Der europäische Kontext

In der EU regulieren die EU NIS2 und EU RCE-Direktiven die Sicherheit Kritischer Infrastrukturen. Beide legen Mindeststandards fest, die ab 2024 in EU-Staaten in nationaler Gesetzgebung umgesetzt werden müssen. Der Kern von NIS2 ist Cyber­security, während sich RCE auf Resilienz und Krisen konzentriert.

NIS2 und RCE (CER) haben frühere EU-Regulierung (NIS und ECI) abgelöst und müssen bis Oktober 2024 in nationales Recht überführt werden. Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert und müssen zusammen mit den Cybersecurity- und Resilienz-Pflichten in nationales Recht überführt werden.

EU RCE wird in Deutschland bis 2024 vom KRITIS-Dachgesetz umgesetzt, EU NIS 2 vom deutschen NIS2-Umsetzungsgesetz. Beide sollen Oktober 2024 in Kraft treten. Die Lage in den EU-Mitgliedsstaaten ist noch sehr uneinheitlich – teilweise sind Entwürfe bekannt, in vielen Ländern ist die Gesetzgebung aber noch undurchsichtig.

KRITIS in der EU

Regulierung

NIS2 und RCE/CER regeln die Sicherheit von Betreibern in der EU mit ähnlicher Struktur und Methodik aber anderen Schwerpunkten und Zielen – NIS 2 Cyber Security und RCE Resilienz. Es gibt Überschneidungen zur KRITIS-Regulierung aber auch weitergreifende Regelungen.

Schutzziele

RCE reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.

NIS2 reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyber Angriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren.

Maßnahmen

Beide Direktiven verlangen von Betreibern präventive Maßnahmen und Störungs­meldungen:

RCE fordert Resilienz bei Betreibern durch Vorsorge, physische Sicherheit, Krisen-Management und BCM, personelle Sicherheit und Awareness.

NIS2 fordert Cyber Security bei Betreibern durch Policies, Incident und BCM, IT-Sicherheit in der Supply Chain und Einkauf, Asset Management, Kryptographie und sichere Kommunikation.

Betreiber

Beide Direktiven regulieren kritische Betreiber in teilweise deckungsgleichen EU-Sektoren mit deutlich einfacherer Methodik als die deutschen Schwellenwerte.

NIS2 legt betroffene Betreiber nach Unternehmensgröße (2003/361/EC) fest: ab 50 Mitarbeiter bzw. 10 Mio EUR Umsatz.

RCE fordert nationale Identifizierung der Betreiber durch die Staaten nach Risikoanalyse und disruptivem Effekt.

Aufsicht

RCE fordert in Mitglied­staaten eine Behörde für Resilienz, die Betreiber identifiziert, Aufsicht ausübt und Vorgaben zur Umsetzung macht.

NIS2 fordert in Mitglied­staaten eine Behörde für Cyber Security, ein CSIRT und Cyber Krisen-Management. Es soll starke nationale Aufsicht, Vorgaben und Enforcement geben.

Zusammenarbeit in der EU

RCE bindet die Kommission stark in die EU-weite Aufsicht für Resilienz ein und richtet zur Kooperation die CERG ein. Informationen werden auf EU-Ebene gesammelt.

NIS2 hat eine bestehende EU-Landschaft mit der ENISA, der Cooperation Group zur Kooperation, dem CSIRT-Netzwerk und EU-CyCLONe und der Kommission, mit viel Informations­austausch.

up

EU-Staaten

Die EU NIS2-Richtlinie muss von den EU-Mitglieds­staaten bis Oktober 2024 in nationales Recht umgesetzt werden. Der Umsetzungsstand variiert hierbei stark — einige Länder haben bereits Entwürfe verfasst haben und befinden sich im öffentlichen Diskurs:

Umsetzungsstatus von EU NIS2 in Mitgliedsstaaten, Stand Januar 2024
Informationen zu vielen (weiteren) Ländern fehlen noch
Land Status Besonderheiten
Belgien Ein Entwurf, laufende Konsultation Unterschiedliche Nachweis­erbringung, Nachweisfrist 18 Monate nach Inkrafttreten
Deutschland Drei Entwürfe, Abstimmung mit Wirtschaft und Verbänden Mehr Sektoren, KRITIS als zusätzliche Gruppe, teilweise Audits, keine Übergangs­fristen
Finnland Ein Entwurf, Konsultations­phase abge­schlossen Keine Nachweisfristen, Registrierungspflicht ab Januar 2025
Frankreich Kein Entwurf bekannt, FAQ zu Betroffenheit, Pflichten und weiteren Themen
Italien Kein Entwurf, Zeitplan unbekannt
Kroatien Finaler Entwurf veröffentlicht, Konsultationsphase abgeschlossen Viele Pflichten für wichtige Einrichtungen in abgemilderter Form, keine Meldepflicht 24/72h
Niederlande Erster Entwurf in Erarbeitung, Konsultationsphase voraussichtlich in Q1/2024, Evaluierungstool verfügbar
Österreich Kein Entwurf, Zeitplan unbekannt Umfangreiche FAQ-Seiten des Bundes, Förder­programm für KMUs
Schweden Entwurf im Februar 2024 erwartet
Tschechien Finaler Entwurf veröffentlicht, Konsultationsphase abgeschlossen Gesetz in zwei Teilen, viele Maßnahmen, Einrichtungen und strategisch wichtige Dienste

Die Informationslage (Januar 2024) ist eher uneinheitlich — bei vielen Ländern haben wir keine oder nur sehr wenige öffentlichen Informationen gefunden. Hier waren noch keine Fortschritte erkennbar: Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn und Zypern.

up

Kritische Sektoren in der EU

Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert — NIS2 reguliert zwei Gruppen, RCE eine Gruppe, die deutschen KRITIS-Sektoren sind teils ähnlich.

eigene Zusammenstellung EU NIS2 und RCE Sektoren
* - in NIS 2 teils unabhängig der Größe
** - deutsche Sonderfälle
✝ - von einigen RCE-Pflichten und Aufsicht ausgenommen
NIS2 EU RCE EU NIS2 Deutschland
Identifikation durch
Unternehmens­größe
Bestimmung Betreiber
durch den Staat
Identifikation durch
Unternehmens­größe
+ tw. Schwellenwerte
Annex I Critical Entities Anlage 1
Energie Energie Energie
Transport Transport Transport/Verkehr
Bankwesen Bankwesen✝ Finanz/Versicherung
Finanzmärkte Finanzmärkte✝ Finanz/Versicherung
Gesundheit Gesundheit Gesundheit
Trinkwasser Trinkwasser Wasser/Abwasser
Abwasser Abwasser Wasser/Abwasser
Digitale Infrastruktur* Digitale Infrastruktur✝ IT und TK
ICT Service Management - IT und TK
qTSP, TLD, DNS, TK**
Öffentliche Verwaltung* Öffentliche Verwaltung Zentralregierung**
Weltraum Weltraum Weltraum
KRITIS-Betreiber**
Annex II Anlage 2
Post und Kurier Post und Kurier
Abfallwirtschaft Entsorgung
Chemikalien Chemie
Lebensmittel Ernährung Lebensmittel
Industrie Verarbeitendes Gewerbe
Digitale Dienste Digitale Dienste
Forschung Forschung

up

Zeitleiste

NIS2 und RCE wurde Ende 2022 in der EU verabschiedet und müssen bis Oktober 2024 national umgesetzt werden.

Ablauf EU-Direktiven, Stand Oktober 2023
Version Status Datum Akteur
NIS 2 Entwurfsversion (Proposal) Dez 2020 Kommission
RCE/CER Entwurfsversion (Proposal) Dez 2020 Kommission
NIS 2 Kompromiss­vorschlag NIS 2 Okt 2021 EU Parlament
NIS 2 Einigkeit NIS 2 Mai 2022 EU Parlament + Kommission
NIS 2 Zustimmung NIS 2 Nov 2022 EU Parlament
RCE/CER Zustimmung RCE Nov 2022 EU Parlament
NIS 2 Annahme NIS 2 Nov 2022 Rat der EU
NIS 2 EU 2022/2555 Dez 2022 Amtsblatt
RCE/CER EU 2022/2557 Dez 2022 Amtsblatt
NIS 2 NIS2-Umsetzungsgesetz Okt 24 Deutschland
RCE KRITIS-Dachgesetz bis Okt 24 Deutschland
NIS 2 Umsetzung in der EU bis Okt 24 EU-Mitglied­staaten
RCE Umsetzung in der EU bis Okt 24 EU-Mitglied­staaten

Weitere Informationen

Literatur

  1. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  2. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021

Quellen

  1. EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation , Council of the EU, Press release ,28 November 2022
  2. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
  3. European Parliament legislative resolution of 22 November 2022 on the proposal for a directive of the European Parliament and of the Council on the resilience of critical entities, COM(2020)0829 – C9-0421/2020 – 2020/0365(COD), 22.11.2022