NIS-2: Wie weit sind die europäischen Länder mit der Umsetzung der Richtlinie?
Veröffentlicht am 25. November 2024
- Cyber Security
Die NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit muss von allen EU-Mitgliedstaaten in nationales Recht überführt werden.
Cyberkriminelle werden durch die Entwicklung besserer Werkzeuge zunehmend effizienter und haben eine immer größere Zahl von Organisationen im Visier, die oft nur unzureichend darauf vorbereitet sind. NIS-2 stärkt das NIS-Framework für mehr Sicherheit. Diese neue europäische Verordnung erweitert den Kreis der betroffenen Einrichtungen erheblich. Sie gilt für Unternehmen unterschiedlichster Branchen und Größen – vom Mittelstand bis hin zu Großkonzernen. Dieser erweiterte Geltungsbereich stellt zweifellos eine Herausforderung für die nationalen Behörden dar, die den Text umsetzen und Sicherheitsanforderungen für ein breites Spektrum von Organisationen definieren müssen.
Trotz der von der Europäischen Kommission gesetzten Umsetzungsfrist bis zum 17. Oktober 2024 haben die EU-Mitgliedstaaten bislang unterschiedliche Fortschritte erzielt. Zudem haben sie zum Teil unterschiedliche Umsetzungsansätze gewählt (z.B. öffentliche versus geschlossene Konsultationen, Abstimmung mit bereits bestehendem nationalem Recht sowie unterschiedliche Intensität der Kommunikation einschließlich der Bereitstellung von Online-Tools für die betroffenen Stellen).
In diesem Artikel wird der Stand der Umsetzung in den einzelnen EU-Mitgliedstaaten mit Stand 18. Oktober 2024 verglichen.
Unterschiedliche Fortschritte bei der Umsetzung
Länder mit Reifegrad 4
Länder mit Reifegrad 3
Länder mit Reifegrad 1 und 2
Fokus auf ausgewählte europäische Länder
Reifegrad = 3
Der NIS-2-Gesetzentwurf (NIS2UmsuCG) wurde am 24. Juli 2024 von der Bundesregierung gebilligt. Vor Inkrafttreten, was für März 2025 erwartet wird, muss er jedoch noch vom Bundestag verabschiedet werden.
Wichtige Meilensteine
- April 2023: erste Fassung des Gesetzentwurfs
- Juli 2023: zweite Fassung des Gesetzentwurfs
- Dezember 2023: dritte Fassung des Gesetzesentwurfs
- Mai 2024: vierte Fassung des Gesetzesentwurfs
- Juli 2024: fünfte Fassung des Gesetzesentwurfs wird von der Bundesregierung verabschiedet
- September 2024: Der Bundesrat veröffentlicht seine Stellungnahme zum Gesetzentwurf zur Umsetzung von NIS 2
- Oktober 2024: Der Gesetzesentwurf wird dem Parlament (Bundestag) vorgelegt
- März 2025: voraussichtliches Inkrafttreten (noch zu bestätigen)
Nationale Besonderheiten
In Deutschland überträgt das 1991 verabschiedete BSI-Gesetz dem BSI die Aufgabe, die Sicherheit der Informationssysteme zu gewährleisten.
Das IT-Sicherheitsgesetz von 2015, das 2021 durch das IT-Sicherheitsgesetz 2.0 aktualisiert wurde, erweitert die Zuständigkeiten des BSI und erlegt Betreiber:innen kritischer Infrastrukturen Sicherheitsmaßnahmen auf. Parallel dazu definiert die KRITIS-Verordnung eine Liste kritischer Sektoren innerhalb der deutschen Wirtschaft (Energie, Wasser, Ernährung, Gesundheit etc.) und verschärft die von diesen Einrichtungen anzuwendenden Sicherheitsmaßnahmen.
Deutschland hat die von NIS 2 im Verhältnis zu KRITIS betroffenen Einrichtungskategorien präzisiert. NIS 2 wird zwei Kategorien von Einrichtungen betreffen:
- besonders wichtige Einrichtungen (bestehend aus KRITIS-Einrichtungen und den von der NIS-2-Richtlinie bestimmten wesentlichen Einrichtungen)
- wichtige Einrichtungen (bestehend aus den von der NIS-2-Richtlinie bestimmten wichtigen Einrichtungen)
Das BSI gibt Empfehlungen zur Vorbereitung auf die deutsche NIS-2, darunter die Benennung von Verantwortlichen für die Koordinierung der Cybersicherheit innerhalb der Einrichtung sowie eine erste Bewertung der Cybersicherheitsreife.
Zuständige Behörde(n)
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Reifegrad = 4
Das Umsetzungsgesetz wurde am 26. April 2024 vom belgischen Parlament verabschiedet. Gleichzeitig wurde eine Durchführungsverordnung erlassen, die die praktischen Umsetzungsmodalitäten festlegt. Das Gesetz ist offiziell am 18. Oktober 2024 in Kraft getreten. Der entsprechende Cyber-Standard ist CyFun, der von der CCB entwickelt wurde. Eine Konformität mit ISO 27001 kann angenommen werden.
Wichtige Meilensteine
- 10.November 2023: Der belgische Ministerrat billigt in erster Lesung den Gesetzentwurf zur Umsetzung der europäischen NIS-2-Richtlinie
- 16. November 2023 – 21. Dezember 2023: Das CCB führt eine öffentliche Konsultation zu diesem Vorentwurf durch
- 27.März 2024: Der NIS-2-Umsetzungsgesetzentwurf wird vom Innenausschuss der Abgeordnetenkammer gebilligt
- 26.April 2024: Das NIS-2-Gesetz wird in der Plenarsitzung der Abgeordnetenkammer verabschiedet und am 17. Mai 2024 im belgischen Staatsanzeiger veröffentlicht. Offizieller Name des Gesetzes: Gesetz zur Schaffung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit
- 9.Juni 2024 : Ein königlicher Ausführungserlass wird veröffentlicht. Dieser legt die praktischen Umsetzungsmodalitäten fest: die Regelungen zur regelmäßigen Bewertung von Einrichtungen (verpflichtend für WE und freiwillig für WIE) sowie die Akkreditierungsbedingungen für Prüfstellen
- 18.Oktober 2024 : Inkrafttreten des Gesetzes.
Nationale Besonderheiten
- Die Einhaltung des CyFun-Rahmenwerks gilt, wie auch die ISO-27001-Zertifizierung, als Konformitätsvermutung mit NIS-2
- Der CyFun bietet 4 Versicherungsstufen (Small, Basic, Import, Essential) und wird von 4 Tools begleitet:
- Bewertungstool: Ein Fragebogen basierend auf dem CyFun-Mapping zur Beurteilung, ob eine Einrichtung die angestrebte Sicherheitsstufe erreicht hat
- Risikoanalysetool: Bewertet die branchenspezifischen Risiken und bestimmt das erforderliche Compliance-Niveau
- Sicherheitsrichtlinien-Vorlagen: Bieten eine Grundlage für Einrichtungen mit weniger Cybersicherheitserfahrung
- CyberFundamentals-Framework-Mapping: Bietet einen Überblick über Anforderungen und Verbindungen zu anderen Marktrahmenwerken
Zuständige Behörde(n)
CCB (Zentrum für Cybersicherheit Belgien)
Reifegrad = 3
Der Entwurf des Resilienzgesetzes, der die Umsetzung von NIS 2, REC und DORA beinhaltet, wurde dem Ministerrat am 15. Oktober 2024 vorgelegt. Die nächsten Schritte im Zusammenhang mit der Verabschiedung des Gesetzes durch das Parlament liegen in dessen Händen. Die ANSSI hat Ende 2023 eine vorläufige Version eines Referenzrahmens für Sicherheitsmaßnahmen in Konsultation gegeben (in dem das Konzept des Système d’Information Réglementé, SIR, behandelt wird, das sich in der endgültigen Version noch ändern kann). Der Entwurf wird später von etwa 20 Durchführungsverordnungen begleitet werden. Eines dieser Dekrete soll die endgültige Fassung der Sicherheitsmaßnahmen präzisieren.
Wichtige Meilensteine
- Die ANSSI hat einen partizipativen Ansatz gewählt und bezieht wichtige Akteure der Branche mit ein, darunter Industrieverbände wie die UFE (Union Française de l’Électricité), Cybersicherheitsverbände (CLUSIF, CESIN) und qualifizierte Dienstleister (PASSI, PRIS, PDIS etc.).
- Die Konsultationsphase umfasste 3 Themen:
- September: Umfang der vom Gesetz betroffenen Einrichtungen
- Oktober: Modalitäten der Interaktion zwischen der ANSSI und den dem Gesetz unterliegenden Einrichtungen
- November: Cybersicherheitsanforderungen
- 21. Mai 2024: Die CSNP (Oberste Kommission für Digitales und Post) gibt eine erste Stellungnahme mit 14 Empfehlungen zum Resilienzgesetzentwurf ab und betont dabei insbesondere die Bedeutung einer klaren Liste kritischer und hochkritischer Sektoren sowie die Priorisierung der Verpflichtungen für Einrichtungen.
- 3. Oktober 2024: Die CSNP gibt eine zweite Stellungnahme mit 32 Empfehlungen zu den Herausforderungen der NIS-2-Umsetzung ab und unterstreicht die Notwendigkeit, die Umsetzungsfrist auf den 31. Dezember 2027 festzulegen, eine gezielte Kommunikationskampagne für die betroffenen Einrichtungen durchzuführen und eine Anpassungsklausel für technologische Entwicklungen, insbesondere im Zusammenhang mit KI, in das Gesetz aufzunehmen.
- 15. Oktober 2024: Ein Gesetzentwurf zur Resilienz kritischer Infrastrukturen und Stärkung der Cybersicherheit wird dem Ministerrat vorgelegt.
- In Kürze: Der Gesetzentwurf muss vom Parlament verabschiedet werden.
Nationale Besonderheiten
- Die ANSSI plant die Einrichtung mehrerer Online-Hilfsmittel, von denen einige in der Beta-Version verfügbar sind:
- Ein Tool zur Bewertung der NIS-2-Anwendbarkeit für Organisationen
- Ein Unterstützungsservice für die Implementierung von Sicherheitsmaßnahmen
- Ein Tool zum Management von Sicherheitsmaßnahmen
Zuständige Behörde(n)
ANSSI (Nationale Agentur für die Sicherheit von Informationssystemen)
Reifegrad = 1
Obwohl das Vereinigte Königreich nach dem Brexit nicht unmittelbar der NIS-2-Richtlinie unterliegt, plant die britische Regierung eine Aktualisierung ihrer Cybersicherheitsvorschriften, inklusive der nationalen NIS-1-Umsetzung.
Wichtige Meilensteine
- 2018: Das Vereinigte Königreich, damals noch EU-Mitglied, setzt die europäische NIS-Richtlinie in nationales Recht um. Für jeden betroffenen Tätigkeitsbereich wird eine zuständige Behörde (NIS-Aufsichtsbehörde) benannt. Für die einzelnen Sektoren werden zudem Leitlinien mit Sicherheitsmaßnahmen bereitgestellt.
- 2022: Nach einer öffentlichen Konsultation zu Möglichkeiten der Stärkung der britischen Cyberresilienz kündigt die Regierung an, die NIS-Vorschriften zur Verbesserung der nationalen Cybersicherheit überarbeiten zu wollen.
- 17. Juli 2024: Die Regierung bekräftigt ihre Absicht, die bestehenden, von der EU übernommenen Cybersicherheitsvorschriften (einschließlich NIS 1) durch ein Gesetz zur Cybersicherheit und Resilienz zu aktualisieren.
Nationale Besonderheiten
Die von der Regierung geplanten Änderungen beziehen sich insbesondere auf:
- Einbeziehung von Managed Service Providern (MSPs) in den Geltungsbereich der Regulierung zur Gewährleistung der Sicherheit digitaler Lieferketten
- Verbesserung der Meldung von Cybersicherheitsvorfällen an die Behörden
- Einführung eines Kostenerstattungssystems zur Durchsetzung der NIS-Vorschriften
Zuständige Behörde(n):
DSIT (Ministerium für Wissenschaft, Innovation und Technologie)
Eine Aufsichtsbehörde pro Wirtschaftssektor
Reifegrad = 3
Der Gesetzentwurf wurde am 13. März 2024 in der Abgeordnetenkammer eingereicht. Der Staatsrat hat seine Stellungnahme zum Entwurf mit einer Reihe von Empfehlungen veröffentlicht. Der Gesetzentwurf muss noch verabschiedet werden. Die Behörden führen regelmäßig Informationsveranstaltungen durch.
Key stages
- März 2024: Ein Gesetzentwurf zur Umsetzung von NIS-2 wird in der Abgeordnetenkammer eingebracht.
- April 2024: Das luxemburgische Regulierungsinstitut (LRI) organisiert eine allgemeine öffentliche Informationsveranstaltung, gefolgt von einer weiteren Veranstaltung im September 2024.
- Oktober 2024: Der Staatsrat veröffentlicht seine Stellungnahme zum Gesetzentwurf mit 25 Empfehlungen. Er empfiehlt insbesondere die Abstimmung mit der Richtlinie zur Resilienz kritischer Einrichtungen (CER), warnt vor dem Risiko unterschiedlicher Auslegungen zwischen LRI und CSSF (Finanzaufsichtsbehörde) und betont die Notwendigkeit einer Präzisierung der Sanktionen.
Nationale Besonderheiten
Das LRI arbeitet an Sicherheitsmaßnahmen, die sich an bestehenden Standards (z.B. ISO 27001) oder Praktiken anderer Länder (wie etwa dem belgischen CyFun-Standard) orientieren bzw. angleichen sollen.
Zuständige Behörde(n)
LRI (Luxemburgisches Regulierungsinstitut)
Verfasst von:
-
Ouala Barhoumi
Manager – Frankreich, Paris
Wavestone
LinkedIn