NIS2 Implementing Acts

Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch die EU mit sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2:

  1. Risiko-Management
  2. Internet/Digitales
  3. Meldepflichten
  4. Roadmap

Die Implementing Acts, auch Durchführungs­rechtsakte, werden in der EU durch die europäische Kommission erlassen – sie haben dann Vorrang vor nationalen Verordnungen und Gesetzen. Nationale Vorgaben aus lokaler Umsetzung werden dann in Einzelthemen verändert, so Teile bestimmter Sicherheits­vorgaben und Meldepflichten.

Im Frühling 2024 ist noch kein Implementing Act bekannt.

Cybersecurity

Risiko-Management

Die EU NIS2-Direktive definiert in Art. 21 umfangreiche Maßnahmen zu Risikomanagement, die betroffene Einrichtungen umsetzen müssen. Diese Maßnahmen umfassen Themen von Policies über Incident Management bis Authentisierung und sind im deutschen NIS2-Gesetz in §30.

Nach Art. 21 (5) UAbs 2 der EU NIS2-Richtlinie kann die europäische Kommission über einen Implementing Act für Cybersecurity-Maßnahmen regeln,

Diese Anforderungen würden eine Konkretisierung der notwendigen Sicherheits­maßnahmen darstellen und für alle betroffenen besonders wichtigen und wichtigen Einrichtungen gelten.

Ein solcher Implementing Act hätte nach §30 (4) des NIS2-Umsetzungsgesetzes Vorrang gegenüber den in §30 (2) geforderten Risikomanagementmaßnahmen. Falls der Act erlassen wird, ist davon auszugehen, dass die Maßnahmen konkreter und detaillierter als im Gesetz beschrieben werden – zur Orientierung von Betreibern.

up

Internet und Digitales

Die in NIS2 in Art. 21 beschriebenen Risikomanagement-Maßnahmen für Einrichtungen müssen durch die europäische Kommission bis Oktober 2024 für bestimmte Internet-Provider konkretisiert werden. Art. 21 (5) UAbs 1

Dieser Implementing Act konkretisiert die Cybersecurity-Maßnahmen:

Der Implementing Act soll gelten für:

Der Implementing Act hätte dann nach §30 (3) des NIS2-Umsetzungsgesetzes Vorrang vor dem Gesetz.

Hier scheint ein Fehler im Gesetzesentwurf zu sein, da der Implementing Act im Entwurf Vorrang gegen­über §30 (1) aber nicht §30 (2), den Maßnahmen, haben soll.

up

Meldepflichten

Meldungen

Einrichtungen müssen in NIS2 erhebliche Sicherheitsvorfälle an nationale Behörden melden. Nach Art. 23 (11) UAbs 2 der EU NIS2-Richtlinie muss die EU-Kommission bis Oktober 2024 einen Implementing Act erlassen, der definiert, wann ein Sicherheitsvorfall als erheblich einzustufen und damit zu melden ist.

Er soll mindestens für DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke Durchführungsrechtsakte gelten. Der Geltungsbereich könnte auch auf andere besonders wichtige und wichtige Einrichtungen erweitert werden.

Im deutschen NIS2-Umsetzungsgesetz darf das Innenministerium über §2 (2) mit einer Rechtsverordnung die Definition von erheblich regeln. Ein Implementing Act der EU hätte gegenüber dieser Rechtsverordnung jedoch auch Vorrang.

up

Roadmap

Implementing Acts ab wann?

Die Implementing Acts sind in der EU-Direktive NIS2 und den Gesetzesentwürfen erwähnt. Diverse Fristen sind bekannt, die Implementing Acts selbst jedoch noch nicht.

eigene Zusammenstellung, Stand März 2024
Implementing Act NIS2-Gesetz Für wen Status
Cybersecurity-Maßnahmen §30 (4) alle Einrichtungen unklar, offen
Cybersecurity Internet §30 (3) Internet/Digitale unklar, bis Oktober 2024
Erhebliche Vorfallsmeldungen §2 (2) alle Einrichtungen unklar, bis Oktober 2024

up

Weitere Informationen

Quellen

  1. DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
  2. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
  3. Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
  4. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament