EU NIS 2 Cybersecurity

EU and Europe picture

EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cybersecurity-Mindeststandards in der EU fest. NIS2 erweitert Betroffenheit und Pflichten deutlich – bis 2024 müssen EU-Mitglieds­staaten NIS2 in lokale Gesetze überführen und Unternehmen (Einrichtungen) regulieren.

  1. Unternehmen
  2. Cybersecurity
  3. Aufsicht
  4. EU-Kooperation
  5. Roadmap
  6. in English

NIS2 (EU 2022/2555) ist seit Anfang 2023 in der EU in Kraft, Staaten müssen diesen Mindeststandard von NIS2 durch nationale Gesetze verbindlich machen. In Deutschland geschieht dies mit dem NIS2-Umsetzungsgesetz, das mit leichten Abweichungen und deutschen Anpassungen wahrscheinlich ab Oktober 2024 in Kraft tritt.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Registrierung über LinkedIn ∙ 27. February 2024 9:30

Skyline picture

NIS2 und KRITIS-Dachgesetz: Was kommt auf Unternehmen zu?

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2024
Deutsch ∙ PDF ∙ Juli 2024 ∙ OpenKRITIS-Briefing

English version of this page available at EU NIS2 and RCE.

Die NIS-2 Direktive

Neuerungen

Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS-Direktive von 2016 mit deutlich mehr Betroffenheit, Pflichten und Aufsicht in der EU:

Die nationalen Umsetzungen können leicht hiervon abweichen, so auch in Deutschland.

up

Betreiber und Sektoren

EU NIS2 definiert zwei Gruppen von Einrichtungen (Entities), die in achtzehn Sektoren in der EU kritische Dienstleistungen erbringen und nach Größe reguliert werden. Art. 2 Art. 3

Entities Größe Sektoren
 I  Essential Entities Groß (large)
Sonderfälle
elf
alle
Annex I
Annex I/II
II Important Entities Groß (large)
Mittel (medium)
sieben
alle
Annex II
Annex I/II

Die Unterschiede zwischen Essential und Important Entities (Einrichtungen) beziehen sich in NIS2 vor allem auf den Umfang der staatlichen Aufsicht und Sanktionen. Nationale Gesetze weichen teilweise von den EU-Betreiber- und Sektor-Definitionen ab. Im deutschen NIS2-Umsetzungsgesetz sind Einrichtungen und Sektoren etwas anders definiert.

Schwellenwerte

Die Betroffenheit wird in NIS2 nach der size-cap Regel festgestellt – reguliert werden mittlere und große Unternehmen der achtzehn Sektoren nach Größe gemäß 2003/361/EC:

Unternehmen FTE Umsatz Bilanz Entities
G Groß (large) ≥ 250
> 50 Mio. EUR und/oder > 43 Mio. EUR I
M Mittel (medium) < 250
≤ 50 Mio. EUR und/oder ≤ 43 Mio. EUR II oder I
S Klein (small) < 50
≤ 10 Mio. EUR und/oder ≤ 10 Mio. EUR nicht reguliert

EU NIS2 greift hier auf eine Definition von Small and Medium Enterprises (SMEs, deutsch KMU) zurück, die sich von Großunternehmen abgrenzen. Mittlere sind ein Teil der Definition.

Essential Entities

Neben großen Einrichtungen G aus den Annex I Sektoren (Essential) werden bestimmte Einrichtungen und Branchen unabhängig der Größe als Essential Entity in NIS2 reguliert:

Important Entities

Important Entities sind Einrichtungen aus Annex II (Important) und Annex I (Essential):

Sektoren

NIS2 definiert in Annex I und II der EU-Direktive achtzehn betroffene NIS2 Sektoren. Die deutsche NIS2-Umsetzung weicht leicht von diesen Sektoren ab.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 1
* - in NIS2 teils unabhängig der Größe
NIS2-Sektoren Inhalt DE NIS2
Annex I Sektoren (Essential)
Energie Elektrizität
Fernwärme
Erdöl
Erdgas
Wasserstoff
Energie



Transport
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr
Transport/Verkehr
Bankwesen Kreditinstitute Finanzwesen
Finanzmärkte Handelsplätze
Zentrale Gegenpartien
Finanzwesen
Gesundheit Gesundheits­dienstleister
EU Labore
Medizinforschung
Pharmazeutik
Medizingeräte
Gesundheit
Trinkwasser Wasserversorgung Wasser
Abwasser Abwasserentsorgung Wasser
Digitale Infrastruktur Internet-Knoten (IXP)
DNS (ohne Root)*
TLD Registries*
Cloud Provider
Rechenzentren
CDNs
Vertrauensdienste (TSP)*
Elektronische Kommunikation*
Digitale Infrastruktur
ICT Service Management
im B2B
Managed Service Providers
Managed Security Service Providers
Digitale Infrastruktur
Öffentliche Verwaltung Zentralregierung*
Regionale Regierung*
Bundesverwaltung
Weltraum Bodeninfrastruktur Weltraum
Annex II Sektoren (Important)
Post und Kurier Postdienste Transport
Abfall Abfallbewirtschaftung Entsorgung
Chemikalien Produktion, Herstellung und Handel Chemie
Lebensmittel Produktion, Verarbeitung und Vertrieb Ernährung
Industrie (Herstellung)
NACE-Kategorien
Medizinprodukte und In-vitro
DV (Computer), Elektronik, Optik
Elektrische Ausrüstung
Maschinenbau
Kraftwagen und Teile
Fahrzeugbau
Verarbeitendes Gewerbe
Digitale Dienste Marktplätze
Suchmaschinen
Soziale Netzwerke
Digitale Dienste
Forschung Forschungsinstitute Forschung

Ausschlüsse

Von NIS2 nicht betroffen sind folgende Unternehmen:

up

Cybersecurity

Die EU NIS2-Direktive legt für Essential und Important Entities Mindest­anforderungen an Cyber Security fest, deren Einhaltung die Geschäftsführung von Einrichtungen nach nationaler Gesetzgebung überwachen und dafür haftbar gemacht werden soll. Art. 20

Maßnahmen

Einrichtungen in der EU müssen mindestens folgende Cybersecurity-Maßnahmen (Risiko-Management) umsetzen, um IT und Netzwerke ihrer Dienstleistungen zu schützen: Art. 21

Bei der Auswahl der Maßnahmen sollen Einrichtungen einen Allgefahren­ansatz (all hazards approach) einsetzen.

Implementing Acts

Bestimmte Vorgaben aus EU NIS2 können durch in Implementing Acts der Europäischen Kommission, Durchführungs­rechtsakten, konkretisiert werden.

Standards

Für Cybersecurity-Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitglied­staaten Einrichtungen dabei die Nutzung von EU Cyber Security Zertifizierungen und zertifizierten Produkten vorschreiben. Art. 24 Art. 25

Meldewesen

Einrichtungen müssen ihre nationale Cybersecurity-Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ebenfalls wo möglich die Empfänger (Kunden) ihrer Dienstleistungen. Art. 23 EU-Mitglied­staaten sollen den Austausch von Informationen zwischen Einrichtungen fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 29 Art. 30

Registrierung

Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25

up

Nationale Aufsicht

Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und die Governance für Cyber Security in den Mitglieds­staaten fest. Mitglied­staaten steht es frei, über die NIS2Anforderungen mit eigener Regulierung hinaus­zugehen. Art. 5

Sektoren und Betreiber

Bestehende und sektor-spezifische Regulierung soll bestehen bleiben, wenn äquivalent; fehlende Sektoren müssen dann aber von NIS2-Regelungen abgedeckt werden. Art. 4

Mitglied­staaten müssen bis April 2025 Listen über Einrichtungen von important und essential services erstellen und an die EU Kommission melden. Art. 3

Nationale Cyber Security Strategien

Mitglied­staaten müssen eine nationale Cyber-Sicherheits­strategie (NCSS) als Rahmen der Cybersecurity-Regulierung definieren und mit angemessener Aufsicht umsetzen, dazu gehören diverse nationale Pläne und Verbesserungs­vorhaben. Art. 7

Behörden

Mitglied­staaten sollen Behörden im eigenen Land für Cybersecurity-Aufgaben designieren und ermächtigen:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland die NIS2 Competent Authority.

Governance

NIS2 schreibt umfangreiche nationale Aufsicht in Mitglied­staaten vor. Art. 31

Die Liste der Befugnisse der nationalen Behörden bei Essential Einrichtungen umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions: Art. 32 Art. 29

Die Aufsichtspflichten für Important Einrichtungen lehnen sich an diese an und sind (nur noch) leicht abgeschwächt. Art. 33

Sanktionen

Für Verstöße gegen die Anforderungen von NIS2 sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 34 Art. 35 Art. 36

Incidents und Meldungen

Für die Bewältigung von Cyber Security Incidents sollen Mitglied­staaten ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 10 Art. 11 Art. 13

Nationale Behörden müssen sicherstellen, dass die nationalen CSIRTs in Meldungen involviert sind, und bei grenz­überschreitenden Vorfällen die Single Points of Contact in anderen Mitglied­staaten einzubinden. Art. 23

Domains und TLDs

Mitglied­staaten sollen Registrierungsdaten von TLD-Registries und Domain-Registries erfassen — dies umfasst eine Datenbank an Domain-Namen, Namen und Kontaktdaten der Registranten. Weiterhin gibt es striktere Regeln zur Erfassung und Aktualisierung von Daten innerhalb der Registries. Art. 28

up

Zusammenarbeit in der EU

Kooperation

Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitglied­staaten. Dabei tauschen sich Vertreter der Mitglied­staaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 14

Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Krisen. Die EU darf auch internationale Vereinbarungen zur Zusammenarbeit eingehen. Art. 16 Art. 17

Cyber Security

Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 18

Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitglied­staaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 19

Die Sicherheit von Lieferketten, IT-Diensten und Systemen soll von der Cooperation Group und der Kommission untersucht und kritische Ergebnisse identifiziert werden. Art. 22

Informationsaustausch

Die nationalen CSIRTs sollen im EU-Netzwerk Informationen zu Incidents, Krisen und Fähigkeiten austauschen. Das CSIRT-Netzwerk dient auch zu tieferer Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 15

Territorialität und Jurisdiktion

Die Zuständigkeit für Einrichtungen in den Important und Essential Sektoren bleibt national – Einrichtungen fallen unter die nationale Jurisdiktion und Behörde(n), wo sie etabliert sind.

Es gibt jedoch in manchen Fällen auch zentrale Zuständigkeit einzelner nationaler Behörden für Einrichtungen, die EU-weit tätig sind: Art. 26

Bei europäischen Einrichtungen, die Dienste in mehreren Mitglied­staaten anbieten oder deren IT in mehreren Mitglied­staaten ist, sollen die nationalen Aufsichtsbehörden zusammenarbeiten oder, wo notwendig, gemeinsame Aufsicht ausüben. Art. 37

Datenbanken und Register

Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitglied­staaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 12

Die ENISA soll ein Register von Anbietern digitaler Dienste aufbauen: DNS-Provider, TLD-Registries, Domain-Registries, Cloud-Provider, Rechenzentren, CDN-Provider, Managed Service Provider, Managed Security Service Provider, Online Marktplätze, Suchmaschinen und Soziale Netzwerke. Die Mitglied­staaten sollen über ihre Behörden und Single Points of Contact Informationen über diese Einrichtungen an die ENISA schicken, unter anderem Namen, Sektor, Registrierungs­daten, Marktgebiet und IP-Ranges. Art. 27

up

Roadmap

Gesetzgebung

Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitglied­staaten fest. Diese Anforderungen der NIS2 und RCE Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.

EU

Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU RCE ebenfalls. Ab Oktober 2021 gab es einen leicht veränderten Kompromiss-Vorschlag des Europäischen Parlaments, im Mai 2022 konnte dann Einigkeit zwischen Kommission und Parlament erzielt werden. Das EU-Parlament hat am 10. November 2022 dem NIS2 Entwurf zugestimmt (T9-0383/2022), der Rat am 28. November 2022, womit NIS2 in Kraft ist.

EU-Mitglied­staaten müssen bis Oktober 2024, innerhalb von 21 Monaten, die Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

EU NIS2 wird in Deutschland durch das NIS2-Umsetzungsgesetz in nationales Recht überführt.

In Deutschland wird NIS2 zu einer deutlichen Erweiterung der erfassten Einrichtungen führen und Befugnisse und Handlungs­möglichkeiten für die national zuständigen Behörden erweitert werden. Die deutsche KRITIS-Methodik von Anlagen soll beibehalten werden: das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritisverordnung berücksichtigt wird.

Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt. Das IT-Sicherheitsgesetz 2.0 nahm 2021 einige Änderungen von NIS2 schon vorweg.

Review

EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.

Zeitleiste

Ablauf NIS und NIS2-Direktiven, Stand November 2022
aus: EU PE 689.333.
Version Status Datum Akteur
NIS Deadline nationale Umsetzung Mai 2018 Mitglied­staaten
NIS EU-weite nationale Umsetzung 2020 Mitglied­staaten
NIS Evaluation/review Roadmap Jun 2020 Kommission
NIS Open public consultation 7-10/2020 Kommission
NIS2 Impact Assessment (IA) Okt 2020 Kommission
NIS2 Feedback zum IA Nov 2020 Regulatory Scrutiny Board
NIS2 Entwurfsversion (Proposal) Dez 2020 Kommission
NIS2 Opinion zum Entwurf Apr 2021 EESC
NIS2 Deadline nationale Rückmeldungen Mar 2021 Nationale Parlamente
NIS2 Kompromiss­vorschlag NIS2 Okt 2021 EU Parlament
NIS2 Einigkeit NIS2 Mai 2022 EU Parlament + Kommission
NIS2 Zustimmung NIS2 Nov 2022 EU Parlament
NIS2 Annahme NIS2 Nov 2022 Rat der EU
NIS2 EU 2022/2555 Dez 2022 Amtsblatt
NIS2 Umsetzung national bis Okt 24 Mitglied­staaten

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
  3. SME User Guide, European Commission, 2020
  4. EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation , Council of the EU, Press release, 28 November 2022
  5. EN OpenKRITIS EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ November, 2021 — in English
  6. The NIS2 Directive: A high common level of cybersecurity in the EU, EPRS - European Parliamentary Research Service, PE 689.333, 01 Dec 2021
  7. NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit, Heise Online 10/2021
  8. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  9. DIGITALEUROPE’s position on the NIS2 Directive, DIGITALEUROPE, 19 Mar 2021
  10. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
  11. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
  12. Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  13. Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
  14. Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020

Quellen

  1. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
  2. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
  3. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
  4. EU erzielt Einigung über neue Vorschriften für die Cyber­sicherheit kritischer Einrichtungen und Netze, Vertretung der EU in Deutschland, Pressemitteilung 13. Mai 2022
  5. COMPROMISE AMENDMENT 1 for NIS2 Directive, CA 1 for (2020)0823 - 2020/0359 (COD), Oktober 2021
  6. Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
  7. Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
  8. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016