NIS2 Implementing Acts
Bestimmte Vorgaben aus EU NIS2 werden nicht nur in nationalem Recht umgesetzt, sondern durch die EU mit sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben nationale NIS2-Implementierungen wie das NIS2-Umsetzungsgesetz und konkretisieren Cybersecurity-Themen in NIS2 für bestimmte Einrichtungen:
Die Implementing Acts, auch Durchführungsrechtsakte, werden durch die europäische Kommission erlassen – sie haben Vorrang vor nationalen Gesetzen und verändern diese in Einzelthemen und Sicherheitsvorgaben und Meldepflichten.
| Implementing Act | EU NIS2 | NIS2 DE | Gruppe | Status | Roadmap |
|---|---|---|---|---|---|
| Cybersecurity Internet | Art. 21 (5) UA 1 | §30 (3) | Internet/Digitale | final | Oktober 2024 |
| Cybersecurity | Art. 21 (5) UA 2 | §30 (4) | allgemein | kann | unklar |
| Erhebliche Vorfälle | Art. 23 (11) | §2 (2) | Internet/Digitale | final | Oktober 2024 |
Cybersecurity
Internet und Digitales
Die NIS2 Art. 21 Risikomanagement-Maßnahmen werden für bestimmte Internet-Provider verbindlich durch die europäische Kommission bis Oktober 2024 in einem Implementing Act konkretisiert. Art. 21 (5) UAbs 1
Scope und Betreiber
Dieser Implementing Act definiert für Internet- und IT-Provider in der Cybersecurity, welche technischen und methodischen Anforderungen und welche sektorspezifischen Anforderungen zu beachten sind.
Der Implementing Act gilt für:
- DNS-Provider und TLDs
- Cloud Computing Provider und CDNs
- Rechenzentrums-Dienste
- Managed Service und Security Service Provider
- Online-Marktplätze, Suchmaschinen und soziale Netzwerke
- Trust Service Provider
Status
Der Implementing Act ist im Oktober 2024 in Kraft getreten.
Der Implementing Act hat nach §30 (3) des BSIG-E (NIS2) Vorrang vor dem Gesetz und ist für die oben definierten Provider-Gruppen verbindlich.
Security Requirements
Die Sicherheitsmaßnahmen sind im Annex der Commission Implementing Regulation enthalten und definieren für die einzelnen Punkte aus Art. 21 (2) detaillierte Vorgaben. Aus unserem Mapping zu ISO 27001, KRITIS und NIS2 lassen sich die 159 Kontrollen gruppieren:
| Gruppe | Kap. | Anforderungen | # |
|---|---|---|---|
| Management und Vorgaben | 1 2 7 12 |
Policy security of network and information systems Risk management policy Effectiveness of cybersecurity Asset management |
8 Kontrollen 11 Kontrollen 3 Kontrollen 13 Kontrollen |
| Vorfallsmanagement | 3 | Incident Management | 22 Kontrollen |
| Kontinuität | 4 | Business Continuity | 14 Kontrollen |
| Lieferkette | 5 | Supply Chain | 8 Kontrollen |
| IT-Sicherheit und Netzwerke | 6 9 11 |
Security in acquisition and development Cryptography Access control |
31 Kontrollen 3 Kontrollen 21 Kontrollen |
| Personalsicherheit | 10 8 |
Human resources security Cyber hygiene |
10 Kontrollen 8 Kontrollen |
| Physische Sicherheit | 13 | Physical Security | 9 Kontrollen |
Nach unserer Einschätzung aus dem Vergleich mit ISO 27001 und KRITIS finden sich in diesem Implementing Act Abweichungen und tiefere Anforderungen als in bisherigen Standards.
- Starker Fokus auf Krisenmanagement, Business Continuity (BCM) und Vorsorge
- Schwerpunkt auf Review- und Verbesserungen in allen Einzelthemen
- Regelmäßiger expliziter Einbezug von Drittparteien und Externen
- Einige sehr spezifische Anforderungen (Netzwerke, Accounts, Systeme)
- Existierende ISMS-Controlsets werden erweitert und vertieft werden müssen
- Manche Lücken könnten durch Management Systeme selbst abgefangen werden
Für betroffene Einrichtungen wird es Handlungsbedarf im ISMS geben.
Maßnahmen
Die EU NIS2-Direktive definiert in Art. 21 umfangreiche Maßnahmen zu Risikomanagement, die betroffene Einrichtungen umsetzen müssen. Diese Maßnahmen umfassen Themen von Policies über Incident Management bis Authentisierung und sind im deutschen NIS2-Gesetz in §30.
Nach Art. 21 (5) UAbs 2 der EU NIS2-Richtlinie kann die europäische Kommission über einen Implementing Act für Cybersecurity-Maßnahmen regeln,
- welche technischen und methodischen Anforderungen und
- welche sektorspezifischen Anforderungen zu beachten sind.
Diese Anforderungen würden eine Konkretisierung der notwendigen Sicherheitsmaßnahmen darstellen und für alle betroffenen besonders wichtigen und wichtigen Einrichtungen gelten.
Ein solcher Implementing Act hätte nach §30 (4) des NIS2-Umsetzungsgesetzes Vorrang gegenüber den in §30 (2) geforderten Risikomanagementmaßnahmen. Falls der Act erlassen wird, ist davon auszugehen, dass die Maßnahmen konkreter und detaillierter als im Gesetz beschrieben werden – zur Orientierung von Betreibern.
Meldepflichten
Vorfälle
Einrichtungen müssen in NIS2 erhebliche Sicherheitsvorfälle an nationale Behörden melden. Nach Art. 23 (11) der EU NIS2-Richtlinie muss die EU-Kommission bis Oktober 2024 einen Implementing Act erlassen, der definiert, wann ein Sicherheitsvorfall als erheblich einzustufen und damit zu melden ist.
Scope und Betroffenheit
Er soll mindestens für DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke Durchführungsrechtsakte
gelten. Der Geltungsbereich könnte auch auf andere besonders wichtige und wichtige Einrichtungen erweitert werden.
Status
Der Implementing Act ist mit dem Implementing Act für Maßnahmen für Internet-Provider zusammengefasst und im Oktober 2024 in Kraft getreten.
Analyse folgt
Im deutschen NIS2-Umsetzungsgesetz darf das Innenministerium über §2 (2) mit einer Rechtsverordnung die Definition von erheblich regeln. Ein Implementing Act der EU hat gegenüber dieser Rechtsverordnung jedoch auch Vorrang.
Roadmap
Implementing Acts ab wann?
Die Implementing Acts ergeben sich aus der EU-Direktive NIS2 und den Gesetzesentwürfen.
- Die Implementing Acts für Internet/Digitale zu Meldepflichten und Security-Maßnahmen sind im Oktober 2024 in Kraft getreten und gelten verbindlich.
- Drafts dieser beiden Implementing Acts nach Art. 21 (5) UA 1 und Art. 23 (11) lagen seit Juni 2024 zur Kommentierung vor und wurden im Oktober final erlassen.
- Der weitere Implementing Act für allgemeine Maßnahmen für
alle
Sektoren nach Art. 21 (5) UA 2 ist noch nicht bekannt, und muss auch nicht verbindlich erlassen werden.
Weitere Informationen
Quellen
- Cybersecurity risk management & reporting obligations for digital infrastructure, providers and ICT service managers, Draft act 27 June 2024, European Commission
- DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
- Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
- European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament