Die EU-Länder setzen die aktualisierte Netzwerk- und Informationssicherheitsrichtlinie (NIS2), die seit Januar in Kraft ist, mit unterschiedlichem Fortschritt um. Um einen Überblick über den Stand der Dinge zu geben, interviewte Euractiv Nicolas Sonder und Mailin von Knobelsdorff, PwC-Experten für Cybersicherheit.
Da staatlich geförderte Cyber-Kriegsführung immer häufiger auftritt und Cyberangriffe zu finanziellen Verlusten, Datenschutzverletzungen, Reputationsschäden und Industriespionage führen, ist mehr Cyber-Resilienz erforderlich.
Die NIS2-Richtlinie führt zusätzliche Sicherheitsanforderungen für IKT-Produkte ein, die von Organisationen verwendet werden, die als wesentlich oder wichtig für das Funktionieren der Gesellschaft gelten. Die Mitgliedstaaten haben bis Oktober 2024 Zeit, die bestehenden Cybersicherheitsrahmen zu modernisieren.
Um festzustellen, welche Produkte und Dienstleistungen in den Geltungsbereich der Richtlinie fallen, müssen Unternehmen unter anderem prüfen, welche Gesetze in den EU-Mitgliedsstaaten gelten und sich bei den örtlichen Behörden registrieren.
Beste Darsteller
Den beiden Experten zufolge Ungarn weist derzeit den am weitesten fortgeschrittenen Umsetzungsstand auf. Der Grund ist, dass Das Land hat den Anwendungsbereich im Rahmen der ersten Umsetzung von NIS1 erweitert und damit NIS2 bereits teilweise umgesetzt.
„Ungarn hat ein bestehendes Gesetz“,Cyber-Sicherheitszertifizierung und Cyber-Sicherheitsüberwachungdas NIS2 teilweise umsetzt, aber weiterhin überprüft und geändert wird, um vollständig den NIS2-Standards zu entsprechen“, sagte von Knobelsdorff.
Viele andere Bundesländer haben Gesetzentwürfe veröffentlicht oder die Umsetzung in laufende thematisch verknüpfte Gesetzgebungsverfahren integriert.
„Die tschechische Republik prüft ebenfalls einen Gesetzentwurf, verfügt aber bereits über eine solide Grundlage. Allerdings sieht der Gesetzentwurf Regelungen vor, die über die Verpflichtungen der NIS2-Richtlinie hinausgehen“, erklärte Sonder.
Die Tschechische Republik erwägt die Einbeziehung untergeordneter Regierungsstellen, was gemäß der NIS2-Richtlinie nicht erforderlich ist, was einen strengeren Ansatz demonstriert.
Deutschland veröffentlichte im Juli seinen zweiten Gesetzentwurf zur NIS2-Umsetzung. Der neueste Entwurf enthält nur wenige Änderungen, etwa die Haftung des Managements und Überprüfungstests für wesentliche Unternehmen, die in der Richtlinie vorgeschrieben sind.
„Deutschland hat die Anforderungen von NIS1 übererfüllt und viele der Anforderungen von NIS2 bereits vorweggenommen“, betonte Sonder.
Da derzeit ein dritter Gesetzentwurf zur deutschen Umsetzung geprüft wird, werden die NIS2-Kriterien weiter berücksichtigt Meldepflichten, Risikomanagementmaßnahmen und das Aufsichtsregime erfordern Anpassungen in über 25 verschiedenen Gesetzen und Verordnungen.
„Das Land will NIS2 verschärfen, indem es Meldepflichten für „wichtige“ Unternehmen einführt, die die Unternehmensgrößen- oder Umsatzschwellenwerte nicht erfüllen, aber zu einem bestimmten Sektor gehören, wie z qualifizierte Vertrauensdiensteanbieter“, fügte von Knobelsdorff hinzu.
Mittelklasse
In IrlandDas National Cyber Security Center hat NIS-Compliance-Richtlinien für Betreiber wesentlicher Dienste (OES) veröffentlicht. Die Richtlinien von NIS1 umfassen das Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen Cybersicherheitsrisiken.
„Daher umfassen die OES derzeit nicht die neu gegründeten Unternehmen unter NIS2.“ von Knobelsdorff klargestellt.
Dänemark wird die Richtlinie voraussichtlich durch Durchführungsverordnungen mit einer Einhaltungsfrist von sechs Monaten umsetzen. Dabei geht Dänemark bedarfs- bzw. sektorspezifisch vor und erwartet die erste Umsetzungsverordnung für diesen Winter im Energiesektor.
In FinnlandDie NIS2-Gesetzgebung wurde von Anfang Oktober bis Ende November beraten. Wichtige Behörden haben sich nicht zur Aufsicht oder zum erforderlichen Mindestmaß an Cybersicherheit geäußert. Dennoch will die Regierung im Frühjahr nächsten Jahres einen Vorschlag zu der Richtlinie vorlegen.
Der Niederländisch Die Regierung wird die NIS2-Richtlinie in eine Aktualisierung ihres lokalen Gesetzes zur Sicherheit von Netzwerk- und Informationssystemen umsetzen, das seit November 2018 in Kraft ist und die gesetzlichen Aufgaben des niederländischen Nationalen Zentrums für Cybersicherheit festlegt.
Die Rolle der insgesamt zuständigen Behörde wurde der niederländischen Aufsichtsbehörde für digitale Infrastruktur übertragen. Entsprechend Nach Angaben des National Cyber Security Centre ist für Anfang 2024 eine Online-Konsultation mit Organisationen und Einzelpersonen zur Stellungnahme zum Gesetzesentwurf geplant.
Nachzügler
Im Gegensatz zu den anderen Ländern Polen hat noch keinen Gesetzesentwurf. Das Land arbeitet noch an der Änderung des polnischen Cybergesetzes.
„Die Änderung des polnischen Cyber-Gesetzes zielt auf mehr Cyber-Resilienz durch die Vereinheitlichung der Verfahren zur Meldung von Cybersicherheitsvorfällen und die Einbindung branchengeführter Informationsaustausch- und Analysezentren (Information Sharing and Analysis Centers, ISACs) in das Gesetz ab„Das nationale Cybersicherheitssystem“, von Knobelsdorff erklärt.
Norwegens Die Umsetzung von NIS1 wurde für diesen Herbst durch die Einführung des norwegischen „Digital Security Act“ erwartet. Während das norwegische Justizministerium darauf hingewiesen hat, dass der Umsetzungsprozess voranschreitet, hat Norwegen die Umsetzung noch nicht durchgeführt NIS1 oder NIS2.
TDas norwegische Parlament arbeitet derzeit an der Ausarbeitung eines Gesetzentwurfs für beide Umsetzungen. Der neueste Anhörungsdebatte war für den 5. Dezember geplant.
Der Vereinigtes Königreich Regulierungsaktualisierungen werden vom Ministerium für Digital, Kultur, Medien und Sport (DCMS) geleitet. In Absprache mit der EU beabsichtigt das Vereinigte Königreich, sich dem NIS2 anzuschließen. Dennoch wird die Richtlinie seitdem nicht vollständig umgesetzt Die vorgeschlagenen Reformen für NIS1 sind weniger umfassend als die Verpflichtungen der NIS2-Richtlinie.
„Sie nehmen Änderungen an ihren bestehenden Cybersicherheitsgesetzen vor, indem sie beispielsweise Managed-Service-Provider in den Geltungsbereich der NIS-Vorschriften aufnehmen, einschließlich weiterer Richtlinien für die Sicherheit der Lieferkette, oder die Verpflichtungen im Zusammenhang mit der Meldung von Vorfällen erhöhen“, erklärte Sonder .
Die Umsetzung durch das britische Parlament wird im Sommer 2024 erwartet.
[Edited by Luca Bertuzzi/Zoran Radosavljevic]