NIS2 Implementing Acts

Legal documents picture

Bestimmte Vorgaben aus EU NIS2 werden nicht nur in nationalem Recht umgesetzt, sondern durch die EU mit sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben nationale NIS2-Implementierungen wie das NIS2-Umsetzungsgesetz und konkretisieren Cybersecurity-Themen in NIS2 für bestimmte Einrichtungen:

  1. Cybersecurity Internet
  2. Alle Sektoren
  3. Erhebliche Vorfälle
  4. Mapping ISO 27001

Die Implementing Acts, auch Durchführungs­rechtsakte, werden durch die europäische Kommission erlassen – sie haben Vorrang vor nationalen Gesetzen und verändern diese in Einzelthemen und Sicherheits­vorgaben und Meldepflichten. Eine Durchführungsverordnung, (EU) 2024/2690, ist seit 2024 in Kraft.

eigene Zusammenstellung, Stand Oktober 2024
Implementing Act EU NIS2 NIS2 DE Kommission Status Roadmap
Cybersecurity Internet Art. 21 (5) UA 1 §30 (3) (EU) 2024/2690 in Kraft Oktober 2024
Alle Sektoren Art. 21 (5) UA 2 §30 (4) allgemein kann unklar
Erhebliche Vorfälle Art. 23 (11) §2 (2) (EU) 2024/2690 in Kraft Oktober 2024

Cybersecurity

Internet und Digitales

Die EU NIS2 Risikomanagement-Maßnahmen Art. 21 werden für bestimmte Internet-Provider verbindlich durch einen Implementing Act der Kommission konkretisiert. Der Implementing Act ist im Oktober 2024 als Durchführungsverordnung (EU) 2024/2690 in Kraft getreten.

Die Commission Regulation definiert für Internet- und IT-Provider im Annex, welche technischen und methodischen Anforderungen zu beachten sind. Art. 21 (5) UA 1

  • DNS-Provider und TLDs
  • Cloud Computing Provider und CDNs
  • Rechenzentrums-Dienste
  • Managed Service Provider und Managed Security Service Provider
  • Online-Marktplätze, Suchmaschinen und soziale Netzwerke
  • Trust Service Provider

Der Implementing Act hat nach §30 (3) BSIG Vorrang vor dem Gesetz und ist für die oben definierten Provider-Gruppen verbindlich. Die Sicherheitsmaßnahmen sind im Annex der Commission Implementing Regulation enthalten und definieren für die einzelnen Punkte aus Art. 21 (2) detaillierte Vorgaben. Aus unserem Mapping zu ISO 27001, KRITIS und NIS2 lassen sich die 159 Kontrollen gruppieren:

Zusammenfassung der Anforderungen aus dem Annex von (EU) 2024/2690.
Gruppe Kap. Anforderungen #
Management und Vorgaben 1
2
7
12		 Policy security of network and information systems
Risk management policy
Effectiveness of cybersecurity
Asset management		 8 Kontrollen
11 Kontrollen
3 Kontrollen
13 Kontrollen
Vorfallsmanagement 3 Incident Management 22 Kontrollen
Kontinuität 4 Business Continuity 14 Kontrollen
Lieferkette 5 Supply Chain 8 Kontrollen
IT-Sicherheit und Netzwerke 6
9
11		 Security in acquisition and development
Cryptography
Access control		 31 Kontrollen
3 Kontrollen
21 Kontrollen
Personalsicherheit 10
8		 Human resources security
Cyber hygiene		 10 Kontrollen
8 Kontrollen
Physische Sicherheit 13 Physical Security 9 Kontrollen

Im Vergleich mit ISO 27001 und KRITIS finden sich tiefere Anforderungen als in bisherigen Standards.

  • Starker Fokus auf Krisenmanagement, Business Continuity (BCM) und Vorsorge
  • Schwerpunkt auf Review- und Verbesserungen in allen Einzelthemen
  • Regelmäßiger expliziter Einbezug von Drittparteien und Externen
  • Einige sehr spezifische Anforderungen (Netzwerke, Accounts, Systeme)
  • Existierende ISMS-Controlsets werden erweitert und vertieft werden müssen
  • Manche Lücken könnten durch Management Systeme selbst abgefangen werden

Für betroffene Einrichtungen wird es Handlungsbedarf im ISMS geben.

up

Allgemeine Sektoren

Die EU NIS2-Direktive definiert in Art. 21 umfangreiche Maßnahmen zu Risikomanagement, die betroffene Einrichtungen umsetzen müssen. Diese Maßnahmen umfassen Themen von Policies über Incident Management bis Authentisierung und sind im deutschen NIS2-Gesetz in §30 definiert.

Nach Art. 21 (5) UAbs 2 der EU NIS2-Richtlinie kann die europäische Kommission über einen Implementing Act für alle Sektoren Cybersecurity-Maßnahmen regeln,

  • welche technischen und methodischen Anforderungen und
  • welche sektorspezifischen Anforderungen zu beachten sind.

Diese Anforderungen würden eine Konkretisierung der notwendigen Sicherheits­maßnahmen darstellen und für alle betroffenen besonders wichtigen und wichtigen Einrichtungen gelten.

Ein solcher Implementing Act hätte nach §30 (4) des NIS2-Umsetzungsgesetzes Vorrang gegenüber den in §30 (2) geforderten Risikomanagementmaßnahmen. Falls der Act erlassen wird, ist davon auszugehen, dass die Maßnahmen konkreter und detaillierter als im Gesetz beschrieben werden – zur Orientierung von Betreibern.

up

Meldepflichten

Erhebliche Vorfälle

Einrichtungen müssen in NIS2 erhebliche Sicherheitsvorfälle an nationale Behörden melden. Nach Art. 23 (11) der EU NIS2-Richtlinie muss die EU-Kommission bis Oktober 2024 einen Implementing Act erlassen, der definiert, wann ein Sicherheitsvorfall als erheblich einzustufen und damit zu melden ist.

Dies ist mit der EU-Durchführungsverordnung (EU) 2024/2690 seit 2024 umgesetzt.

Scope und Betroffenheit

Der Act gilt für DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke Durchführungsrechtsakte.

Für andere Sektoren und Einrichtungen sind diese Vorgaben nicht verbindlich, können aber als Orientierung für Kriterien von erheblichen Sicherheitsvorfällen dienen, speziell Art. 3.

Vorgaben

Neben den technisch-methodischen Vorgaben für Cloud in Art. 2 (+ Annex) definiert der Implementing Act allgemeine und Betreiber-spezifische Vorgaben für Sicherheitsvorfälle in Art. 2-14 Die Kriterien betreffen die Feststellung von erheblichen Sicherheitvorfällen, die mindestens meldepflichtig sind.

eigene Zusammenstellung aus (EU) 2024/2690, Stand Oktober 2024
* - je nachdem, welcher Wert kleiner ist
Betreiber Erhebliche Sicherheitsvorfälle
Vorfälle mit folgenden (möglichen) Konsequenzen:
Alle Betreiber
Art. 3
  • Finanzielle Verluste über 500 Tsd. EUR oder 5% vom Gesamtumsatz
  • Verlust von Geschäftsgeheimnissen
  • Tod oder möglicher Tod einer natürlichen Person
  • Schwere (mögliche) Gesundheitsschäden einer natürlichen Person
  • Maliziöser Zugriff auf Netz- und Informationssysteme
  • Wiederkehrende Vorfälle (Art. 4)
  • Betreiber-spezifische Vorfälle (Art. 5-14)
  • Nicht: Geplante Wartungsfenster und Unterbrechungen
Wiederkehrende Incidents
Art. 4
  • Zweimal in den letzten sechs Monaten
  • Anscheinend dieselbe Root-Cause
  • Haben zusammen die Auswirkungen der o.h. finanziellen Verlusten
DNS-Provider
Art. 5
  • Namensauflösung (DNS) für mehr als 30 Minuten nicht erreichbar
    rekursiv oder authoritativ
  • Antwortzeiten von über 10 Sekunden über einen Zeitraum von mehr als 1h
  • Schutzziele (C/I/A) von Domaindaten wurden verletzt durch Fehlkonfiguration
    bei über 1000 Domainnamen bzw. über 1% der vom Provider verwalteten Domains
TLD-Registries
Art. 6
  • Authoritative Namensauflösung (DNS) ist nicht erreichbar
  • Antwortzeiten von über 10 Sekunden über einen Zeitraum von mehr als 1h
  • Schutzziele (C/I/A) von Daten zum technischen Betrieb der TLD verletzt
Cloud-Provider
Art. 7
  • Cloud Computing Service nicht verfügbar für über 30 Minuten
  • Verfügbarkeit limitiert für mehr als 5% oder 1 Mio. Cloudnutzer in der EU*
  • Schutzziele (C/I/A) von Daten zum Cloudbetrieb durch maliziöse Handlungen verletzt
  • Schutzziele (C/I/A) von Daten zum Cloudbetrieb verletzt mit Auswirkungen mehr als 5% oder 1 Mio. Cloudnutzer in der EU*
Rechenzentren
Art. 8
  • Rechenzentrumsdienst eines Rechenzentrums ist komplett ausgefallen
  • Rechenzentrumsdienst eines Rechenzentrums ist für über eine Stunde nicht verfügbar
  • Schutzziele (C/I/A) von Daten des RZ-Dienstes durch maliziöse Handlungen verletzt
  • Physischer Zugang zum Rechenzentrum ist kompromittiert
CDN-Betreiber
Art. 9
  • Content Delivery Network ist für über 30 Minuten nicht verfügbar
  • Verfügbarkeit limitiert für mehr als 5% oder 1 Mio. Nutzer in der EU*
  • Schutzziele (C/I/A) von Daten zum CDN-Betrieb durch maliziöse Handlungen verletzt
  • Schutzziele (C/I/A) von Daten zum CDN-Betrieb verletzt mit Auswirkungen mehr als 5% oder 1 Mio. Nutzer in der EU*
MSP und MSSP
Art. 10
  • Managed Service ist für über 30 Minuten nicht verfügbar
  • Verfügbarkeit limitiert für mehr als 5% oder 1 Mio. Nutzer in der EU*
  • Schutzziele (C/I/A) von Daten zum CDN-Betrieb durch maliziöse Handlungen verletzt
  • Schutzziele (C/I/A) von Daten zum CDN-Betrieb verletzt mit Auswirkungen mehr als 5% oder 1 Mio. Nutzer in der EU*
Marktplätze
Art. 11
  • Marktplatz ist komplett nicht verfügbar für mehr als 5% oder 1 Mio. Nutzer in der EU*
  • Mehr als 5% oder 1 Mio. Nutzer in der EU von eingeschränkter Verfügbarkeit betroffen*
  • Schutzziele (C/I/A) von Betriebsdaten durch maliziöse Handlungen verletzt
  • Schutzziele (C/I/A) von Betriebsdaten verletzt mit Auswirkungen mehr als 5% oder 1 Mio. Nutzer in der EU*
Suchmaschinen
Art. 12
  • Suchmaschine ist komplett nicht verfügbar für mehr als 5% oder 1 Mio. Nutzer in der EU*
  • Mehr als 5% oder 1 Mio. Nutzer in der EU von eingeschränkter Verfügbarkeit betroffen*
  • Schutzziele (C/I/A) von Betriebsdaten durch maliziöse Handlungen verletzt
  • Schutzziele (C/I/A) von Betriebsdaten verletzt mit Auswirkungen mehr als 5% oder 1 Mio. Nutzer in der EU*
Soziale Netzwerke
Art. 13
  • Soziales Netzwerk komplett nicht verfügbar für mehr als 5% oder 1 Mio. Nutzer in der EU*
  • Mehr als 5% oder 1 Mio. Nutzer in der EU von eingeschränkter Verfügbarkeit betroffen*
  • Schutzziele (C/I/A) von Betriebsdaten durch maliziöse Handlungen verletzt
  • Schutzziele (C/I/A) von Betriebsdaten verletzt mit Auswirkungen mehr als 5% oder 1 Mio. Nutzer in der EU*
Trust Services
Art. 14
  • Trust Service nicht verfügbar für über 20 Minuten
  • Trust Service ist für Nutzer nicht erreichbar für mehr als eine Stunde
    calculated on a calendar week basis
  • Verfügbarkeit limitiert für mehr als 1% oder 200 Tsd. Nutzer in der EU*
  • Physischer Zugang sensiblen Netz- und Informationssystemen kompromittiert
  • Schutzziele (C/I/A) von Daten des TSP verletzt mit Auswirkungen mehr als 0,1% oder 100 Nutzer in der EU*

Status

Der Implementing Act C(2024) 7151 ist mit dem Implementing Act für Maßnahmen für Internet-Provider zusammengefasst und im Oktober 2024 in Kraft getreten.

Im deutschen NIS2-Umsetzungsgesetz darf das Innenministerium über §2 (2) mit einer Rechtsverordnung die Definition von erheblich regeln. Ein Implementing Act der EU hat gegenüber dieser Rechtsverordnung jedoch auch Vorrang.

up

Weitere Informationen

Quellen

  1. Durchführungsverordnung (EU) 2024/2690 der Kommission, Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555, 17. Oktober 2024
  2. Cybersecurity risk management & reporting obligations for digital infrastructure, providers and ICT service managers, Draft act 27 June 2024, European Commission
  3. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
  4. Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
  5. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
  6. Durchführungsverordnung der EU zur NIS-2 Richtlinie Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  7. DURCHFÜHRUNGSVERORDNUNG (EU)/DER KOMMISSION C(2024) 7151 final, EUR-Lex, Access to European Union law, 17/10/2024