschung | Forschungsinstitute | - |
Ausschlüsse
In NIS2 fehlen ÖPNV und Medizingroßhandel aus RCE, während Ernährung nur Important ist, nicht Essential wie in RCE. Aus NIS2 fehlen in RCE wiederum Ladestationen (Strom), ICT Service Management und Regionalverwaltungen, sowie Important Sektoren.
Bei NIS2 nicht betroffen sind:
- Kleinst (micro): ‹ 9 Beschäftigte und ‹ 2 Mio. EUR Umsatz/Bilanz
- Klein (small): ‹ 49 Beschäftigte und ‹ 10 Mio. EUR Umsatz/Bilanz
Klein-Unternehmen sind in der deutschen NIS2-Umsetzung teilweise betroffen.
Cyber Security
Die EU NIS2-Direktive legt für Essential und Important Entities Mindestanforderungen an Cyber Security fest, deren Einhaltung die Geschäftsführung von Betreibern nach nationaler Gesetzgebung überwachen und dafür haftbar gemacht werden soll. Art. 20
Maßnahmen
Betreiber in der EU müssen mindestens folgende Cyber Security Maßnahmen umsetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen: Art. 21
- Policies: Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
- Business Continuity: BCM mit Backup Management, DR, Krisen Management
- Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
- Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
- Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
- Training:
Cyber Security Hygiene
- Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
- Personal: Human Resources Security
- Zugangskontrolle
- Asset Management
- Authentication: Einsatz von Multi Factor Authentisierung und SSO
- Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
- Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
Bei der Auswahl und Umsetzung der Maßnahmen sollen Betreiber einen Allgefahrenansatz (all hazards approach) einsetzen.
Standards
Für Cyber Security Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitgliedstaaten Betreibern dabei die Nutzung von EU Cyber Security Zertifizierungen und zertifizierten Produkten vorschreiben. Art. 24 Art. 25
Meldewesen
Betreiber müssen ihre nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ebenfalls wo möglich die Empfänger (Kunden) ihrer Dienstleistungen. Art. 23 EU Mitgliedstaaten sollen den Austausch von Informationen zwischen Betreibern fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 29 Art. 30
Registrierung
Kritische Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25
Nationale Aufsicht
Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und die Governance für Cyber Security in den Mitgliedsstaaten fest. Mitgliedstaaten steht es frei, über die NIS2 Anforderungen mit eigener Regulierung hinauszugehen. Art. 5
Sektoren und Betreiber
Bestehende und sektor-spezifische Regulierung soll bestehen bleiben, wenn äquivalent; fehlende Sektoren müssen dann aber von NIS2 Regelungen abgedeckt werden. Art. 4
Mitgliedstaaten müssen bis April 2025 Listen über Betreiber von important und essential services erstellen und an die EU Kommission melden. Art. 3
Nationale Cyber Security Strategien
Mitgliedstaaten müssen eine nationale Cyber-Sicherheitsstrategie (NCSS) als Rahmen der Cyber Security Regulierung definieren und mit angemessener Aufsicht umsetzen, dazu gehören diverse nationale Pläne und Verbesserungsvorhaben. Art. 7
Behörden
Mitgliedstaaten sollen Behörden im eigenen Land für Cyber Security Aufgaben designieren und ermächtigen:
- Competent Authority: Eine für Cyber Security und Aufsicht zuständige Behörde und Single Point of Contact Art. 8
- Krisen-Management: Für die nationale Bewältigung von large-scale Cyber Security Incidents und Krisen Art. 9
- CSIRT: Für das Incident Handling der kritischen Sektoren muss ein nationales Computer Security Incident Response Team (CSIRT) eingerichtet werden Art. 10
- Nationale Kooperation: Die Cyber Security Behörden, CSIRT und SPOCs in den Mitgliedstaaten sollen eng zusammenarbeiten Art. 13
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland die NIS2 Competent Authority.
Governance
NIS2 schreibt umfangreiche nationale Aufsicht in Mitgliedstaaten vor. Art. 31
Die Liste der Befugnisse der nationalen Behörden bei Essential Betreibern umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions: Art. 32 Art. 29
- Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen können
- Dies schliesst Random Checks durch Experten (trained professionals), und regelmäßige und ad-hoc Security Audits durch unabhängige Dritte oder Behörden ein
- Dies schliesst ebenfalls Security Scans ein
- Informationen: Behörden sollen Daten, Akten, Informationen, Nachweise der Umsetzung anfordern und einsehen können
- Anweisungen: Behörden sollen Betreibern im Fall von Non-Compliance Anweisungen erteilen, öffentliche Warnungen aussprechen, einen Aufsichtsbeamten bestellen können
- Betriebserlaubnis: Bei fortwährender Non-Compliance sollen Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierungen o.ä. entziehen können
- Organhaftung: Die Leitungsorgane von Betreibern sollen für Verstöße persönlich haftbar gemacht werden
Die Aufsichtspflichten für Important Betreiber lehnen sich an diese an und sind (nur noch) leicht abgeschwächt. Art. 33
Sanktionen
Für Verstöße gegen die Anforderungen von NIS2 sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 34 Art. 35 Art. 36
- Essential Sektoren: Strafen bis zu einem Maximum von mind. 10 Mio. EUR oder 2% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23 (Cyber Security Maßnahmen und Meldungen)
- Important Sektoren: Strafen bis zu einem Maximum von mind. 7 Mio. EUR oder 1,4% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23
Incidents und Meldungen
Für die Bewältigung von Cyber Security Incidents sollen Mitgliedstaaten ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 10 Art. 11 Art. 13
- Überwachung von nationalen Cyber Threats und Incidents
- Frühwarnung, Alarmierung und Informationen zu Cyber Risiken
- Incident Bewältigung und Unterstützung
- Proaktives Scannen von Netzwerken bei Bedarf
- Zusammenarbeit in der EU, im CSIRT-Netzwerk und mit Betreibern
Nationale Behörden müssen sicherstellen, dass die nationalen CSIRTs in Meldungen involviert sind, und bei grenzüberschreitenden Vorfällen die Single Points of Contact in anderen Mitgliedstaaten einzubinden. Art. 23
Domains und TLDs
Mitgliedstaaten sollen Registrierungsdaten von TLD-Registries und Domain-Registries erfassen — dies umfasst eine Datenbank an Domain-Namen, Namen und Kontaktdaten der Registranten. Weiterhin gibt es striktere Regeln zur Erfassung und Aktualisierung von Daten innerhalb der Registries. Art. 28
Zusammenarbeit in der EU
Kooperation
Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitgliedstaaten.
Dabei tauschen sich Vertreter der Mitgliedstaaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 14
Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Krisen. Die EU darf auch internationale Vereinbarungen zur Zusammenarbeit eingehen. Art. 16 Art. 17
Cyber Security
Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 18
Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitgliedstaaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 19
- Cyber Security Fähigkeiten und Ressourcen der nationalen Behörden
- Umsetzung der Reporting und Risiko-Management Anforderungen
- Fähigkeiten und Effektivität der CSIRTs
- Effektivität vom Informationsaustausch und der gegenseitigen Unterstützung
Die Sicherheit von Lieferketten, IT-Diensten und Systemen soll von der Cooperation Group und der Kommission untersucht und kritische Ergebnisse identifiziert werden. Art. 22
Informationsaustausch
Die nationalen CSIRTs sollen im EU-Netzwerk Informationen zu Incidents, Krisen und Fähigkeiten austauschen. Das CSIRT-Netzwerk dient auch zu tieferer Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 15
Europäische Jurisdiktion
Die Zuständigkeit für Betreiber in den Important und Essential Sektoren bleibt national — Betreiber fallen unter die nationale Jurisdiktion, wo sie etabliert sind, außer: Art. 26
- Anbieter elektronischer Kommunikationsnetze und öffentlicher Kommunikationsdienste fallen unter die Jurisdiktion, wo sie ihre Dienste anbieten
- Anbieter digitaler Infrastrukturen und Diensten wie DNS-Provider, TLD-Registries, Domain-Registries, Cloud-Provider, Rechenzentren, CDN-Provider, Managed Service Provider, Managed Security Service Provider, Online Marktplätze, Suchmaschinen und Soziale Netzwerke fallen unter die Jurisdiktion beim Mitgliedstaat ihres Hauptsitzes (main establishment) in der EU.
Dieser Hauptsitz ist definiert als:
- Der Mitgliedstaat, an dem Cyber Risiko Maßnahmen getroffen werden, oder
- der Mitgliedstaat, an dem Cyber Security Operations durchgeführt werden, oder
- der Mitgliedstaat mit der höchsten Mitarbeiterzahl in der EU.
- Öffentliche Verwaltung fällt unter die Jurisdiktion des Staates, der diese etabliert hat
- Hat ein Anbieter keinen Sitz in der EU, bietet aber Dienste an, muss er definierte Vertreter in der EU bestimmen
- Mitgliedstaaten und die EU können Maßnahmen gegen diese Anbieter ergreifen
Bei europäischen Betreibern, die Dienste in mehreren Mitgliedstaaten anbieten oder deren IT in mehreren Mitgliedstaaten ist, sollen die nationalen Aufsichtsbehörden zusammenarbeiten oder, wo notwendig, gemeinsame Aufsicht ausüben. Art. 37
Datenbanken und Register
Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitgliedstaaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 12
Die ENISA soll ein Register von Anbietern digitaler Dienste aufbauen: DNS-Provider, TLD-Registries, Domain-Registries, Cloud-Provider, Rechenzentren, CDN-Provider, Managed Service Provider, Managed Security Service Provider, Online Marktplätze, Suchmaschinen und Soziale Netzwerke. Die Mitgliedstaaten sollen über ihre Behörden und Single Points of Contact Informationen über diese Betreiber an die ENISA schicken, unter anderem Namen, Sektor, Registrierungsdaten, Marktgebiet und IP-Ranges. Art. 27
Roadmap
Gesetzgebung
Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitgliedstaaten fest. Diese Anforderungen der NIS2 und RCE Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.
EU
Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU RCE ebenfalls. Ab Oktober 2021 gab es einen leicht veränderten Kompromiss-Vorschlag des Europäischen Parlaments, im Mai 2022 konnte dann Einigkeit zwischen Kommission und Parlament erzielt werden. Das EU-Parlament hat am 10. November 2022 dem NIS2 Entwurf zugestimmt (T9-0383/2022), der Rat am 28. November 2022, womit NIS2 in Kraft ist.
EU-Mitgliedstaaten müssen bis Oktober 2024, innerhalb von 21 Monaten, die Regularien durch eigene Gesetzgebung in nationales Recht überführen.
Deutschland
EU NIS2 wird in Deutschland durch das NIS2-Umsetzungsgesetz in nationales Recht überführt. Das NIS2UmsuCG liegt seit April 2023 als Entwurf vor und soll im Laufe von 2023 die Gesetzgebung durchlaufen.
In Deutschland wird NIS2 zu einer deutlichen Erweiterung der erfassten Einrichtungen führen
und Befugnisse und Handlungsmöglichkeiten für die national zuständigen Behörden erweitert
werden.
Die deutsche KRITIS-Methodik von Anlagen soll beibehalten werden: das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritisverordnung berücksichtigt wird.
Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt. Das IT-Sicherheitsgesetz 2.0 nahm 2021 einige Änderungen von NIS2 schon vorweg.
Review
EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.
Zeitleiste
Version | Status | Datum | Akteur |
---|---|---|---|
NIS | Deadline nationale Umsetzung | Mai 2018 | Mitgliedstaaten |
NIS | EU-weite nationale Umsetzung | 2020 | Mitgliedstaaten |
NIS | Evaluation/review Roadmap | Jun 2020 | Kommission |
NIS | Open public consultation | 7-10/2020 | Kommission |
NIS2 | Impact Assessment (IA) | Okt 2020 | Kommission |
NIS2 | Feedback zum IA | Nov 2020 | Regulatory Scrutiny Board |
NIS2 | Entwurfsversion (Proposal) | Dez 2020 | Kommission |
NIS2 | Opinion zum Entwurf | Apr 2021 | EESC |
NIS2 | Deadline nationale Rückmeldungen | Mar 2021 | Nationale Parlamente |
NIS2 | Kompromissvorschlag NIS2 | Okt 2021 | EU Parlament |
NIS2 | Einigkeit NIS2 | Mai 2022 | EU Parlament + Kommission |
NIS2 | Zustimmung NIS2 | Nov 2022 | EU Parlament |
NIS2 | Annahme NIS2 | Nov 2022 | Rat der EU |
NIS2 | EU 2022/2555 | Dez 2022 | Amtsblatt |
DE NIS2 | Entwurf NIS2-Umsetzungsgesetz | Apr 2023 | Referentenentwurf |
NIS2 | Umsetzung national | bis Okt 24 | Mitgliedstaaten |
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
- EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation , Council of the EU, Press release, 28 November 2022
- EN OpenKRITIS EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ November, 2021 — in English
- The NIS2 Directive: A high common level of cybersecurity in the EU, EPRS - European Parliamentary Research Service, PE 689.333, 01 Dec 2021
- NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit, Heise Online 10/2021
- Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
- DIGITALEUROPE’s position on the NIS2 Directive, DIGITALEUROPE, 19 Mar 2021
- Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
- Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
- Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
- Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
- Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020
Quellen
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
- European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
- EU erzielt Einigung über neue Vorschriften für die Cybersicherheit kritischer Einrichtungen und Netze, Vertretung der EU in Deutschland, Pressemitteilung 13. Mai 2022
- COMPROMISE AMENDMENT 1 for NIS2 Directive, CA 1 for (2020)0823 - 2020/0359 (COD), Oktober 2021
- Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
- Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
- Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016