NIS2-Umsetzungs-Verordnung – „NIS2UmsVO“:
delegierter Durchführungsrechtsakt C(2024) 7151
der EU-Kommission zur NIS2-Richtlinie EU 2022/2555
für grenzüberschreitende Dienste
delegierter Durchführungsrechtsakt C(2024) 7151
der EU-Kommission zur NIS2-Richtlinie EU 2022/2555
für grenzüberschreitende Dienste
Inhalte der NIS2-Umsetzungsverordnung (NIS2 UmsVO)
Die NIS2-Umsetzungsverordnung (NIS2UmsVO) ist ein von der Europäischen Kommission erlassener Durchführungsrechtsakt(C(2024) 7151), der bestimmte Vorgaben der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) konkretisiert und in allen EU-Mitgliedstaaten unmittelbar gilt. Die Verordnung hat Vorrang vor nationalen Gesetzen und konkretisiert Cybersicherheitsfragen für bestimmte Einrichtungen.
Die NIS2-Umsetzungsverordnung (NIS2UmsVO als delegierten Umsetzungsrechtsakt C(2024) 7151 zur NIS2-Richtlinie EU2022/2555) dient der Harmonisierung der Cybersicherheitsanforderungen innerhalb der EU. Durch die Festlegung einheitlicher Standards sollen Unterschiede zwischen den Mitgliedstaaten reduziert und die Cyberresilienz gestärkt werden. Für betroffene Einrichtungen bedeutet dies, dass sie ihre Informationssicherheitsmanagementsysteme (ISMS) an die neuen Anforderungen anpassen müssen. Dies kann zusätzliche Maßnahmen in Bereichen wie Krisenmanagement, Geschäftskontinuität und Lieferkettensicherheit erfordern.
Exkurs NIS2-Richtlinie
Mit der NIS2-Richtlinie werden die Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit gestärkt und die Berichtspflichten für eine große Zahl von Betreibern in der gesamten EU gestrafft. Diese Richtlinie wird durch Umsetzungsgesetze in nationales Recht transformiert, in Deutschland durch das NIS2UmsCG, welches das BSIG komplett neu fasst und die eigentlichen Anforderungen der Richtlinie enthält. – Ebenso machen das alle anderen Länder – alle etwas unterschiedlich.
Da einige Betreiber aus den digitalen Sektoren grenzüberschreitend tätig sind, muss die Kommission gemäß der NIS2-Richtlinie die Vorschriften auf EU-Ebene angleichen.
Dieser Rechtsakt, der als Verordnung sofort EU-weit Anwendbarkeit erlangt (Vollharmonisierung), wird verhindern, dass Unterschiede in nationalen Umsetzungsgesetzen zu Konfusion führen. Zudem legt die Verordnung EU-weit einheitlich die Fälle nach fest, in denen ein Sicherheitsvorfall als erheblich anzusehen ist und entsprechende Konsequenzen, wie etwa Meldepflichten greifen. Das Gesetzgebungsverfahren zur NIS2UmsVO läuft noch und kann auf der Webseite der EU verfolgt werden.
UPDATE 18.10.2024:
Finale Version der NIS2UmsVO wurde publiziert
d.h. mit Datum vom 18.10.24 so gerade noch rechtzeitig von EU-Kommission angenommen und publiziert, steht nun die Vorordnung nun zum Download bereit (EN-Fassung in den Links) – zur vereinfachten Arbeit damit aber auch unten für die Artikel, sowie die Erwägungsgründe und den Annex:
- Verordnungsdokument auf Deutsch – DIFF vs. Draft (in Englisch)
- Annex-Dokument auf Deutsch – DIFF vs. Draft (in Englisch)
Warum ist die Durchführungsverordnung zur Richtlinie EU 2022/2555 wichtig und de facto eine NIS2-Umsetzungs-Verordnung (NIS2UmsVO)?
Die Anforderungen, die in der NIS2UmsVO – insbesondere dessen Annex – enthalten sind, sind sehr detailliert. Sie sind viel detaillierter als die NIS2-Richtlinie oder die Anforderungen des BSIG, insbesondere was die Anforderungen an die Unternehmen angeht gem. §30 BSIG.
Mit der NIS2UmsVO existiert nun ein Detailkatalog im europäischen Recht, wenn auch nur für einige Unternehmen anwendbar.
Aufgrund seines offiziellen Charakters, der EU-weiten Bekanntheit und Verfügbarkeit in allen EU-Sprachen ist zu erwarten, dass dies dann die Messlatte / der „Goldstandard“ in der EU werden wird.
Daher macht es Sinn, sich damit zu beschäftigen. Jede andere Interpretation der NIS2-Richtlinie bzw. des Umsetzungsgesetzes wird sich gegen diese NIS2UmsVO messen lassen müssen, weshalb sie vermutlich zu einem de-facto-Umsetzungsstandard wird.
Nicht alles darin ist nur „Overhead“
Die NIS2UmsVO gibt sinnvolle Hinweise für die Implementierung eines Informations-Sicherheits-Management-Systems (ISMS), das – ähnlich wie ISO27001, einen kontinuierlichen Verbesserungsprozess mit Überprüfung der Effizienz der getroffenen Maßnahmen in den Unternehmen etablieren soll. Die NIS2-Umsetzung ist eben nicht nur ein Umsetzungsprojekt mit der Abarbeitung einer Maßnahmenliste, sondern ein fortwährender Regelprozess zur Überprüfung der Risiken, Definition angemessener Maßnahmen, Überprüfung der Wirksamkeit und ggf. Nachsteuerung.