EU NIS 2 Cybersecurity

Neuerungen

Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS-Direktive von 2016 mit deutlich mehr Betroffenheit, Pflichten und Aufsicht in der EU:

• Sektoren: Die kritischen Essential Entities (Einrichtungen) erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren — auf insgesamt achtzehn NIS2 Sektoren.
• Einrichtungen: Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Anlagen/Schwellenwerte-Methodik, einige Einrichtungen werden unabhängig der Größe reguliert – Teile der digitalen Infrastruktur und öffentliche Verwaltung.
• Cybersecurity: Die Anforderungen an Einrichtungen und Mitglied­staaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
• Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen nationalen Behörden und Einrichtungen werden vertieft, die europäische (EU) Jurisdiktion geschärft.
• Sanktionen: Strafen und Durchsetzungsakte werden deutlich ausgeweitet – auf Maximal­strafen von mind. 7 oder 10 Mio. EUR oder globalem Umsatz, je nach Sektor.

Die nationalen Umsetzungen können leicht hiervon abweichen, so auch in Deutschland.

Betreiber und Sektoren

EU NIS2 definiert zwei Gruppen von Einrichtungen (Entities), die in achtzehn Sektoren in der EU kritische Dienstleistungen erbringen und nach Größe reguliert werden. Art. 2 Art. 3

Entities	Größe		Sektoren
I  Essential Entities	Groß (large) Sonderfälle	elf alle	Annex I Annex I/II
II Important Entities	Groß (large) Mittel (medium)	sieben alle	Annex II Annex I/II

Die Unterschiede zwischen Essential und Important Entities (Einrichtungen) beziehen sich in NIS2 vor allem auf den Umfang der staatlichen Aufsicht und Sanktionen. Nationale Gesetze weichen teilweise von den EU-Betreiber- und Sektor-Definitionen ab. Im deutschen NIS2-Umsetzungsgesetz sind Einrichtungen und Sektoren etwas anders definiert.

Schwellenwerte

Die Betroffenheit wird in NIS2 nach der size-cap Regel festgestellt – reguliert werden mittlere und große Unternehmen der achtzehn Sektoren nach Größe gemäß 2003/361/EC:

Unternehmen	FTE	Umsatz		Bilanz	Entities
G Groß (large)	≥ 250	> 50 Mio. EUR	und/oder	> 43 Mio. EUR	I
M Mittel (medium)	< 250	≤ 50 Mio. EUR	und/oder	≤ 43 Mio. EUR	II oder I
S Klein (small)	< 50	≤ 10 Mio. EUR	und/oder	≤ 10 Mio. EUR	nicht reguliert

EU NIS2 greift hier auf eine Definition von Small and Medium Enterprises (SMEs, deutsch KMU) zurück, die sich von Großunternehmen abgrenzen. Mittlere sind ein Teil der Definition.

Essential Entities

Neben großen Einrichtungen G aus den Annex I Sektoren (Essential) werden bestimmte Einrichtungen und Branchen unabhängig der Größe als Essential Entity in NIS2 reguliert:

• Digitale Infrastruktur aus I
  • Qualified Trust Service Provider
  • TLD Registries
  • Domain Registrare
  • Anbieter elektronischer Kommunikation ab mittlerer M Größe
• Öffentliche Verwaltung aus I: Zentralregierung und kritische Regionalregierungen
• Sonderfälle aus I und II, die Mitgliedsstaaten als Essential festlegen:
  • Nationale Betreiber (sole provider), die essentiell für Gesellschaft und Wirtschaft sind
  • Einrichtungen, deren Ausfall einen signifikanten Effekt auf öffentliche Sicherheit oder Gesundheit hätte
  • Einrichtungen, deren Ausfall ein signifikantes systemisches Risiko für Sektoren und grenz­überschreitende Abhängigkeiten darstellt
  • Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
• Critical Entities: Einrichtungen, die unter die EU RCE/CER (2022/2557) Regulierung fallen, sollen als Essential Entities unter NIS2 fallen
• Bisherige Entities: Einrichtungen, die bis Januar 2023 von voriger Regulierung (NIS/KRITIS) betroffen waren, können durch Staaten als Essential definiert werden bzw. bleiben.

Important Entities

Important Entities sind Einrichtungen aus Annex II (Important) und Annex I (Essential):

• Große Einrichtungen aus II sind Important Entities
• Mittlere Einrichtungen aus allen achtzehn II und I Sektoren sind Important Entities
• Sonderfälle aus II und I, die Mitgliedsstaaten als Important festlegen:
  • Einzelne Einrichtungen (sole provider), die national alleine essentiell für Gesellschaft und Wirtschaft sind
  • Einrichtungen, deren Ausfall einen signifikanten Effekt auf die öffentliche Sicherheit oder Gesundheit hätte
  • Einrichtungen, deren Ausfall ein signifikantes systemisches Risiko für Sektoren und grenz­überschreitende Abhängigkeiten darstellt
  • Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind

Sektoren

NIS2 definiert in Annex I und II der EU-Direktive achtzehn betroffene NIS2 Sektoren. Die deutsche NIS2-Umsetzung weicht leicht von diesen Sektoren ab.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 1
* - in NIS2 teils unabhängig der Größe

NIS2-Sektoren	Inhalt	DE NIS2
Annex I Sektoren (Essential)
Energie	Elektrizität Fernwärme Erdöl Erdgas Wasserstoff	Energie
Transport	Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr	Transport/Verkehr
Bankwesen	Kreditinstitute	Finanzwesen
Finanzmärkte	Handelsplätze Zentrale Gegenpartien	Finanzwesen
Gesundheit	Gesundheits­dienstleister EU Labore Medizinforschung Pharmazeutik Medizingeräte	Gesundheit
Trinkwasser	Wasserversorgung	Wasser
Abwasser	Abwasserentsorgung	Wasser
Digitale Infrastruktur	Internet-Knoten (IXP) DNS (ohne Root)* TLD Registries* Cloud Provider Rechenzentren CDNs Vertrauensdienste (TSP)* Elektronische Kommunikation*	Digitale Infrastruktur
ICT Service Management im B2B	Managed Service Providers Managed Security Service Providers	Digitale Infrastruktur
Öffentliche Verwaltung	Zentralregierung* Regionale Regierung*	Bundesverwaltung
Weltraum	Bodeninfrastruktur	Weltraum
Annex II Sektoren (Important)
Post und Kurier	Postdienste	Transport
Abfall	Abfallbewirtschaftung	Entsorgung
Chemikalien	Produktion, Herstellung und Handel	Chemie
Lebensmittel	Produktion, Verarbeitung und Vertrieb	Ernährung
Industrie (Herstellung) NACE-Kategorien	Medizinprodukte und In-vitro DV (Computer), Elektronik, Optik Elektrische Ausrüstung Maschinenbau Kraftwagen und Teile Fahrzeugbau	Verarbeitendes Gewerbe
Digitale Dienste	Marktplätze Suchmaschinen Soziale Netzwerke	Digitale Dienste
Forschung	Forschungsinstitute	Forschung

Ausschlüsse

Von NIS2 nicht betroffen sind folgende Unternehmen:

• Kleinst (micro): <10 Beschäftigte und ≤2 Mio. EUR Umsatz/Bilanz
• Klein (small): <50 Beschäftigte und ≤10 Mio. EUR Umsatz/Bilanz

Cybersecurity

Die EU NIS2-Direktive legt für Essential und Important Entities Mindest­anforderungen an Cyber Security fest, deren Einhaltung die Geschäftsführung von Einrichtungen nach nationaler Gesetzgebung überwachen und dafür haftbar gemacht werden soll. Art. 20

Maßnahmen

Einrichtungen in der EU müssen mindestens folgende Cybersecurity-Maßnahmen (Risiko-Management) umsetzen, um IT und Netzwerke ihrer Dienstleistungen zu schützen: Art. 21

• Policies: Richtlinien für Risiken und Informationssicherheit
• Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
• Business Continuity: BCM mit Backup Management, DR, Krisen Management
• Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
• Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
• Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
• Training: Cyber Security Hygiene
• Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
• Personal: Human Resources Security
• Zugangskontrolle
• Asset Management
• Authentication: Einsatz von Multi Factor Authentisierung und SSO
• Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
• Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Bei der Auswahl der Maßnahmen sollen Einrichtungen einen Allgefahren­ansatz (all hazards approach) einsetzen.

Implementing Acts

Bestimmte Vorgaben aus EU NIS2 können durch in Implementing Acts der Europäischen Kommission, Durchführungs­rechtsakten, konkretisiert werden.

• Technische und methodische Maßnahmen für Internet-Provider (DNS, cloud, CDN, DCs, managed services), welche die Art. 25 Maßnahmen konkretisieren Art. 21 (5) UAbs 1
• Technische und methodische Maßnahmen für alle Sektoren, welche die Art. 25 Maßnahmen konkretisieren Art. 21 (5) UAbs 2
• Definitionen für signifikante Incidents und Meldeschwellen für Internet-Provider (s.o.), der möglicherweise auch für andere Sektoren genutzt werden soll Art. 23 (11)

Standards

Für Cybersecurity-Maßnahmen sollen internationale und europäische Standards gefördert werden, wozu die EU-Kommission noch konkretisierende Verordnungen erlassen kann. Ebenso können Mitglied­staaten Einrichtungen dabei die Nutzung von EU Cyber Security Zertifizierungen und zertifizierten Produkten vorschreiben. Art. 24 Art. 25

Meldewesen

Einrichtungen müssen ihre nationale Cybersecurity-Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ebenfalls wo möglich die Empfänger (Kunden) ihrer Dienstleistungen. Art. 23 EU-Mitglied­staaten sollen den Austausch von Informationen zwischen Einrichtungen fördern und unterstützen — mit Regeln, Plattformen und Technologien. Art. 29 Art. 30

Registrierung

Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren — die ihrerseits nationale Behörden informiert. Art. 25

Nationale Aufsicht

Die EU NIS2-Direktive legt umfangreiche Anforderungen an die nationalen Aufsichtsbehörden und die Governance für Cyber Security in den Mitglieds­staaten fest. Mitglied­staaten steht es frei, über die NIS2Anforderungen mit eigener Regulierung hinaus­zugehen. Art. 5

Sektoren und Betreiber

Bestehende und sektor-spezifische Regulierung soll bestehen bleiben, wenn äquivalent; fehlende Sektoren müssen dann aber von NIS2-Regelungen abgedeckt werden. Art. 4

Mitglied­staaten müssen bis April 2025 Listen über Einrichtungen von important und essential services erstellen und an die EU Kommission melden. Art. 3

Nationale Cyber Security Strategien

Mitglied­staaten müssen eine nationale Cyber-Sicherheits­strategie (NCSS) als Rahmen der Cybersecurity-Regulierung definieren und mit angemessener Aufsicht umsetzen, dazu gehören diverse nationale Pläne und Verbesserungs­vorhaben. Art. 7

Behörden

Mitglied­staaten sollen Behörden im eigenen Land für Cybersecurity-Aufgaben designieren und ermächtigen:

• Competent Authority: Eine für Cybersecurity und Aufsicht zuständige Behörde und Single Point of Contact Art. 8
• Krisen-Management: Für die nationale Bewältigung von large-scale Cyber Security Incidents und Krisen Art. 9
• CSIRT: Für das Incident Handling der kritischen Sektoren muss ein nationales Computer Security Incident Response Team (CSIRT) eingerichtet werden Art. 10
• Nationale Kooperation: Die Cyber Security Behörden, CSIRT und SPOCs in den Mitglied­staaten sollen eng zusammenarbeiten Art. 13

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland die NIS2 Competent Authority.

Governance

NIS2 schreibt umfangreiche nationale Aufsicht in Mitglied­staaten vor. Art. 31

Die Liste der Befugnisse der nationalen Behörden bei Essential Einrichtungen umfasst über drei Seiten und enthält tiefe Vorgaben und Enforcement Actions: Art. 32 Art. 29

• Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen können
• Dies schliesst Random Checks durch Experten (trained professionals), und regelmäßige und ad-hoc Security Audits durch unabhängige Dritte oder Behörden ein
• Dies schliesst ebenfalls Security Scans ein
• Informationen: Behörden sollen Daten, Akten, Informationen, Nachweise der Umsetzung anfordern und einsehen können
• Anweisungen: Behörden sollen Einrichtungen im Fall von Non-Compliance Anweisungen erteilen, öffentliche Warnungen aussprechen, einen Aufsichtsbeamten bestellen können
• Betriebserlaubnis: Bei fortwährender Non-Compliance sollen Behörden Fristen setzen und bei Verstößen die Betriebserlaubnis, Zertifizierungen o.ä. entziehen können
• Organhaftung: Die Leitungsorgane von Einrichtungen sollen für Verstöße persönlich haftbar gemacht werden

Die Aufsichtspflichten für Important Einrichtungen lehnen sich an diese an und sind (nur noch) leicht abgeschwächt. Art. 33

Sanktionen

Für Verstöße gegen die Anforderungen von NIS2 sollen nationale Strafen, Geldbuße und Sanktionen erlassen werden. Art. 34 Art. 35 Art. 36

• Essential Sektoren: Strafen bis zu einem Maximum von mind. 10 Mio. EUR oder 2% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23 (Cyber Security Maßnahmen und Meldungen)
• Important Sektoren: Strafen bis zu einem Maximum von mind. 7 Mio. EUR oder 1,4% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23

Incidents und Meldungen

Für die Bewältigung von Cyber Security Incidents sollen Mitglied­staaten ein nationales CSIRT einrichten, das die kritischen Sektoren im Land abdeckt: Art. 10 Art. 11 Art. 13

• Überwachung von nationalen Cyber Threats und Incidents
• Frühwarnung, Alarmierung und Informationen zu Cyber Risiken
• Incident Bewältigung und Unterstützung
• Proaktives Scannen von Netzwerken bei Bedarf
• Zusammenarbeit in der EU, im CSIRT-Netzwerk und mit Einrichtungen

Nationale Behörden müssen sicherstellen, dass die nationalen CSIRTs in Meldungen involviert sind, und bei grenz­überschreitenden Vorfällen die Single Points of Contact in anderen Mitglied­staaten einzubinden. Art. 23

Domains und TLDs

Mitglied­staaten sollen Registrierungsdaten von TLD-Registries und Domain-Registries erfassen — dies umfasst eine Datenbank an Domain-Namen, Namen und Kontaktdaten der Registranten. Weiterhin gibt es striktere Regeln zur Erfassung und Aktualisierung von Daten innerhalb der Registries. Art. 28

Zusammenarbeit in der EU

Kooperation

Die Cooperation Group (CG) steuert die Zusammenarbeit innerhalb der EU und zwischen Mitglied­staaten. Dabei tauschen sich Vertreter der Mitglied­staaten, der ENISA und weiterer Stakeholder zu Best Practices, Methoden und Informationen aus. Art. 14

Für das Management von großflächigen Cyber Incidents und Krisen in der EU soll das 2020 eingerichtete European Cyber Crises Liaison Organisation Network, EU-CyCLONe, dienen, mit Vorbereitungen und Awareness für Krisen. Die EU darf auch internationale Vereinbarungen zur Zusammenarbeit eingehen. Art. 16 Art. 17

Cyber Security

Die ENISA soll einen zweijährlichen Bericht zum Stand der Cyber Security in der EU anfertigen — zu Fähigkeiten, Ressourcen, und einem Cyber Security Index. Art. 18

Mit Peer Reviews soll die Effektivität der nationalen Cyber Security Strategien (NCSS) in den EU Mitglied­staaten überprüft werden. Die Methode und Kriterien sollen von der Kommission zusammen mit der ENISA festgelegt werden, zu betrachtende Themen umfassen: Art. 19

• Cyber Security Fähigkeiten und Ressourcen der nationalen Behörden
• Umsetzung der Reporting und Risiko-Management Anforderungen
• Fähigkeiten und Effektivität der CSIRTs
• Effektivität vom Informationsaustausch und der gegenseitigen Unterstützung

Die Sicherheit von Lieferketten, IT-Diensten und Systemen soll von der Cooperation Group und der Kommission untersucht und kritische Ergebnisse identifiziert werden. Art. 22

Informationsaustausch

Die nationalen CSIRTs sollen im EU-Netzwerk Informationen zu Incidents, Krisen und Fähigkeiten austauschen. Das CSIRT-Netzwerk dient auch zu tieferer Kooperation bei cross-border Vorfällen, Bewertung von EU Übungen, CSIRT-Fähigkeiten und Berichten. Art. 15

Territorialität und Jurisdiktion

Die Zuständigkeit für Einrichtungen in den Important und Essential Sektoren bleibt national – Einrichtungen fallen unter die nationale Jurisdiktion und Behörde(n), wo sie etabliert sind.

Es gibt jedoch in manchen Fällen auch zentrale Zuständigkeit einzelner nationaler Behörden für Einrichtungen, die EU-weit tätig sind: Art. 26

• Anbieter elektronischer Kommunikations­netze und öffentlicher Kommunikations­dienste fallen unter die Jurisdiktion, wo sie ihre Dienste anbieten
• Anbieter digitaler Infrastrukturen und Diensten wie DNS-Provider, TLD-Registries, Domain-Registries, Cloud-Provider, Rechenzentren, CDN-Provider, Managed Service Provider, Managed Security Service Provider, Online Marktplätze, Suchmaschinen und Soziale Netzwerke fallen unter die Jurisdiktion beim Mitglied­staat ihres Hauptsitzes (main establishment) in der EU. Dieser Hauptsitz ist definiert als:
  • Der Mitglied­staat, an dem Cyber Risiko Maßnahmen getroffen werden, oder
  • der Mitglied­staat, an dem Cyber Security Operations durchgeführt werden, oder
  • der Mitglied­staat mit der höchsten Mitarbeiterzahl in der EU.
• Öffentliche Verwaltung fällt unter die Jurisdiktion des Staates, der diese etabliert hat
• Hat ein Anbieter keinen Sitz in der EU, bietet aber Dienste an, muss er definierte Vertreter in der EU bestimmen
• Mitglied­staaten und die EU können Maßnahmen gegen diese Anbieter ergreifen

Bei europäischen Einrichtungen, die Dienste in mehreren Mitglied­staaten anbieten oder deren IT in mehreren Mitglied­staaten ist, sollen die nationalen Aufsichtsbehörden zusammenarbeiten oder, wo notwendig, gemeinsame Aufsicht ausüben. Art. 37

Datenbanken und Register

Schwachstellen sollen in der EU koordiniert veröffentlich werden. Mitglied­staaten sollen jeweils über ihr CSIRT an diesen Mechanismen teilnehmen, abgestimmt in der EU mit Herstellern, Anwendern. Die ENISA soll dazu ein Schwachstellen-Register aufbauen. Art. 12

Die ENISA soll ein Register von Anbietern digitaler Dienste aufbauen: DNS-Provider, TLD-Registries, Domain-Registries, Cloud-Provider, Rechenzentren, CDN-Provider, Managed Service Provider, Managed Security Service Provider, Online Marktplätze, Suchmaschinen und Soziale Netzwerke. Die Mitglied­staaten sollen über ihre Behörden und Single Points of Contact Informationen über diese Einrichtungen an die ENISA schicken, unter anderem Namen, Sektor, Registrierungs­daten, Marktgebiet und IP-Ranges. Art. 27

Gesetzgebung

Die EU NIS-Regulierung legt im Kern Mindestanforderungen für den Schutz Kritischer Infrastrukturen in der EU und ihren Mitglied­staaten fest. Diese Anforderungen der NIS2 und RCE Direktiven müssen noch verabschiedet und in nationales Recht überführt werden.

EU

Der letzte Entwurf der Kommission von EU NIS2 ist von Dezember 2020, der von EU RCE ebenfalls. Ab Oktober 2021 gab es einen leicht veränderten Kompromiss-Vorschlag des Europäischen Parlaments, im Mai 2022 konnte dann Einigkeit zwischen Kommission und Parlament erzielt werden. Das EU-Parlament hat am 10. November 2022 dem NIS2 Entwurf zugestimmt (T9-0383/2022), der Rat am 28. November 2022, womit NIS2 in Kraft ist.

EU-Mitglied­staaten müssen bis Oktober 2024, innerhalb von 21 Monaten, die Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

EU NIS2 wird in Deutschland durch das NIS2-Umsetzungsgesetz in nationales Recht überführt.

In Deutschland wird NIS2 zu einer deutlichen Erweiterung der erfassten Einrichtungen führen und Befugnisse und Handlungs­möglichkeiten für die national zuständigen Behörden erweitert werden. Die deutsche KRITIS-Methodik von Anlagen soll beibehalten werden: das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritisverordnung berücksichtigt wird.

Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt. Das IT-Sicherheitsgesetz 2.0 nahm 2021 einige Änderungen von NIS2 schon vorweg.

Review

EU NIS2 soll periodisch von der Kommission gereviewed werden, mit dem ersten Report 4½ Jahre nach Inkrafttreten.

Zeitleiste

Ablauf NIS und NIS2-Direktiven, Stand November 2022
aus: EU PE 689.333.

Version	Status	Datum	Akteur
NIS	Deadline nationale Umsetzung	Mai 2018	Mitglied­staaten
NIS	EU-weite nationale Umsetzung	2020	Mitglied­staaten
NIS	Evaluation/review Roadmap	Jun 2020	Kommission
NIS	Open public consultation	7-10/2020	Kommission
NIS2	Impact Assessment (IA)	Okt 2020	Kommission
NIS2	Feedback zum IA	Nov 2020	Regulatory Scrutiny Board
NIS2	Entwurfsversion (Proposal)	Dez 2020	Kommission
NIS2	Opinion zum Entwurf	Apr 2021	EESC
NIS2	Deadline nationale Rückmeldungen	Mar 2021	Nationale Parlamente
NIS2	Kompromiss­vorschlag NIS2	Okt 2021	EU Parlament
NIS2	Einigkeit NIS2	Mai 2022	EU Parlament + Kommission
NIS2	Zustimmung NIS2	Nov 2022	EU Parlament
NIS2	Annahme NIS2	Nov 2022	Rat der EU
NIS2	EU 2022/2555	Dez 2022	Amtsblatt
NIS2	Umsetzung national	bis Okt 24	Mitglied­staaten

Literatur

1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
2. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
3. SME User Guide, European Commission, 2020
4. EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation , Council of the EU, Press release, 28 November 2022
5. EN OpenKRITIS EU NIS2 directive - Cyber security for EU operators, Major changes in EU NIS2 and cyber security for operators, 12 slides ∙ PDF ∙ November, 2021 — in English
6. The NIS2 Directive: A high common level of cybersecurity in the EU, EPRS - European Parliamentary Research Service, PE 689.333, 01 Dec 2021
7. NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit, Heise Online 10/2021
8. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
9. DIGITALEUROPE’s position on the NIS2 Directive, DIGITALEUROPE, 19 Mar 2021
10. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
11. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
12. Gesetz zur Umsetzung der NIS-Richtlinie, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
13. Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148, Webseite des Innenministeriums, 25.1.2017
14. Blue OLEx 2020: the European Union Member States launch the Cyber Crisis Liaison Organisation Network (CyCLONe), ENISA Press Release, 29.9.2020

Quellen

1. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
2. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
3. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
4. EU erzielt Einigung über neue Vorschriften für die Cyber­sicherheit kritischer Einrichtungen und Netze, Vertretung der EU in Deutschland, Pressemitteilung 13. Mai 2022
5. COMPROMISE AMENDMENT 1 for NIS2 Directive, CA 1 for (2020)0823 - 2020/0359 (COD), Oktober 2021
6. Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
7. Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
8. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016