Die NIS-2-Richtlinie erklärt

Die Mitgliedstaaten müssen eine oder mehrere zuständige Behörden benennen, die für die Cybersicherheit zuständig sind und innerhalb ihres Hoheitsgebiets Aufsichtsaufgaben wahrnehmen. Die Mitgliedstaaten sollten auch sicherstellen, dass ihre zuständigen Behörden über ausreichende Ressourcen verfügen.

Computer-Sicherheitsvorfall-Reaktionsteams (Computer Security Incident Response Teams, CSIRTs) spielen eine wichtige Rolle bei der Bearbeitung von Vorfällen, der Sammlung von Informationen und der Kommunikation mit Organisationen. Sie überwachen Bedrohungen, analysieren Vorfälle und geben Warnungen und Daten in Echtzeit an ihr Netzwerk und die Behörden weiter. Der benannte CSIRT-Koordinator fungiert als vertrauenswürdiger Vermittler und erleichtert die Interaktion zwischen der juristischen Person, die eine Schwachstelle meldet, und dem OEM.

Der Schwerpunkt liegt auf der Stärkung der Cybersicherheit durch Zusammenarbeit auf nationaler und internationaler Ebene. Die Kooperationsgruppe erleichtert den Informations- und Strategieaustausch zwischen den Mitgliedstaaten.

Das CSIRT-Netzwerk besteht aus den nationalen CSIRTs und CERT-EU. Sie tauschen Informationen über die Fähigkeiten, Schwachstellen, Vorfälle und Bedrohungen der CSIRTs aus. Um Cyberbedrohungen zu bekämpfen, werden die CSIRTs neue Methoden für die operative Zusammenarbeit einführen, wobei der Schwerpunkt auf Frühwarnungen, Unterstützung bei Cyberangriffen und der Planung von Reaktionen auf Bedrohungen liegt.

Wesentliche und wichtige Einrichtungen müssen den CSIRTs oder den zuständigen Behörden innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls eine Frühwarnung übermitteln. Es gibt verschiedene Stufen der Meldung, wie Frühwarnungen, Vorfallmeldungen, Zwischenberichte und Abschlussberichte.

Die Mitgliedstaaten sollten sicherstellen, dass wesentliche und wichtige Stellen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zum Management der Risiken für die Sicherheit von Netz- und Informationssystemen ergreifen, darunter Maßnahmen zum Cybersicherheitsrisikomanagement, einschließlich Strategien zur Risikoanalyse, zur Vorfallsbearbeitung, zur Geschäftskontinuität, zur Sicherheit der Lieferkette und zur sicheren Systementwicklung. Weitere Maßnahmen umfassen die Bewertung der Wirksamkeit von Maßnahmen zum Cybersicherheitsrisikomanagement, grundlegende Cyberhygienepraktiken, Richtlinien für die Verwendung von Kryptografie, die Sicherheit der Humanressourcen und die Multi-Faktor-Authentifizierung.

Behandelt Vorschriften zur Gerichtsbarkeit und zu Registrierungsverfahren für wesentliche und wichtige Unternehmen.

Enthält die Kriterien, anhand derer Organisationen bestimmen können, welches Land für ihre Aufsicht zuständig ist. Um diese Organisationen zu erfassen, wird ein Register mit ihren Informationen von der ENISA (The European Union Agency for Cybersecurity; Agentur der Europäischen Union für Cybersicherheit) geführt. Die Informationen für das Register umfassen den Namen der Organisation, ihre Anschrift, Kontaktdaten usw. Darüber hinaus sollten Organisationen, die Domainnamen-Registrierungsdienste anbieten, und TLD-Registrierungsstellen eine Datenbank mit Domainregistrierungsdaten einrichten. Diese Datenbank soll die Zuverlässigkeit von Domain Name Services (DNS) verbessern.

Organisationen in der Europäischen Union müssen untereinander Informationen über Cybersicherheit austauschen. Die Mitgliedstaaten sind für die Erleichterung des Austauschs verantwortlich. Sie legen fest, welche Informationen ausgetauscht werden, welche IKT-Plattformen und -Tools verwendet werden und welche Bedingungen für diese Regelung gelten. Organisationen, die sich aus einem laufenden Austausch zurückziehen möchten, sollten dies der zuständigen Behörde des betreffenden Mitgliedstaats mitteilen.

Die Richtlinie fordert alle Organisationen in der Europäischen Union auf, CSIRTs oder zuständige Behörden freiwillig über Cyberbedrohungen und -angriffe zu informieren.

Die zuständigen Behörden des Landes sind dafür verantwortlich, dass die Organisationen die NIS-2-Richtlinie einhalten. Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen und Ad-hoc-Prüfungen sind die in diesem Kapitel behandelten Aufsichtsmaßnahmen der zuständigen Behörden. Bei Verstößen gegen die Richtlinie werden gegen die Organisationen Verwaltungsstrafen verhängt. Darüber hinaus können die zuständigen Behörden die Behörden anderer Staaten um Unterstützung bei der Beaufsichtigung grenzüberschreitend tätiger Organisationen bitten.

Die Europäische Kommission als eines der Exekutivorgane der Europäischen Union gewährleistet die Einhaltung der Unionsrecht in allen Ländern. Daher ist die Europäische Kommission befugt, delegierte Rechtsakte zu erlassen. Diese Befugnis wird für einen Zeitraum von fünf Jahren ab dem 16. Januar 2023 ausgeübt. Gemäß diesem Kapitel können das Europäische Parlament und der Europäische Rat die Befugnis der Kommission jederzeit widerrufen. Die Europäische Kommission sollte einen delegierten Rechtsakt gemäß der Richtlinie nur erlassen, wenn weder das Parlament noch der Rat Einwände erheben. Sie sollte diese Organe unverzüglich nach Erlass eines delegierten Rechtsakts davon in Kenntnis setzen.

Die Länder der Europäischen Union erlassen und veröffentlichen Maßnahmen zur Einhaltung dieser NIS-2-Richtlinie und teilen diese Maßnahmen der Europäischen Kommission bis zum 17. Oktober 2024 mit. Sie beginnen mit der Umsetzung dieser Maßnahmen am 18. Oktober 2024.

Die Europäische Kommission überprüft die Funktionsweise dieser Richtlinie und erstattet dem Europäischen Parlament und dem Rat bis Oktober 2027 Bericht. Diese Überprüfung wird danach alle drei Jahre durchgeführt. Dieser Bericht enthält eine Bewertung der Relevanz der Größe der betroffenen Einrichtungen und der in dieser Richtlinie genannten Sektoren, Teilsektoren und Arten von Einrichtungen für das Funktionieren der Wirtschaft und der Gesellschaft im Zusammenhang mit der Cybersicherheit. Er kann auch Berichte der Kooperationsgruppe und des CSIRT-Netzwerks enthalten.