Links

des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates (Text von Bedeutung für den EWR)

CER steht dabei für „Critical Entities Resilience„, wird aber auch andersherum benutzt: RCE – „Resilience of Critical Entities“.

Auch diese Richtlinie muss in deutsches Recht übertragen werden. Das geschieht voraussichtlich im KRITIS-Dachgesetz (KRITIS-DG).

„EU-Regulation on rules for the application of Directive (EU) 2022/2555 as regards technical and methodological requirements of cybersecurity risk-management measures and further specification of the cases in which an incident is considered to be significant“ ist eine Umsetzungsverordnung der EU zur NIS2-Richtlinie für grenzübergreifende Tätigkeiten von Einrichtungen (Unternehmen): diese ist aktuell (Stand September 2024) noch im Entwurfsstadium, enthält aber sehr detaillierte Konkretisierungen der Anforderungen der NIS2-Richtlinie und kann deshalb auch als Konkretisierung der Anforderungen des BSIG herangezogen werden. Zwar darf die Bundesrepublik Deutschland zwar in nationalen Umsetzungsgesetzen über die Anforderungen der NIS2-Richtlinie hinausgehen (sog. „goldplating„), aber nicht dahinter zurückbleiben. Insofern können die in dieser Verordnung – insbesondere im Annex – definierten, konkretisierten Anforderungen eine Mindestanforderung sein, wie die insbes. in §30 BSIG definierten Verpflichtungen (Anforderungen) zu interpretieren sind.
Webseite der EU dazu

• • DRAFT NIS2UmsVO – der Text der Verordnung
  • DRAFT Annex: enthält sehr granulare Anforderungen an technische und organisatorische Maßnahmen (TOMs)

„EU-Regulation on rules for the application of Directive (EU) 2022/2555 as regards technical and methodological requirements of cybersecurity risk-management measures and further specification of the cases in which an incident is considered to be significant“ ist eine Durchführungsverordnung bzw. besser vielleicht Umsetzungsverordnung der EU zur NIS2-Richtlinie für grenzübergreifende Tätigkeiten von Einrichtungen (Unternehmen): diese ist aktuell (Stand September 2024) noch im Entwurfsstadium, enthält aber sehr detaillierte Konkretisierungen der Anforderungen der NIS2-Richtlinie und kann deshalb auch als Konkretisierung der Anforderungen des BSIG herangezogen werden. Zwar darf die Bundesrepublik Deutschland zwar in nationalen Umsetzungsgesetzen über die Anforderungen der NIS2-Richtlinie hinausgehen (sog. „goldplating„), aber nicht dahinter zurückbleiben. Insofern können die in dieser Verordnung – insbesondere im Annex – definierten, konkretisierten Anforderungen eine Mindestanforderung sein, wie die insbes. in §30 BSIG definierten Verpflichtungen (Anforderungen) zu interpretieren sind.
Webseite der EU dazu

• DORA-VO

• Protokoll des Werkstattgesprächs vom 26.10.2023
• Diskussionspapier des BMI zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vom 20. Oktober 2023 

• Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu NIS2
  • NIS2-Was ist zu tun? – Implementierungshinweise des BSI
    • Webseiten des IT-Grundschutz –
      • Übersichtsseite
    • B3S Branchenspezifische Sicherheitsstandards (B3S) für Unternehmen aus einer Branche der Kritischen Infrastrukturen (KRITIS)
    • BSI-Standard 200-3: für Risikomanagement
    • BSI-Standard 200-4: Business Continuity Management
    • KRITIS–IT-Grundschutz-Profile
• Informationsangebot auf OpenKRITIS
• ECSO:White Paper: NIS2 Implementation: Challenges and Priorities, January 10, 2025
• NIS2-How to be compliant? – Guide to NIS2 by Wojciech Ciemski