Die „NIS 2“ soll Cybersicherheit in der EU vereinheitlichen
EU-Kommission legt Vorschlag zur Überarbeitung der NIS-Richtlinie vor

Mit der sogenannten „NIS 2“ will die Kommission die Cybersicherheitsstandards in den EU-Mitgliedsstaaten vereinheitlichen und den technologischen Entwicklungen der vergangenen Jahre Rechnung tragen. Laut Richtlinienvorschlag sollen neue Sektoren und mehr Unternehmen als zuvor einen Katalog an Sicherheitsmaßnahmen erfüllen.

21.01.21

Am 16. Dezember 2020 hat die Kommission einen Vorschlag für eine Richtlinie „über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union“, die sogenannte NIS 2, vorgelegt. Hierbei handelt es sich um die Neufassung der NIS-Richtlinie aus dem Jahr 2016, welche die erste EU-weite Rechtsvorschrift über Cybersicherheit war. Sie verpflichtet die EU-Mitgliedsstaaten bisher, in bestimmten Sektoren sogenannte „Betreiber wesentlicher Dienste“ zu ermitteln und ihnen Cybersicherheitsstandards aufzuerlegen. Allerdings unterscheidet sich die Umsetzung der Richtlinie und somit das erreichte Sicherheitsniveau zwischen den EU-Mitgliedsstaaten stark, weshalb die Kommission die Richtlinie nun überarbeitet.

Die Neufassung der Richtlinie soll die Cybersicherheitsstandards in den EU-Mitgliedsstaaten vereinheitlichen und den technologischen Entwicklungen der vergangenen Jahre Rechnung tragen. Hierzu soll die Ermittlung cybersicherheitspflichtiger Betreiber nicht länger den Mitgliedsstaaten überlassen werden. Die bisherige NIS-Richtlinie gibt den Mitgliedsstaaten Gestaltungsspielraum bei der Festlegung der Schwellenwerte für die Ermittlung der „Betreiber wesentlicher Dienste“. Das Resultat ist eine sehr heterogene Ermittlung der Betreiber, da sich die Schwellenwerte zwischen den Mitgliedsstaaten stark unterscheiden. Die NIS 2 würde sogenannte „wesentliche Einrichtungen“ (essential entities) in den einschlägigen Sektoren bestimmen, die alle in den Anwendungsbereich der Richtlinie fallen. Ausnahmen sollen laut Vorschlag der Kommission Kleinst- und kleine Unternehmen bilden, die nur unter bestimmten Umständen zu den Cybersicherheitsmaßnahmen verpflichtet werden könnten. Zusätzlich zur Ausweitung der Richtlinie auf mehr Unternehmen in den einzelnen Sektoren sollen auch neue Sektoren in die NIS 2 aufgenommen werden: Neben der Abfall- und Abwasserentsorgung schlägt die Kommission auch vor, Postdienste und die öffentliche Verwaltung in den Anwendungsbereich der neuen Richtlinie aufzunehmen.

Einheitliche Sicherheitspflichten

Zusätzlich zum Anwendungsbereich sollen auch die Sicherheitspflichten in allen Mitgliedsstaaten vereinheitlicht werden. Hierzu beinhaltet der aktuelle Richtlinienvorschlag für die NIS 2 einen Katalog an Sicherheitsmaßnahmen, welche perspektivisch von den Betreibern wesentlicher Einrichtungen umgesetzt werden müssten. Die EU-Mitgliedsstaaten können in der Umsetzung der Richtlinie die technischen Details der einzelnen Sicherheitsmaßnahmen ausgestalten. Gemäß der bisherigen NIS-Richtlinie können die EU-Mitgliedsstaaten hingegen frei entscheiden, zu welchen Maßnahmen sie die Betreiber verpflichten, solange sie ein dem Risiko angemessenes Sicherheitsniveau gewährleisteten und dem Stand der Technik entsprechen. Durch die umfangreicheren Vorgaben der NIS 2 soll ein hohes Sicherheitsniveau in allen EU-Mitgliedsstaaten erreicht werden.

Koordination auf europäischer Ebene

Die EU-weite Koordination und Kooperation im Bereich Cybersicherheit ist ein weiteres Kernelement des Richtlinienvorschlags. So würde die Richtlinie alle EU-Mitgliedsstaaten dazu verpflichten, sogenannte „Computer security incident response teams“ (CSIRTs) zu bestimmen, welche sich über eine neue Kooperationsgruppe, das sogenannte „CSIRTs-Netzwerk“, koordinieren würden. Um die Umsetzung der NIS 2 weiter zu harmonisieren, soll eine „NIS Cooperation Group“ eingerichtet werden. Diese setzt sich neben Vertretern der einzelnen EU-Mitgliedsstaaten aus Vertretern der Europäischen Cybersicherheitsagentur (ENISA) und der Kommission zusammen. Zusätzlich soll ein „European cyber crises liaison organisation network“ (EU-CyCLONe) ins Leben gerufen werden, um die Vorbereitung für und den Umgang mit großflächigen und länderübergreifenden Cybersicherheitsvorfällen zu koordinieren.

Weiterer Prozess

Das Europäische Parlament und der Rat der Europäischen Union müssen sich nun zu dem Richtlinienvorschlag der Kommission positionieren. Daraufhin werden sie in den sogenannten Trilogverhandlungen einen Kompromiss aushandeln, welcher in der formellen Beschließung des Gesetzes mündet. Danach sollen die EU-Mitgliedsstaaten 18 Monate Zeit haben, um die Richtlinie in nationales Recht umzusetzen. Mit einer Verabschiedung vor Ende 2021 ist nicht zu rechnen. Der VKU begleitet den Prozess in Brüssel eng und wird die kommunalwirtschaftliche Position in den Prozess einbringen. Hierzu steht er im engen Austausch mit den europäischen Dachverbänden SGI Europe und CEDEC.