NIS-2: Wie weit sind die europäischen Länder mit der Umsetzung der Richtlinie?
Veröffentlicht am 21. November 2024
- Cyber Security
Die NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit muss von allen EU-Mitgliedstaaten in nationales Recht überführt werden.
Cyberkriminelle werden durch die Entwicklung besserer Werkzeuge zunehmend effizienter und haben eine immer größere Zahl von Organisationen im Visier, die oft nur unzureichend darauf vorbereitet sind. NIS-2 stärkt das NIS-Framework für mehr Sicherheit. Diese neue europäische Verordnung erweitert den Kreis der betroffenen Einrichtungen erheblich. Sie gilt für Unternehmen unterschiedlichster Branchen und Größen – vom Mittelstand bis hin zu Großkonzernen. Dieser erweiterte Geltungsbereich stellt zweifellos eine Herausforderung für die nationalen Behörden dar, die den Text umsetzen und Sicherheitsanforderungen für ein breites Spektrum von Organisationen definieren müssen.
Trotz der von der Europäischen Kommission gesetzten Umsetzungsfrist bis zum 17. Oktober 2024 haben die EU-Mitgliedstaaten bislang unterschiedliche Fortschritte erzielt. Zudem haben sie zum Teil unterschiedliche Umsetzungsansätze gewählt (z.B. öffentliche versus geschlossene Konsultationen, Abstimmung mit bereits bestehendem nationalem Recht sowie unterschiedliche Intensität der Kommunikation einschließlich der Bereitstellung von Online-Tools für die betroffenen Stellen).
In diesem Artikel wird der Stand der Umsetzung in den einzelnen EU-Mitgliedstaaten mit Stand 18. Oktober 2024 verglichen.
Unterschiedliche Fortschritte bei der Umsetzung
Diese Karte, die am 18. Oktober 2024 aktualisiert wurde, zeigt die verschiedenen Reifegrade aller europäischen Länder in Bezug auf die NIS2-Richtlinie.
Reifegrad 1 : Geringer Fortschritt oder begrenzte Informationen zum Umsetzungsprozess
Die betroffenen Länder sind : Vereinigtes Königreich, Spanien
Reifegrad 2 : Fortgeschrittener Stand der Umsetzung mit wichtigen Zwischenergebnissen
Die betroffenen Länder sind : Schweden, Irland, Niederlande, Portugal, Estland, Polen, Slowakei, Slowenien, Bulgarien, Griechenland, Zypern, Malta
Reifegrad 3 : Laufende Prüfung eines Gesetzentwurfs durch die gesetzgebenden Behörden
Die betroffenen Länder sind : Dänemark, Luxemburg, Frankreich, Österreich, Finnland, Deutschland, Tschechische Republik, Rumänien
Reifegrad 4 : Gesetz verabschiedet
Die betroffenen Länder sind : Belgien, Italien, Lettland, Litauen, Ungarn, Kroatien
Länder mit Reifegrad 4
Diese Karte, die am 18. Oktober 2024 aktualisiert wurde, zeigt die verschiedenen Reifegrade aller europäischen Länder in Bezug auf die NIS2-Richtlinie.
Länder mit Reifegrad 4 sind Länder, die ihre NIS2-Umsetzung vor dem Stichtag der Europäischen Kommission genehmigt haben.
Die betroffenen Länder sind : Belgien, Italien, Lettland, Litauen, Ungarn, Kroatien
Belgien
- Das Gesetz wurde am 18. April 2024 vom Bundesparlament verabschiedet, und die Durchführungsverordnung, die die praktischen Details der Umsetzung festlegt, wurde am 9. Juni 2024 unterzeichnet.
- Das Gesetz trat am 18. Oktober 2024 in Kraft, wobei die Umsetzungsfristen zwischen 5 und 30 Monaten variieren.
- Die Sicherheitsmaßnahmen basieren auf dem CyFun®-Standard der CCB.
Italien
- Das Gesetzesdekret Nr. 138 zur Umsetzung der NIS-2-Richtlinie wurde am 4. September verabschiedet und trat am 16. Oktober 2024 in Kraft.
- Nach Validierung ihrer Registrierung durch die ACN haben die betroffenen Einrichtungen 9 Monate Zeit, um die Meldepflicht für Vorfälle umzusetzen, und 18 Monate für die Implementierung der Sicherheitsmaßnahmen.
Lettland
- Das nationale Cybersicherheitsgesetz wurde am 20. Juni vom Parlament verabschiedet und trat am 1. September 2024 in Kraft.
- Die betroffenen Einrichtungen müssen sich bis zum 1. April 2025 registrieren und ab dem 1. Juli 2025 mit der Meldung von Vorfällen beginnen.
Litauen
- Das Cybersicherheitsgesetz Nr. XII-1428 wurde am 11. Juli verabschiedet und trat am 17. Oktober 2024 in Kraft.
- Die Regierung muss die Durchführungsbestimmungen zu diesem Gesetz noch erlassen.
Ungarn
- Am 15. Mai 2023 verabschiedete das ungarische Parlament das Gesetz XXIII über Cybersicherheitszertifizierung und Cybersicherheitsaufsicht.
- Das Gesetz wurde anschließend durch eine Verordnung ergänzt, die Kriterien zur Informationssicherheits-Klassifizierung sowie die damit verbundenen Sicherheitsmaßnahmen für jede Stufe festlegt.
- Bis Ende 2024 müssen die betroffenen Einrichtungen eine Prüfstelle aus der von der Behörde bereitgestellten Liste auswählen und melden. Ein erstes Audit muss spätestens bis zum 31. Dezember 2025 durchgeführt werden, danach folgen Prüfungen im Zweijahresrhythmus.
Kroatien
- Das am 15. Februar 2024 in Kraft getretene kroatische Cybersicherheitsgesetz (CSA oder Zakon o kibernetičkoj sigurnosti Nr. 14/2024) setzt die NIS-2-Richtlinie teilweise um.
- Die zuständigen Behörden der jeweiligen Sektoren müssen die vom Gesetz betroffenen Einrichtungen spätestens bis Februar 2025 benachrichtigen. Diese Einrichtungen haben danach eine gesetzliche Frist von 30 Tagen für die Meldung ihrer Sicherheitsvorfälle und ein Jahr Zeit, um die übrigen Anforderungen zu erfüllen.
- Für die vollständige Umsetzung der NIS-2-Richtlinie muss die kroatische Regierung noch weitere Verordnungen erlassen.
Länder mit Reifegrad 3
Diese Karte, die am 18. Oktober 2024 aktualisiert wurde, zeigt die verschiedenen Reifegrade aller europäischen Länder in Bezug auf die NIS2-Richtlinie.
Länder mit dem Reifegrad 3 sind solche, die im Umsetzungsprozess deutlich vorangekommen sind (Gesetzesentwurf wird derzeit den gesetzgebenden Instanzen vorgeschlagen).
Die betroffenen Länder sind : Dänemark, Luxemburg, Frankreich, Österreich, Finnland, Deutschland, Tschechische Republik, Rumänien
Dänemark
Im Juli 2024 hat das Verteidigungsministerium einen Gesetzentwurf zur öffentlichen Konsultation vorgelegt, der die Umsetzung von NIS-2 in verschiedenen Sektoren vorsieht (ausgenommen Energie, Telekommunikation und Finanzen). Für diese drei Sektoren werden entsprechende Gesetzentwürfe entweder derzeit geprüft oder wurden bereits vom Parlament verabschiedet.
Luxemburg
- Ein Gesetzentwurf wurde am 13. März 2024 in der Abgeordnetenkammer eingereicht, die dazu Stellung nahm. Auch der Staatsrat veröffentlichte im Oktober 2024 seine Stellungnahme. Diese enthalten Empfehlungen und Klärungsbedarf, etwa zur Präzisierung von Fristen und sanktionierbaren Verhaltensweisen.
- Das luxemburgische Regulierungsinstitut organisiert zudem regelmäßig öffentliche Informationsveranstaltungen.
Frankreich
- Die Umsetzung von NIS-2 ist durch einen Gesetzentwurf zur Resilienz geplant, der auch die Umsetzung der Richtlinien zur Resilienz kritischer Einrichtungen (CER) und DORA vorsieht.
- Nach Auflösung der Nationalversammlung im Juni 2024 wurde der Zeitplan angepasst. Das Projekt wurde am 15. Oktober 2024 dem Ministerrat vorgelegt, die weiteren Schritte liegen nun beim Parlament.
Österreich
Der erste Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie wurde am 4. Juli 2024 vom Nationalrat abgelehnt. Daraufhin wurde der Text überarbeitet und im September 2024 dem Nationalrat erneut vorgelegt.
Finnland
- Ein Gesetzentwurf liegt dem Parlament seit Mai 2024 vor.
- Die Verpflichtungen für Privatunternehmen und jene für den öffentlichen Sektor sollen in zwei separaten Gesetzen geregelt werden. Entsprechend werden zwei Aufsichtsbehörden für die Überwachung dieser Einrichtungen zuständig sein.
Deutschland
- Die 5. Version des Umsetzungsgesetzes (NIS2UmsuCG) wurde am 24. Juli 2024 von der Bundesregierung angenommen und muss noch vom Bundesparlament verabschiedet werden.
- Diese Regelungen werden das IT-Sicherheitsgesetz 2.0, das aktuelle deutsche Gesetz für kritische Einrichtungen, verstärken.
Tschechische Republik
- Der Entwurf des Umsetzungsgesetzes wurde am 17. Juli 2024 von der Regierung gebilligt und dem Parlament vorgelegt. Nach der Zustimmung der Abgeordnetenkammer muss das Gesetz noch vom Senat verabschiedet und vom Staatspräsidenten unterzeichnet werden.
- Begleitend dazu wurden drei Verordnungsentwürfe vorgelegt, die unter anderem die Sicherheitsvorschriften und Registrierungsverfahren für die betroffenen Einrichtungen konkretisieren.
Rumänien
Der Gesetzentwurf wurde am 15. August 2024 in das Parlament eingebracht. Dieses Gesetz wird das bestehende Gesetz (Gesetz 362/2018) aufheben.
Länder mit Reifegrad 1 und 2
Diese Karte, die am 18. Oktober 2024 aktualisiert wurde, zeigt die verschiedenen Reifegrade aller europäischen Länder in Bezug auf die NIS2-Richtlinie.
Länder mit den Reifegraden 1 und 2 sind solche, die sich am Anfang (1) oder in der Mitte (2) des Umsetzungsprozesses befinden.
Reifegrad 1 : Geringer Fortschritt oder begrenzte Informationen zum Umsetzungsprozess
Die betroffenen Länder sind : Vereinigtes Königreich, Spanien
Reifegrad 2 : Fortgeschrittener Stand der Umsetzung mit wichtigen Zwischenergebnissen
Die betroffenen Länder sind : Schweden, Irland, Niederlande, Portugal, Estland, Polen, Slowakei, Slowenien, Bulgarien, Griechenland, Zypern, Malta
Schweden
Ein von der Regierung eingesetzter Untersuchungsausschuss zur Anpassung von NIS-2 an das schwedische Recht legte im März 2024 einen Bericht vor. Eine seiner Empfehlungen war, das Gesetz 2018:1174 zur Umsetzung von NIS-1 durch ein neues Gesetz zu ersetzen, um die Weiterentwicklungen der Richtlinie besser zu integrieren.
Irland
Ein Gesetzentwurf wird derzeit erarbeitet. Die Eckpunkte des Entwurfs wurden im September 2024 auf der Website des Ministeriums für Umwelt, Klima und Kommunikation (DECC) veröffentlicht.
Vereinigtes Königreich
Trotz EU-Austritt beabsichtigt das Vereinigte Königreich, eigene NIS-Vorschriften zu entwickeln.
Niederlande
Die Umsetzung würde eine Änderung des aktuellen Wbni-Gesetzes erfordern. Ein Gesetzentwurf wurde von Mai bis Juni 2024 zur öffentlichen Konsultation vorgelegt.
Portugal
Der Ministerrat billigte am 24. Oktober 2024 einen ersten Gesetzentwurf, der vor der Einbringung ins Parlament im November einer öffentlichen Konsultation unterzogen wird.
Spanien
Spanien führte Ende 2023 eine öffentliche Konsultation durch. Das Nationale Kryptologische Zentrum (CNN-CERT) veröffentlichte im April 2024 ein Compliance-Profil, um Unternehmen bei der Vorbereitung auf die Umsetzung zu unterstützen.
Estland
Nach einer Reihe öffentlicher Konsultationen im Juni 2023 wird Estland voraussichtlich in naher Zukunft einen Änderungsentwurf zum Cybersicherheitsgesetz von 2018 im Parlament vorlegen.
Polen
Ein Gesetzentwurf zur Änderung des bestehenden Gesetzes über das Nationale Cybersicherheitssystem wurde bis Mai 2024 zur öffentlichen Konsultation gestellt.
Slowakei
Die Umsetzung von NIS-2 erfordert eine Aktualisierung des aktuellen Cybersicherheitsgesetzes Nr. 69. Ein Änderungsentwurf wurde von der Nationalen Sicherheitsbehörde am 30. Mai 2024 zur interministeriellen Abstimmung eingereicht.
Slowenien
Der Gesetzentwurf wurde im Februar und erneut im Mai 2024 zur öffentlichen Konsultation vorgelegt.
Bulgarien
Die Änderungen am Cybersicherheitsgesetz von 2018 wurden im Sommer 2024 zur öffentlichen Konsultation gestellt.
Griechenland
Die Umsetzung von NIS-2 erfolgt durch einen Gesetzentwurf, der das Gesetz Nr. 4577/2018 aufheben und ersetzen wird. Der Minister für Digitale Verwaltung stellte diesen Entwurf am 28. August 2024 dem Ministerrat vor.
Zypern
Ende 2023 gab die Behörde für digitale Sicherheit (DSA) die geplanten Änderungen am Netz- und Informationssystemsicherheitsgesetz Nr. 89 aus 2020 öffentlich bekannt.
Malta
Ein Gesetzentwurf wurde von September bis Oktober 2024 zur öffentlichen Konsultation freigegeben.
Fokus auf ausgewählte europäische Länder
Reifegrad = 3
Der NIS-2-Gesetzentwurf (NIS2UmsuCG) wurde am 24. Juli 2024 von der Bundesregierung gebilligt. Vor Inkrafttreten, was für März 2025 erwartet wird, muss er jedoch noch vom Bundestag verabschiedet werden.
Wichtige Meilensteine
- April 2023: erste Fassung des Gesetzentwurfs
- Juli 2023: zweite Fassung des Gesetzentwurfs
- Dezember 2023: dritte Fassung des Gesetzesentwurfs
- Mai 2024: vierte Fassung des Gesetzesentwurfs
- Juli 2024: fünfte Fassung des Gesetzesentwurfs wird von der Bundesregierung verabschiedet
- September 2024: Der Bundesrat veröffentlicht seine Stellungnahme zum Gesetzentwurf zur Umsetzung von NIS 2
- Oktober 2024: Der Gesetzesentwurf wird dem Parlament (Bundestag) vorgelegt
- März 2025: voraussichtliches Inkrafttreten (noch zu bestätigen)
Nationale Besonderheiten
In Deutschland überträgt das 1991 verabschiedete BSI-Gesetz dem BSI die Aufgabe, die Sicherheit der Informationssysteme zu gewährleisten.
Das IT-Sicherheitsgesetz von 2015, das 2021 durch das IT-Sicherheitsgesetz 2.0 aktualisiert wurde, erweitert die Zuständigkeiten des BSI und erlegt Betreiber:innen kritischer Infrastrukturen Sicherheitsmaßnahmen auf. Parallel dazu definiert die KRITIS-Verordnung eine Liste kritischer Sektoren innerhalb der deutschen Wirtschaft (Energie, Wasser, Ernährung, Gesundheit etc.) und verschärft die von diesen Einrichtungen anzuwendenden Sicherheitsmaßnahmen.
Deutschland hat die von NIS 2 im Verhältnis zu KRITIS betroffenen Einrichtungskategorien präzisiert. NIS 2 wird zwei Kategorien von Einrichtungen betreffen:
- besonders wichtige Einrichtungen (bestehend aus KRITIS-Einrichtungen und den von der NIS-2-Richtlinie bestimmten wesentlichen Einrichtungen)
- wichtige Einrichtungen (bestehend aus den von der NIS-2-Richtlinie bestimmten wichtigen Einrichtungen)
Das BSI gibt Empfehlungen zur Vorbereitung auf die deutsche NIS-2, darunter die Benennung von Verantwortlichen für die Koordinierung der Cybersicherheit innerhalb der Einrichtung sowie eine erste Bewertung der Cybersicherheitsreife.
Zuständige Behörde(n)
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Reifegrad = 4
Das Umsetzungsgesetz wurde am 26. April 2024 vom belgischen Parlament verabschiedet. Gleichzeitig wurde eine Durchführungsverordnung erlassen, die die praktischen Umsetzungsmodalitäten festlegt. Das Gesetz ist offiziell am 18. Oktober 2024 in Kraft getreten. Der entsprechende Cyber-Standard ist CyFun, der von der CCB entwickelt wurde. Eine Konformität mit ISO 27001 kann angenommen werden.
Wichtige Meilensteine
- 10.November 2023: Der belgische Ministerrat billigt in erster Lesung den Gesetzentwurf zur Umsetzung der europäischen NIS-2-Richtlinie
- 16. November 2023 – 21. Dezember 2023: Das CCB führt eine öffentliche Konsultation zu diesem Vorentwurf durch
- 27.März 2024: Der NIS-2-Umsetzungsgesetzentwurf wird vom Innenausschuss der Abgeordnetenkammer gebilligt
- 26.April 2024: Das NIS-2-Gesetz wird in der Plenarsitzung der Abgeordnetenkammer verabschiedet und am 17. Mai 2024 im belgischen Staatsanzeiger veröffentlicht. Offizieller Name des Gesetzes: Gesetz zur Schaffung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit
- 9.Juni 2024 : Ein königlicher Ausführungserlass wird veröffentlicht. Dieser legt die praktischen Umsetzungsmodalitäten fest: die Regelungen zur regelmäßigen Bewertung von Einrichtungen (verpflichtend für WE und freiwillig für WIE) sowie die Akkreditierungsbedingungen für Prüfstellen
- 18.Oktober 2024 : Inkrafttreten des Gesetzes.
Nationale Besonderheiten
- Die Einhaltung des CyFun-Rahmenwerks gilt, wie auch die ISO-27001-Zertifizierung, als Konformitätsvermutung mit NIS-2
- Der CyFun bietet 4 Versicherungsstufen (Small, Basic, Import, Essential) und wird von 4 Tools begleitet:
- Bewertungstool: Ein Fragebogen basierend auf dem CyFun-Mapping zur Beurteilung, ob eine Einrichtung die angestrebte Sicherheitsstufe erreicht hat
- Risikoanalysetool: Bewertet die branchenspezifischen Risiken und bestimmt das erforderliche Compliance-Niveau
- Sicherheitsrichtlinien-Vorlagen: Bieten eine Grundlage für Einrichtungen mit weniger Cybersicherheitserfahrung
- CyberFundamentals-Framework-Mapping: Bietet einen Überblick über Anforderungen und Verbindungen zu anderen Marktrahmenwerken
Zuständige Behörde(n)
CCB (Zentrum für Cybersicherheit Belgien)
Reifegrad = 3
Der Entwurf des Resilienzgesetzes, der die Umsetzung von NIS 2, REC und DORA beinhaltet, wurde dem Ministerrat am 15. Oktober 2024 vorgelegt. Die nächsten Schritte im Zusammenhang mit der Verabschiedung des Gesetzes durch das Parlament liegen in dessen Händen. Die ANSSI hat Ende 2023 eine vorläufige Version eines Referenzrahmens für Sicherheitsmaßnahmen in Konsultation gegeben (in dem das Konzept des Système d’Information Réglementé, SIR, behandelt wird, das sich in der endgültigen Version noch ändern kann). Der Entwurf wird später von etwa 20 Durchführungsverordnungen begleitet werden. Eines dieser Dekrete soll die endgültige Fassung der Sicherheitsmaßnahmen präzisieren.
Wichtige Meilensteine
- Die ANSSI hat einen partizipativen Ansatz gewählt und bezieht wichtige Akteure der Branche mit ein, darunter Industrieverbände wie die UFE (Union Française de l’Électricité), Cybersicherheitsverbände (CLUSIF, CESIN) und qualifizierte Dienstleister (PASSI, PRIS, PDIS etc.).
- Die Konsultationsphase umfasste 3 Themen:
- September: Umfang der vom Gesetz betroffenen Einrichtungen
- Oktober: Modalitäten der Interaktion zwischen der ANSSI und den dem Gesetz unterliegenden Einrichtungen
- November: Cybersicherheitsanforderungen
- 21. Mai 2024: Die CSNP (Oberste Kommission für Digitales und Post) gibt eine erste Stellungnahme mit 14 Empfehlungen zum Resilienzgesetzentwurf ab und betont dabei insbesondere die Bedeutung einer klaren Liste kritischer und hochkritischer Sektoren sowie die Priorisierung der Verpflichtungen für Einrichtungen.
- 3. Oktober 2024: Die CSNP gibt eine zweite Stellungnahme mit 32 Empfehlungen zu den Herausforderungen der NIS-2-Umsetzung ab und unterstreicht die Notwendigkeit, die Umsetzungsfrist auf den 31. Dezember 2027 festzulegen, eine gezielte Kommunikationskampagne für die betroffenen Einrichtungen durchzuführen und eine Anpassungsklausel für technologische Entwicklungen, insbesondere im Zusammenhang mit KI, in das Gesetz aufzunehmen.
- 15. Oktober 2024: Ein Gesetzentwurf zur Resilienz kritischer Infrastrukturen und Stärkung der Cybersicherheit wird dem Ministerrat vorgelegt.
- In Kürze: Der Gesetzentwurf muss vom Parlament verabschiedet werden.
Nationale Besonderheiten
- Die ANSSI plant die Einrichtung mehrerer Online-Hilfsmittel, von denen einige in der Beta-Version verfügbar sind:
- Ein Tool zur Bewertung der NIS-2-Anwendbarkeit für Organisationen
- Ein Unterstützungsservice für die Implementierung von Sicherheitsmaßnahmen
- Ein Tool zum Management von Sicherheitsmaßnahmen
Zuständige Behörde(n)
ANSSI (Nationale Agentur für die Sicherheit von Informationssystemen)
Reifegrad = 1
Obwohl das Vereinigte Königreich nach dem Brexit nicht unmittelbar der NIS-2-Richtlinie unterliegt, plant die britische Regierung eine Aktualisierung ihrer Cybersicherheitsvorschriften, inklusive der nationalen NIS-1-Umsetzung.
Wichtige Meilensteine
- 2018: Das Vereinigte Königreich, damals noch EU-Mitglied, setzt die europäische NIS-Richtlinie in nationales Recht um. Für jeden betroffenen Tätigkeitsbereich wird eine zuständige Behörde (NIS-Aufsichtsbehörde) benannt. Für die einzelnen Sektoren werden zudem Leitlinien mit Sicherheitsmaßnahmen bereitgestellt.
- 2022: Nach einer öffentlichen Konsultation zu Möglichkeiten der Stärkung der britischen Cyberresilienz kündigt die Regierung an, die NIS-Vorschriften zur Verbesserung der nationalen Cybersicherheit überarbeiten zu wollen.
- 17. Juli 2024: Die Regierung bekräftigt ihre Absicht, die bestehenden, von der EU übernommenen Cybersicherheitsvorschriften (einschließlich NIS 1) durch ein Gesetz zur Cybersicherheit und Resilienz zu aktualisieren.
Nationale Besonderheiten
Die von der Regierung geplanten Änderungen beziehen sich insbesondere auf:
- Einbeziehung von Managed Service Providern (MSPs) in den Geltungsbereich der Regulierung zur Gewährleistung der Sicherheit digitaler Lieferketten
- Verbesserung der Meldung von Cybersicherheitsvorfällen an die Behörden
- Einführung eines Kostenerstattungssystems zur Durchsetzung der NIS-Vorschriften
Zuständige Behörde(n):
DSIT (Ministerium für Wissenschaft, Innovation und Technologie)
Eine Aufsichtsbehörde pro Wirtschaftssektor
Reifegrad = 3
Der Gesetzentwurf wurde am 13. März 2024 in der Abgeordnetenkammer eingereicht. Der Staatsrat hat seine Stellungnahme zum Entwurf mit einer Reihe von Empfehlungen veröffentlicht. Der Gesetzentwurf muss noch verabschiedet werden. Die Behörden führen regelmäßig Informationsveranstaltungen durch.
Key stages
- März 2024: Ein Gesetzentwurf zur Umsetzung von NIS-2 wird in der Abgeordnetenkammer eingebracht.
- April 2024: Das luxemburgische Regulierungsinstitut (LRI) organisiert eine allgemeine öffentliche Informationsveranstaltung, gefolgt von einer weiteren Veranstaltung im September 2024.
- Oktober 2024: Der Staatsrat veröffentlicht seine Stellungnahme zum Gesetzentwurf mit 25 Empfehlungen. Er empfiehlt insbesondere die Abstimmung mit der Richtlinie zur Resilienz kritischer Einrichtungen (CER), warnt vor dem Risiko unterschiedlicher Auslegungen zwischen LRI und CSSF (Finanzaufsichtsbehörde) und betont die Notwendigkeit einer Präzisierung der Sanktionen.
Nationale Besonderheiten
Das LRI arbeitet an Sicherheitsmaßnahmen, die sich an bestehenden Standards (z.B. ISO 27001) oder Praktiken anderer Länder (wie etwa dem belgischen CyFun-Standard) orientieren bzw. angleichen sollen.
Zuständige Behörde(n)
LRI (Luxemburgisches Regulierungsinstitut)
Verfasst von:
-
Ouala Barhoumi
Manager – Frankreich, Paris
Wavestone
LinkedIn