Einführung in die NIS 2-Richtlinie

Die NIS 2-Richtlinie ist eine überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit, die darauf abzielt, ein hohes und einheitliches Cybersicherheitsniveau in der gesamten Europäischen Union zu gewährleisten.

Die erweitert den Anwendungsbereich der Vorgänger-Richtlinie, definiert neue Pflichten für Unternehmen in kritischen und wichtigen Sektoren und stärkt den Informationsaustausch sowie die Zusammenarbeit zwischen den Mitgliedstaaten. Die Richtlinie befindet sich seit ihrem Inkrafttreten in der EU in der Umsetzungsphase – Unternehmen und öffentliche Einrichtungen müssen ihre internen Maßnahmen anpassen, um den neuen, verbindlichen Mindeststandards zu entsprechen.

10 Praxisrelevante FAQs zur NIS 2-Richtlinie

1. Was ist die NIS 2-Richtlinie und welchen Zweck verfolgt sie?

Die NIS 2-Richtlinie ist eine EU-weite Regelung zur Verbesserung der Cybersicherheit. Sie legt verbindliche Mindeststandards für Unternehmen in kritischen und wichtigen Sektoren fest, um den Schutz vor Cyberangriffen zu erhöhen, die Versorgungssicherheit zu gewährleisten und den Informationsaustausch sowie die Zusammenarbeit zwischen den Mitgliedstaaten zu stärken.

Die Richtlinie gilt für Unternehmen, die in den als kritisch definierten Sektoren tätig sind – wie Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und Finanzwesen – sowie für bestimmte andere wichtige Einrichtungen. Unternehmen sollten prüfen, ob ihre Tätigkeiten in die in den Anhängen I und II definierten Kategorien fallen.

Unternehmen müssen angemessene technische, operative und organisatorische Risikomanagementmaßnahmen implementieren, regelmäßige Risikoanalysen durchführen, Sicherheitsvorfälle innerhalb definierter Fristen melden und an Informationsaustauschvereinbarungen teilnehmen. Darüber hinaus sind Führungskräfte verpflichtet, die Umsetzung dieser Maßnahmen zu überwachen und für deren Einhaltung verantwortlich zu sein.

Die Richtlinie schreibt vor, dass Unternehmen ein ganzheitliches Risikomanagementsystem einrichten, das nicht nur technische Maßnahmen, sondern auch organisatorische Prozesse und Schulungen umfasst. Dies hilft, potenzielle Schwachstellen zu identifizieren, Sicherheitsvorfälle zu verhindern und im Notfall schnell zu reagieren.

Unternehmen müssen Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle innerhalb von festgelegten Fristen melden (z. B. 24 bis 72 Stunden für die erste Meldung und einen Abschlussbericht spätestens einen Monat nach dem Vorfall). Diese Berichte sollen den zuständigen Behörden helfen, ein umfassendes Bild der aktuellen Cyberlage zu erhalten und koordinierte Maßnahmen einzuleiten.

Bei Nichteinhaltung der NIS 2-Anforderungen können nationale Aufsichtsbehörden Maßnahmen ergreifen, wie etwa Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen und das Verhängen von Geldbußen. Die Geldbußen können erheblich sein – sie orientieren sich an einem Mindestbetrag, der je nach Unternehmensgröße und Schwere des Verstoßes variiert.

Die Richtlinie fördert den freiwilligen Austausch von Cybersecurity-Informationen unter Unternehmen, CSIRTs und Behörden. Dieser Austausch umfasst Daten zu Cyberbedrohungen, Sicherheitsvorfällen und Schwachstellen. Eine enge Zusammenarbeit und der regelmäßige Informationsaustausch helfen dabei, Bedrohungen schneller zu erkennen und abzuwehren.

Die NIS 2-Richtlinie kann Unternehmen verpflichten, IKT-Produkte, -Dienste und -Prozesse einzusetzen, die nach europäischen Zertifizierungsschemata zertifiziert sind. Dies soll sicherstellen, dass die eingesetzten Technologien den höchsten Sicherheitsstandards entsprechen und somit das Risiko von Cyberangriffen verringern.

Die Richtlinie stärkt die grenzüberschreitende Zusammenarbeit, indem sie gemeinsame Krisenmanagementpläne, Informationsaustausch und koordinierte Aufsichtsmaßnahmen vorsieht. Unternehmen profitieren von einem europäischen Rahmen, der schnelle Reaktionen auf Cybervorfälle ermöglicht und so die allgemeine Resilienz stärkt.

Beginnen Sie mit einer umfassenden Risikoanalyse Ihrer IT-Systeme und Geschäftsprozesse. Implementieren Sie geeignete Sicherheitsmaßnahmen, schulen Sie Ihr Personal regelmäßig und etablieren Sie Prozesse zur schnellen Meldung von Sicherheitsvorfällen. Prüfen Sie zudem, ob Ihre Branche in den als kritisch definierten Sektoren fällt, und passen Sie Ihre Compliance-Maßnahmen entsprechend an.

Zusammenfassung des Kapitels I – Allgemeine Bestimmungen

  • Artikel 1 beschreibt den Gegenstand der Richtlinie: Es geht darum, in der gesamten EU ein hohes und einheitliches Cybersicherheitsniveau zu erreichen, um das Funktionieren des Binnenmarkts sicherzustellen. Zu diesem Zweck werden von den Mitgliedstaaten nationale Cybersicherheitsstrategien, zuständige Behörden, zentrale Anlaufstellen und ComputerNotfallteams (CSIRTs) eingeführt. Zudem werden Pflichten zum Risikomanagement, zum Informationsaustausch und zur Aufsicht festgelegt.
  • Artikel 2 regelt den Anwendungsbereich der Richtlinie. Er bestimmt, dass die Richtlinie für öffentliche und private Einrichtungen gilt, die in den Anhängen I oder II genannt sind – insbesondere für solche, die als mittlere Unternehmen gelten oder kritische Dienste in der EU erbringen. Der Artikel enthält auch Bestimmungen zu Ausnahmen und erweitert den Geltungsbereich auf Einrichtungen, die beispielsweise Domänennamenregistrierungsdienste erbringen oder als kritische Einrichtungen nach anderen EU-Richtlinien eingestuft werden.
  • Artikel 3 definiert die Begriffe „wesentliche“ und „wichtige“ Einrichtungen. Wesentliche Einrichtungen umfassen Unternehmen, die bestimmte Schwellenwerte überschreiten oder kritische Dienste anbieten, während Unternehmen, die diese Kriterien nicht erfüllen, als wichtige Einrichtungen gelten. Artikel 4 bis 6 ergänzen den Rahmen, indem sie sektorspezifische Regelungen, Mindestharmonisierung und die zentralen Begriffsbestimmungen festlegen, die für das Verständnis und die Umsetzung der Richtlinie unabdingbar sind.

Praxisrelevante FAQs für Unternehmen

Welches Ziel verfolgt die NIS 2-Richtlinie und was bedeutet das für mein Unternehmen?

Die Richtlinie hat das Ziel, ein einheitliches und hohes Cybersicherheitsniveau in der gesamten EU zu erreichen. Für Ihr Unternehmen heißt das, dass Sie sich an verbindliche Mindeststandards halten müssen, um Ihre IT-Systeme und Geschäftsprozesse vor Cyberangriffen zu schützen. Dies trägt dazu bei, dass kritische Dienste auch im Notfall reibungslos funktionieren und dass Sie von einem verbesserten, grenzüberschreitenden Informationsaustausch profitieren.

Die Richtlinie gilt für öffentliche und private Einrichtungen, die in den Anhängen I oder II genannt sind, insbesondere wenn sie als mittlere Unternehmen gelten oder kritische Dienste erbringen. Wenn Ihr Unternehmen beispielsweise öffentliche Kommunikationsdienste, Vertrauensdienste oder Domänennamenregistrierungsdienste anbietet, unterliegen Sie den Vorgaben der Richtlinie.

Die Einstufung erfolgt anhand festgelegter Kriterien wie Unternehmensgröße, Art der erbrachten Dienste und deren Bedeutung für den Binnenmarkt. Wesentliche Einrichtungen unterliegen strengeren Anforderungen und Meldepflichten, während wichtige Einrichtungen weniger strenge Vorgaben haben. Die Einstufung beeinflusst direkt, welche Maßnahmen Sie umsetzen müssen.

Die Mitgliedstaaten sind verpflichtet, Listen aller wesentlichen und wichtigen Einrichtungen zu erstellen und regelmäßig zu aktualisieren. Ihr Unternehmen muss dabei relevante Informationen wie Name, Anschrift, Kontaktdaten sowie den Sektor, in dem Sie tätig sind, übermitteln. Dies erleichtert den Behörden die Überwachung und unterstützt den Informationsaustausch auf nationaler und EU-Ebene.

Sie müssen eine fundierte Risikoanalyse durchführen und darauf basierend konkrete Schutzmaßnahmen implementieren. Die Richtlinie fordert, dass die getroffenen Maßnahmen international anerkannten Normen entsprechen und dem tatsächlichen Risiko angemessen sind – damit Ihre IT-Systeme wirksam geschützt werden, ohne dass unnötige Ressourcen belastet werden.

Im Falle eines Cybervorfalls verlangt die Richtlinie, dass Ihr Unternehmen innerhalb von 24 bis 72 Stunden eine erste Meldung abgibt. Diese Meldung muss grundlegende Informationen über den Vorfall, dessen potenzielle Auswirkungen und bereits ergriffene Maßnahmen enthalten, um eine schnelle Reaktion und Schadensbegrenzung durch die zuständigen Behörden zu ermöglichen.

Die Richtlinie sieht den Aufbau zentraler Anlaufstellen und standardisierter Kommunikationswege vor, über die relevante Informationen zu Cyberbedrohungen und Sicherheitsvorfällen ausgetauscht werden. Das führt zu einer verbesserten Zusammenarbeit zwischen den Behörden und ermöglicht Ihnen als Unternehmen, schneller und zielgerichteter Unterstützung zu erhalten.

Sollte Ihr Unternehmen die festgelegten Sicherheitsstandards und Meldepflichten nicht einhalten, können die zuständigen Aufsichtsbehörden Maßnahmen wie Geldbußen verhängen. Diese Sanktionen dienen dazu, die Einhaltung der Richtlinie sicherzustellen und den Schutz der gesamten EU-Infrastruktur zu gewährleisten.

Abhängig von Ihrer Branche können zusätzlich sektorspezifische Rechtsakte der EU gelten, die spezielle Anforderungen an das Cybersicherheitsrisikomanagement und an die Meldepflichten stellen. Prüfen Sie, ob Ihr Unternehmen in einem Sektor tätig ist, in dem solche zusätzlichen Vorgaben gelten, um sicherzustellen, dass Sie alle relevanten Anforderungen erfüllen.

Original Kapitel aus der NIS2 Richtlinie

KAPITEL I ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand

(1) In dieser Richtlinie werden Maßnahmen festgelegt, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts zu verbessern

(2) Zu diesem Zweck wird in dieser Richtlinie Folgendes festgelegt:

a) die Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige nationale Behörden, Behörden für das Cyberkrisenmanagement, zentrale Anlaufstellen für Cybersicherheit (zentrale Anlaufstellen) und Computer-Notfallteams (CSIRT) zu benennen oder einzurichten;

b) Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Berichtspflichten für Einrichtungen der in den Anhang I oder II aufgeführten Arten sowie für Einrichtungen, die nach Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden;

c) Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen;

d) Aufsichts- und Durchsetzungspflichten für die Mitgliedstaaten.

Artikel 2

Anwendungsbereich

(1) Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhang I oder II genannten Art, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben. Artikel 3 Absatz 4 des Anhangs dieser Empfehlung gilt nicht für die Zwecke dieser Richtlinie.

(2) Unabhängig von der Größe der Einrichtungen gilt diese Richtlinie auch für Einrichtungen der in den Anhang I oder II genannten Art, wenn

a) die Dienste erbracht werden von:

i) Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;

ii) Vertrauensdiensteanbietern;

iii) Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;

b) es sich bei der Einrichtung in einem Mitgliedstaat um den einzigen Anbieter eines Dienstes handelt, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist;

c) sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;

d) eine Störung des von der Einrichtung erbrachten Dienstes zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte;

e) die Einrichtung aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist;

f) die Einrichtung eine Einrichtung der öffentlichen Verwaltung:

i) von einem Mitgliedstaat gemäß nationalem Recht definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung ist oder

ii) von einem Mitgliedstaat gemäß nationalem Recht definierte Einrichtung der öffentlichen Verwaltung auf regionaler Ebene ist, die nach einer risikobasierten Bewertung Dienste erbringt, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte.

(3) Unabhängig von der Größe der Einrichtungen gilt diese Richtlinie auch für Einrichtungen, die nach Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden.

(4) Unabhängig von der Größe der Einrichtungen gilt diese Richtlinie auch für Einrichtungen, die Domänennamenregistrierungsdienste erbringen.

(5) Die Mitgliedstaaten können vorsehen, dass diese Richtlinie Anwendung findet auf:

a) Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene;

b) Bildungseinrichtungen, insbesondere wenn sie kritische Forschungstätigkeiten durchführen.

(6) Diese Richtlinie lässt die Zuständigkeit der Mitgliedstaaten in Bezug auf die Aufrechterhaltung der nationalen Sicherheit und ihre Befugnis, andere wesentliche staatliche Funktionen zu schützen, einschließlich der Wahrung der territorialen Unversehrtheit des Staates und der Aufrechterhaltung der öffentlichen Ordnung, unberührt.

(7) Diese Richtlinie gilt nicht für Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung ausüben, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten.

(8) Zu diesem Zweck können die Mitgliedstaaten bestimmte Einrichtungen, die in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung tätig sind, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, oder die Dienste ausschließlich für die in Absatz 7 dieses Artikels genannten Einrichtungen der öffentlichen Verwaltung erbringen, von den in Artikel 21 oder 23 festgelegten Verpflichtungen in Bezug auf diese Tätigkeiten oder Dienste ausnehmen. In solchen Fällen gelten die in Kapitel VII genannten Aufsichts- und Durchsetzungsmaßnahmen nicht für diese spezifischen Tätigkeiten oder Dienste. Wenn die Einrichtungen ausschließlich Tätigkeiten der in diesem Absatz genannten Art ausüben oder entsprechende Dienste erbringen, können die Mitgliedstaaten auch beschließen, diese Einrichtungen von den in den Artikeln 3 und 27 festgelegten Verpflichtungen auszunehmen.

(9) Die Absätze 7 und 8 finden keine Anwendung, wenn eine Einrichtung als Vertrauensdiensteanbieter auftritt.

(10) Diese Richtlinie gilt nicht für Einrichtungen, die die Mitgliedstaaten gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 vom Anwendungsbereich der genannten Verordnung ausgenommen haben.

(11) Die in dieser Richtlinie festgelegten Verpflichtungen umfassen nicht die Bereitstellung von Informationen, deren Offenlegung wesentlichen Interessen der Mitgliedstaaten im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung zuwiderlaufen würde.

(12) Diese Richtlinie gilt unbeschadet der Verordnung (EU) 2016/679, der Richtlinie 2002/58/EG, der Richtlinien 2011/93/EU (27) und 2013/40/EU (28) des Europäischen Parlaments und des Rates sowie der Richtlinie (EU) 2022/2557

(13) Unbeschadet des Artikels 346 AEUV werden Informationen, die gemäß den Vorschriften der Union oder der Mitgliedstaaten, wie z. B. Vorschriften über das Geschäftsgeheimnis, vertraulich sind, mit der Kommission und anderen zuständigen Behörden im Einklang mit dieser Richtlinie nur ausgetauscht, wenn dieser Austausch für die Anwendung dieser Richtlinie erforderlich ist. Die auszutauschenden Informationen werden auf den zum Zweck dieses Informationsaustauschs relevanten und angemessenen Umfang beschränkt. Beim Informationsaustausch werden die Vertraulichkeit der Informationen gewahrt sowie die Sicherheit und die geschäftlichen Interessen der betreffenden kritischen Einrichtungen geschützt.

(14) Einrichtungen, die zuständige Behörden, die zentrale Anlaufstellen und die CSIRTs verarbeiten personenbezogene Daten, soweit dies für die Zwecke dieser Richtlinie erforderlich ist und im Einklang mit der Verordnung (EU) 2016/679, insbesondere auf der Grundlage von Artikel 6 der genannten Verordnung. Die Verarbeitung personenbezogener Daten gemäß dieser Richtlinie durch Anbieter öffentlicher elektronischer Kommunikationsnetze oder Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste erfolgt im Einklang mit dem Datenschutzrecht der Union und dem Unionsrecht zum Schutz der Privatsphäre, insbesondere der Richtlinie 2002/58/EG.

Artikel 3

Wesentliche und wichtige Einrichtungen

(1) Für die Zwecke dieser Richtlinie gelten als wesentliche Einrichtungen:

a) Einrichtungen der in Anhang I aufgeführten Art, die die in Artikel 2 Absatz 1 des Anhangs der Empfehlung 2003/361/EG genannten Schwellenwerte für mittlere Unternehmen überschreiten;

b) qualifizierte Vertrauensdiensteanbieter und Domänennamenregister der Domäne oberster Stufe sowie DNS-Diensteanbieter, unabhängig von ihrer Größe;

c) Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten;

d) Einrichtungen der öffentlichen Verwaltung nach Artikel 2 Absatz 2 Buchstabe f Ziffer i;

e) sonstige Einrichtungen der in Anhang I oder II aufgeführten Art, die von einem Mitgliedstaat gemäß Artikel 2 Absatz 2 Buchstaben b bis e als wesentliche Einrichtungen eingestuft werden;

f) Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden und die in Artikel 2 Absatz 3 der vorliegenden Richtlinie genannt werden;

g) sofern der Mitgliedstaat dies vorsieht, Einrichtungen, die von den Mitgliedstaaten vor dem 16. Januar 2023 gemäß der Richtlinie (EU) 2016/1148 oder nach nationalem Recht als Betreiber wesentlicher Dienste eingestuft wurden.

(2) Für die Zwecke dieser Richtlinie gelten Einrichtungen der in Anhang I oder II aufgeführten Art, die nicht als wesentliche Einrichtungen im Sinne von Absatz 1 des vorliegenden Artikels gelten, als wichtige Einrichtungen. Dies schließt Einrichtungen ein, die von den Mitgliedstaaten gemäß Artikel 2 Absatz 2 Buchstaben b bis e als wichtige Einrichtungen eingestuft wurden.

(3) Bis zum 17. April 2025 erstellen die Mitgliedstaaten eine Liste von wesentlichen und wichtigen Einrichtungen und von Einrichtungen, die Domänennamen-Registrierungsdienste erbringen. Die Mitgliedstaaten überprüfen diese Liste danach regelmäßig, mindestens jedoch alle zwei Jahre, und aktualisieren sie gegebenenfalls.

(4) Für die Zwecke der Erstellung der in Absatz 3 genannten Liste schreiben die Mitgliedstaaten vor, dass die jenem Absatz genannten Einrichtungen den zuständigen Behörden mindestens die folgenden Informationen übermitteln:

a) den Namen der Einrichtung,

b) die Anschrift und aktuellen Kontaktdaten, einschließlich der E-Mail-Adressen, IP-Adressbereiche und Telefonnummern

c) gegebenenfalls den relevanten Sektor und Teilsektor gemäß Anhang I oder II sowie

d) gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienste erbringen, die in den Anwendungsbereich dieser Richtlinie fallen. Die in Absatz 3 genannten Einrichtungen teilen alle Änderungen der gemäß Unterabsatz 1 des vorliegenden Absatzes übermittelten Angaben unverzüglich mit, in jedem Fall jedoch innerhalb von zwei Wochen ab dem Zeitpunkt der Änderung. Die Kommission stellt mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich Leitlinien und Vorlagen für die in diesem Absatz festgelegten Verpflichtungen bereit. Die Mitgliedstaaten können nationale Mechanismen für die Registrierung von Einrichtungen einrichten.

(5) Bis zum 17. April 2025 und danach alle zwei Jahre teilen die zuständigen Behörden Folgendes mit:

a) der Kommission und der Kooperationsgruppe für jeden Sektor und Teilsektor gemäß Anhang I oder II die Anzahl der wesentlichen und wichtigen Einrichtungen, die gemäß Absatz 3 auf die Liste aufgenommen wurden, und

b) der Kommission sachdienliche Informationen über die Zahl der wesentlichen und wichtigen Einrichtungen, die gemäß Artikel 2 Absatz 2 Buchstaben b bis e ermittelt wurden, über den Sektor und den Teilsektor gemäß Anhang I oder II, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmung unter denen in Artikel 2 Absatz 2 Buchstaben b bis e festgelegten Bestimmungen, auf deren Grundlage sie ermittelt wurden.

(6) Bis zum 17. April 2025 können die Mitgliedstaaten der Kommission auf Ersuchen der Kommission die Namen der wesentlichen und wichtigen Einrichtungen gemäß Absatz 5 Buchstabe b mitteilen.

Artikel 4

Sektorspezifische Rechtsakte der Union

(1) Wenn wesentliche oder wichtige Einrichtungen gemäß sektorspezifischen Rechtsakten der Union entweder Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder erhebliche Sicherheitsvorfälle melden müssen und wenn die entsprechenden Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen zumindest gleichwertig sind, finden die einschlägigen Bestimmungen dieser Richtlinie, einschließlich der Bestimmungen über Aufsicht und Durchsetzung in Kapitel VII, keine Anwendung auf solche Einrichtungen. Wenn die sektorspezifischen Rechtsakte der Union nicht für alle in den Anwendungsbereich dieser Richtlinie fallenden Einrichtungen eines bestimmten Sektors gelten, kommen die einschlägigen Bestimmungen dieser Richtlinie weiterhin für Einrichtungen zur Anwendung, die nicht unter diese sektorspezifischen Rechtsakte der Union fallen.

(2) Die in Absatz 1 dieses Artikels genannten Anforderungen gelten den in dieser Richtlinie festgelegten Verpflichtungen in ihrer Wirkung als gleichwertig, wenn

a) die Maßnahmen zum Cybersicherheitsrisikomanagement den in Artikel 21 Absätze 1 und 2 festgelegten Maßnahmen in ihrer Wirkung mindestens gleichwertig sind, oder

b) der sektorspezifische Rechtsakt der Union einen unmittelbaren – gegebenenfalls automatischen und direkten – Zugang zu den Meldungen von Sicherheitsvorfällen durch die CSIRTs, die zuständigen Behörden oder die zentralen Anlaufstellen gemäß dieser Richtlinie vorsieht und wenn die Anforderungen an die Meldung erheblicher Sicherheitsvorfälle in ihrer Wirkung mindestens den in Artikel 23 Absätze 1 bis 6 festgelegten gleichwertig sind.

(3) Die Kommission wird bis zum 17. Juli 2023 Leitlinien zur Klarstellung der Anwendung der Absätze 1 und 2 bereitstellen. Die Kommission überprüft diese Leitlinien regelmäßig. Bei der Ausarbeitung der Leitlinien berücksichtigt die Kommission alle Stellungnahmen der Kooperationsgruppe und der ENISA.

Artikel 5

Mindestharmonisierung

Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Bestimmungen zu erlassen oder beizubehalten, die ein höheres Cybersicherheitsniveau gewährleisten, sofern diese Bestimmungen mit den Pflichten der Mitgliedstaaten nach dem Unionsrecht im Einklang stehen.

Artikel 6

Begriffsbestimmungen

Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck

  1. “Netz- und Informationssystem”  a) ein elektronisches Kommunikationsnetz im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2018/1972,  b) ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder  c) digitale Daten, die von den – in den Buchstaben a und b genannten – Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;
  2. “Sicherheit von Netz- und Informationssystemen” die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;
  3. “Cybersicherheit” die Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;
  4. “nationale Cybersicherheitsstrategie” einen kohärenten Rahmen eines Mitgliedstaats mit strategischen Zielen und Prioritäten im Bereich der Cybersicherheit und der zu ihrer Verwirklichung erforderlichen Governance in diesem Mitgliedstaat;
  5. “Beinahe-Vorfall” ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert wurde bzw. das nicht eingetreten ist;
  6. “Sicherheitsvorfall” ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt;
  7. “Cybersicherheitsvorfall großen Ausmaßes” einen Sicherheitsvorfall, der eine Störung verursacht, deren Ausmaß die Reaktionsfähigkeit eines Mitgliedstaats übersteigt, oder der beträchtliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat;
  8. “Bewältigung von Sicherheitsvorfällen” alle Maßnahmen und Verfahren zur Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon;
  9. “Risiko” das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;
  10. “Cyberbedrohung” eine Cyberbedrohung im Sinne des Artikel 2 Nummer 8 der Verordnung (EU) 2019/881;
  11. “erhebliche Cyberbedrohung” eine Cyberbedrohung, die das Potenzial besitzt, die Netz- und Informationssysteme einer Einrichtung oder der Nutzer solcher Systeme aufgrund ihrer technischen Merkmale erheblich zu beeinträchtigen, indem sie erheblichen materiellen oder immateriellen Schaden verursacht;
  12. “IKT-Produkt” ein IKT-Produkt im Sinne des Artikels 2 Nummer 12 der Verordnung (EU) 2019/881;
  13. “IKT-Dienst” bezeichnet einen IKT-Dienst im Sinne des Artikels 2 Nummer 13 der Verordnung (EU) 2019/881;
  14. “IKT-Prozess” einen IKT-Prozess im Sinne des Artikels 2 Nummer 14 der Verordnung (EU) 2019/881;
  15. “Schwachstelle” eine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann;
  16. “Norm” eine Norm im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (29);
  17. “technische Spezifikation” eine technische Spezifikation im Sinne des Artikels 2 Nummer 4 der Verordnung (EU) Nr. 1025/2012;
  18. “Internet-Knoten” eine Netzeinrichtung, die die Zusammenschaltung von mehr als zwei unabhängigen Netzen (autonomen Systemen) ermöglicht, in erster Linie zur Erleichterung des Austauschs von Internet-Datenverkehr, der nur der Zusammenschaltung autonomer Systeme dient und weder voraussetzt, dass der Internet-Datenverkehr zwischen zwei beliebigen teilnehmenden autonomen Systemen über ein drittes autonomes System läuft; noch den betreffenden Datenverkehr verändert oder anderweitig beeinträchtigt;
  19. “Domänennamensystem” oder “DNS” ein verteiltes hierarchisches Verzeichnissystem, das die Identifizierung von Diensten und Ressourcen im Internet ermöglicht und es Endnutzergeräten erlaubt, Internet-Routing- und Konnektivitätsdienste zu nutzen, um diese Dienste und Ressourcen zu erreichen;
  20. “DNS-Diensteanbieter” eine Einrichtung, die  a) für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domänennamen anbietet oder  b) autoritative Dienste zur Auflösung von Domänennamen zur Nutzung durch Dritte, mit Ausnahme von Root-Namenservern, anbietet;
  21. “Namenregister der Domäne oberster Stufe” oder “TLD-Namenregister” eine Einrichtung, der eine bestimmte Domäne oberster Stufe (Top Level Domain – TLD) übertragen wurde und die für die Verwaltung der TLD, einschließlich der Registrierung von Domänennamen unterhalb der TLD, sowie für den technischen Betrieb der TLD, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Datenbanken und der Verteilung von TLD-Zonendateien über die Namenserver, zuständig ist, unabhängig davon, ob der Betrieb durch die Einrichtung selbst erfolgt oder ausgelagert wird, jedoch mit Ausnahme von Situationen, in denen TLD-Namen von einem Register nur für seine eigenen Zwecke verwendet werden;
  22. “Einrichtung, die Domänennamen-Registrierungsdienste erbringt” ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, wie etwa ein Anbieter oder Wiederverkäufer von Datenschutz- oder Proxy-Registrierungsdiensten;
  23. “digitaler Dienst” einen Dienst im Sinne des Artikels 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (30);
  24. “Vertrauensdienst” einen Vertrauensdienst im Sinne des Artikels 3 Nummer 16 der Verordnung (EU) Nr. 910/2014;
  25. “Vertrauensdiensteanbieter” einen Vertrauensdiensteanbieter im Sinne des Artikels 3 Nummer 19 der Verordnung (EU) Nr. 910/2014;
  26. “qualifizierter Vertrauensdienst” einen qualifizierten Vertrauensdienst im Sinne des Artikels 3 Nummer 17 der Verordnung (EU) Nr. 910/2014;
  27. “qualifizierter Vertrauensdiensteanbieter” einen qualifizierten Vertrauensdiensteanbieter im Sinne des Artikels 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;
  28. “Online-Marktplatz” einen digitalen Dienst im Sinne des Artikels 2 Buchstabe n der Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates (31);
  29. “Online-Suchmaschine” eine Online-Suchmaschine im Sinne des Artikels 2 Nummer 5 der Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates (32);
  30. “Cloud-Computing-Dienst” einen digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
  31. “Rechenzentrumsdienst” einen Dienst, mit dem spezielle Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle bereitgestellt werden;
  32. “Inhaltszustellnetz” bezeichnet ein Netz dezentraler Server zur Gewährleistung einer hohen Verfügbarkeit, Zugänglichkeit oder schnellen Zustellung digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern;
  33. “Plattform für Dienste sozialer Netzwerke” eine Plattform, auf der Endnutzer mit unterschiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen miteinander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken können;
  34. “Vertreter” eine in der Union niedergelassene natürliche oder juristische Person, die ausdrücklich benannt wurde, um im Auftrag eines DNS-Diensteanbieters, einer Einrichtung, die Domänennamen-Registrierungsdienste erbringt, eines TLD-Namenregisters, eines Anbieters von Cloud-Computing-Diensten, eines Anbieters von Rechenzentren, eines Betreibers von Inhaltszustellnetzen, eines Anbieters verwalteter Dienste, eines Anbieters verwalteter Sicherheitsdienste oder eines Anbieters von einem Online-Marktplatz, von einer Online-Suchmaschine oder von einer Plattform für Dienste sozialer Netzwerke, der bzw. die nicht in der Union niedergelassen ist, zu handeln, und an die sich eine nationale zuständige Behörde oder ein CSIRT – statt an die Einrichtung – hinsichtlich der Pflichten dieser Einrichtung gemäß dieser Richtlinie wenden kann;
  35. “Einrichtung der öffentlichen Verwaltung” eine als solche in einem Mitgliedstaat nach nationalem Recht anerkannte Einrichtung, ausgenommen Justiz, Parlamente und Zentralbanken, die die folgenden Kriterien erfüllt:  a) sie wurde zu dem Zweck gegründet, im allgemeinen Interesse liegende Aufgaben zu erfüllen, und hat keinen gewerblichen oder kommerziellen Charakter,  b) sie besitzt Rechtspersönlichkeit oder ist gesetzlich dazu befugt, im Namen einer anderen Einrichtung mit eigener Rechtspersönlichkeit zu handeln,  c) sie wird überwiegend vom Staat, Gebietskörperschaften oder von anderen Körperschaften des öffentlichen Rechts finanziert, untersteht hinsichtlich ihrer Leitung der Aufsicht dieser Körperschaften oder verfügt über ein Verwaltungs-, Leitungs- bzw. Aufsichtsorgan, das mehrheitlich aus Mitgliedern besteht, die vom Staat, von Gebietskörperschaften oder von anderen Körperschaften des öffentlichen Rechts eingesetzt worden sind,  d) sie ist befugt, an natürliche oder juristische Personen Verwaltungs- oder Regulierungsentscheidungen zu richten, die deren Rechte im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren;
  36. “öffentliches elektronisches Kommunikationsnetz” ein öffentliches elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 8 der Richtlinie (EU) 2018/1972;
  37. “elektronischer Kommunikationsdienst” einen elektronischen Kommunikationsdienst im Sinne des Artikels 2 Nummer 4 der Richtlinie (EU) 2018/1972;
  38. “Einrichtung” eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann;
  39. “Anbieter verwalteter Dienste” eine Einrichtung, die Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung erbringt, die entweder in den Räumlichkeiten der Kunden oder aus der Ferne erbringt;
  40. “Anbieter verwalteter Sicherheitsdienste” einen Anbieter verwalteter Dienste, der Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit durchführt oder erbringt;
  41. “Forschungseinrichtung” eine Einrichtung, deren primäres Ziel es ist, angewandte Forschung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungseinrichtungen nicht einschließt.

Diese umfassende Darstellung des Kapitels I aus der NIS 2-Richtlinie soll Ihnen als Unternehmensvertreter einen praxisnahen Überblick über die grundlegenden Bestimmungen und deren Auswirkungen geben. Bei weiteren Fragen zur praktischen Umsetzung oder zu einzelnen Artikeln stehen Ihnen entsprechende Ansprechpartner und Fachstellen zur Verfügung.