NIS2-Richtlinie
Die NIS-Richtlinie – das erste Cybersicherheitsrecht der EU – ist das erste horizontale Binnenmarktinstrument, das darauf abzielt, die Widerstandsfähigkeit von Netz- und Informationssystemen in der Union gegen Cybersicherheitsrisiken zu verbessern. Trotz ihrer bemerkenswerten Erfolge hat die NIS-Richtlinie gewisse Einschränkungen aufgezeigt. Der digitale Wandel der Gesellschaft, der durch die COVID-19-Krise verstärkt wurde, hat die Bedrohungslandschaft erweitert. Es gibt neue Herausforderungen, die angepasste und innovative Antworten erfordern.
Um die Auswirkungen zu analysieren und die Mängel der NIS-Richtlinie aufzudecken, führte die Kommission eine umfassende Konsultation der Interessenträger durch. Die Kommission stellte folgende Hauptprobleme fest:
- unzureichende Cyberresilienz von Unternehmen, die in der EU tätigsind
- inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren
- unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der Mitgliedstaaten
- fehlende gemeinsame Krisenreaktion.
Infolgedessen hat die Kommission im Dezember 2020 eine überarbeitete Reihe zukunftssicherer Vorschriften vorgeschlagen, die darauf abzielen, das Niveau der Cyberresilienz in der Union zu stärken, auf die die Mitgesetzgeber am 13. Mai 2022 eine politische Einigung erzielt haben und die neue Richtlinie Ende November 2022 förmlich angenommen haben, um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung reagieren zu können.
Seit der COVID-19-Krise ist die europäische Wirtschaft stärker von digitalen Lösungen abhängig als je zuvor. Sektoren und Dienstleistungen werden zunehmend vernetzt und voneinander abhängig. Dies hat zu einer wachsenden und sich rasch entwickelnden Bedrohungslandschaft für Cybersicherheit geführt: jede Störung, auch wenn sie sich zunächst auf ein Unternehmen oder einen Sektor beschränkt, kann kaskadierende Auswirkungen im weiteren Sinne haben, was zu weitreichenden und dauerhaften negativen Auswirkungen auf die Erbringung von Dienstleistungen im gesamten Binnenmarkt führen kann.
Die COVID-19-Pandemie hat gezeigt, dass unsere zunehmend voneinander abhängigen Gesellschaften angesichts unerwarteter Risiken anfälliger werden. Sie verschärfte die bereits auftretenden Probleme in der derzeitigen NIS-Richtlinie und diente als Katalysator für ihre Überarbeitung. Eine konkrete Änderung der NIS-Richtlinie angesichts dieser Krise bestand darin, den Anwendungsbereich der neuen Richtlinie auszuweiten und spezifischere Elemente im Gesundheitssektor wie Einrichtungen, die Forschungs- und Entwicklungstätigkeiten von Arzneimitteln durchführen, zu berücksichtigen.
Die NIS2-Richtlinie sieht rechtliche Maßnahmen vor, um das Gesamtniveau der Cybersicherheit in der EU zu erhöhen, um zum allgemeinen Funktionieren des Binnenmarkts beizutragen. Sie stützt sich auf die drei Hauptsäulen, die die Grundlage der NIS1-Richtlinie bildeten:
- Aufbauend auf der NIS1-Strategie für die Sicherheit von Netz- und Informationssystemen, um ein hohes Maß an Bereitschaft der Mitgliedstaaten zu erreichen, verpflichtet die NIS2-Richtlinie die Mitgliedstaaten, eine nationale Cybersicherheitsstrategie zu verabschieden. Die Mitgliedstaaten sind ferner verpflichtet, nationale Computer Security Incident Response Teams (CSIRTs) zu benennen, die für den Umgang mit Risiken und Störungen zuständig sind, eine zuständige nationale Cybersicherheitsbehörde und eine zentrale Anlaufstelle (SPOC). Das SPOC muss eine Verbindungsfunktion ausüben, um die grenzüberschreitende Zusammenarbeit zwischen den Behörden der Mitgliedstaaten mit den zuständigen Behörden in anderen Mitgliedstaaten und gegebenenfalls mit der Kommission und der ENISA sicherzustellen und eine sektorübergreifende Zusammenarbeit mit anderen zuständigen Behörden in seinem Mitgliedstaat sicherzustellen.
- Die NIS2-Richtlinie setzt auch den NIS1-Rahmen zur Einrichtung der NIS-Kooperationsgruppe fort, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten zu unterstützen und zu erleichtern, sowie das CSIRT-Netz, das eine rasche und wirksame operative Zusammenarbeit zwischen den nationalen CSIRTs fördert.
- Die NIS1-Richtlinie stellt sicher, dass Cybersicherheitsmaßnahmen in sieben Sektoren ergriffen werden, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf IKT wie Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Trinkwasser, Gesundheitsversorgung und digitale Infrastruktur angewiesensind.
Öffentliche und private Einrichtungen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste (OES) in diesen Sektoren identifiziert wurden, müssen eine Risikobewertung für die Cybersicherheit durchführen und angemessene und verhältnismäßige Sicherheitsmaßnahmen treffen. Sie sind verpflichtet, schwerwiegende Vorfälle bei den zuständigen Behörden zu melden. Darüber hinaus müssen Anbieter wichtiger digitaler Dienste (digitaler Diensteanbieter oder DSP), wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze, auch die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen. Gleichzeitig unterliegen Letztere einer sogenannten „Light-touch“-Regelung, die dazu führt, dass diese Unternehmen nicht Ex-ante-Aufsichtsmaßnahmen unterliegen.
Die NIS2-Richtlinie erweitert den Anwendungsbereich der Sektoren erheblich und führt eine Größenschwelle ein, um festzulegen, welche Unternehmen in ihren Anwendungsbereich fallen und den zuständigen nationalen Behörden erhebliche Cybersicherheitsvorfälle melden müssen.
Die NIS2-Richtlinie zielt darauf ab, die Mängel der bisherigen Vorschriften zu beheben, sie an den aktuellen Bedarf anzupassen und zukunftssicher zu machen.
Zu diesem Zweck erweitert die Richtlinie den Anwendungsbereich der bisherigen Vorschriften, indem neue Sektoren auf der Grundlage ihres Digitalisierungsgrads und ihrer Vernetzung und ihrer Bedeutung für Wirtschaft und Gesellschaft hinzugefügt werden, indem eine klare Größenschwellenregel eingeführt wird, was bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Gleichzeitig lässt sie den Mitgliedstaaten einen gewissen Ermessensspielraum, kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil zu ermitteln, das auch unter die Verpflichtungen der neuen Richtlinie fallen sollte.
Mit der neuen Richtlinie wird auch die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste beseitigt. Unternehmen würden nach ihrer Bedeutung klassifiziert und in zwei Kategorien unterteilt: wesentliche und wichtige Einrichtungen, die unterschiedlichen Aufsichtsregelungen unterliegen.
Sie stärkt und rationalisiert die Sicherheits- und Berichtspflichten für Unternehmen, indem sie einen Risikomanagementansatz vorschreibt, der eine Mindestliste grundlegender Sicherheitselemente enthält, die angewendet werden müssen. Mit der neuen Richtlinie werden genauere Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen eingeführt.
Darüber hinaus befasst sich NIS2 mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, indem einzelne Unternehmen aufgefordert werden, Cybersicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen anzugehen. Auf europäischer Ebene stärkt die Richtlinie die Cybersicherheit in der Lieferkette für wichtige Informations- und Kommunikationstechnologien. Die Mitgliedstaaten können in Zusammenarbeit mit der Kommission und der ENISA koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten auf Unionsebene durchführen und dabei auf dem im Rahmen der Empfehlung der Kommission zur Cybersicherheit von 5G-Netzen verfolgten erfolgreichen Ansatz aufbauen.
Mit der Richtlinie werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.
Außerdem wird die Rolle der Kooperationsgruppe bei der Gestaltung strategischer politischer Entscheidungen gestärkt und der Informationsaustausch und die Zusammenarbeit zwischen den Behörden der Mitgliedstaaten gestärkt. Darüber hinaus wird die operative Zusammenarbeit innerhalb des CSIRT-Netzes verbessert und das europäische Netz der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) eingerichtet, um das koordinierte Management groß angelegter Cybersicherheitsvorfälle und -krisen zu unterstützen.
NIS2 schafft auch einen grundlegenden Rahmen mit verantwortlichen Schlüsselakteuren für die koordinierte Offenlegung von Schwachstellen für neu entdeckte Schwachstellen in der gesamten EU und schafft eine EU-Schwachstellendatenbank für öffentlich bekannte Schwachstellen in IKT-Produkten und IKT-Diensten, die von der EU-Agentur für Cybersicherheit (ENISA) betrieben und gewartet werden soll.
Das NIS2 umfasst Unternehmen aus den folgenden Sektoren:
Sektoren mit hoher Kritikalität: Energie (Strom, Fernwärme und Fernkälte, Öl, Gas und Wasserstoff); Verkehr (Luft, Schiene, Wasser und Straße); Banken; Finanzmarktinfrastrukturen; Gesundheit einschließlich Herstellung von Arzneimitteln, einschließlich Impfstoffen; Trinkwasser; Abwasser; digitale Infrastruktur (Internet-Austauschstellen; DNS-Dienstleister; TLD-Namensregister; Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Netze für die Bereitstellung von Inhalten; Vertrauensdiensteanbietern; Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste); IKT-Dienstleistungsmanagement (verwaltete Dienstleister und Anbieter von Managed Security-Diensten), öffentliche Verwaltung und Raum.
Weitere kritische Sektoren: Post- und Kurierdienste; Abfallbewirtschaftung; Chemikalien; Lebensmittel; Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten; digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und Social-Networking-Service-Plattformen) und Forschungseinrichtungen.
Die Bewertung der geltenden Vorschriften über die Anforderungen an die Meldung von Sicherheits- und Vorfällen hat ergeben, dass die Mitgliedstaaten diese Anforderungen in einigen Fällen auf deutlich unterschiedliche Weise umgesetzt haben. Dies hat zu einer zusätzlichen Belastung für Unternehmen geführt, die in mehr als einem Mitgliedstaat tätig sind.
Darüber hinaus wollen wir, wenn es um Cybersicherheitsanforderungen geht, sicherstellen, dass alle Unternehmen die notwendigen Kernelemente ihrer Cybersicherheits-Risikomanagement-Richtlinien berücksichtigen.
Aus diesem Grund enthält NIS2 eine Liste von 10 Schlüsselelementen, die alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen adressieren oder umsetzen müssen, einschließlich der Bearbeitung von Vorfällen, der Sicherheit der Lieferkette, der Behandlung und Offenlegung von Schwachstellen, der Verwendung von Kryptographie und gegebenenfalls der Verschlüsselung.
Wenn es um die Meldung von Vorfällen geht, müssen wir das richtige Gleichgewicht finden zwischen der Notwendigkeit einer schnellen Berichterstattung, um eine potenzielle Ausbreitung von Vorfällen zu vermeiden, und der Notwendigkeit einer eingehenden Berichterstattung, um wertvolle Erkenntnisse aus einzelnen Vorfällen zu ziehen. Die neue Richtlinie sieht einen mehrstufigen Ansatz für die Meldung von Vorfällen vor. Betroffene Unternehmen haben 24 Stunden ab dem Zeitpunkt, zu dem sie auf einen Vorfall aufmerksam werden, eine frühzeitige Warnung an die CSIRT oder die zuständige nationale Behörde, die es ihnen auch ermöglichen würde, Unterstützung (Leitlinien oder operative Beratung bei der Umsetzung möglicher Minderungsmaßnahmen) zu suchen, wenn sie dies beantragen. Auf die Frühwarnung sollte innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls eine Meldung des Vorfalls und spätestens einen Monat später ein Abschlussbericht folgen.
Die neue NIS-Richtlinie stellt die Aufsicht und Durchsetzung in den Mittelpunkt der Aufgaben der zuständigen Behörden und schafft einen kohärenten Rahmen für alle Aufsichts- und Durchsetzungstätigkeiten in allen Mitgliedstaaten.
Um die Beaufsichtigung zu stärken, die zur Gewährleistung einer wirksamen Einhaltung beiträgt, stellt das NIS2 eine Mindestliste von Aufsichtsmitteln zur Verfügung, mit denen die zuständigen Behörden wesentliche und wichtige Unternehmen beaufsichtigen können. Dazu gehören regelmäßige und gezielte Audits, Vor- und Nachprüfungen, Informationsanfragen und Zugang zu Dokumenten oder Beweismitteln.
Darüber hinaus sieht die neue Richtlinie eine Differenzierung der Aufsichtsregelungen zwischen wesentlichen und wichtigen Einrichtungen vor, um ein ausgewogenes Verhältnis der Verpflichtungen sowohl der Unternehmen als auch der zuständigen Behörden zu gewährleisten.
Was die Durchsetzung betrifft, so gab es bisher in den Mitgliedstaaten insgesamt eine Zurückhaltung, Sanktionen gegen Einrichtungen zu verhängen, die keine Sicherheitsmaßnahmen ergreifen oder Vorfälle melden. Dies kann negative Folgen für die Cyberresilienz von Unternehmen haben. Um die Durchsetzung wirksam zu gestalten, wird mit der neuen Richtlinie ein kohärenter Rahmen für Sanktionen in der gesamten Union geschaffen. Sie legt daher eine Mindestliste verwaltungsrechtlicher Sanktionen für Verstöße gegen die in der NIS2-Richtlinie festgelegten Verpflichtungen für das Cybersicherheitsrisikomanagement und die Berichterstattung fest. Diese Sanktionen umfassen verbindliche Anweisungen, die Anordnung zur Umsetzung der Empfehlungen eines Sicherheitsaudits, die Anordnung, Sicherheitsmaßnahmen mit den NIS-Anforderungen in Einklang zu bringen, und Verwaltungsbußgelder. In Bezug auf Geldbußen unterscheidet die neue NIS-Richtlinie zwischen wesentlichen und wichtigen Stellen. In Bezug auf wesentliche Einrichtungen sind die Mitgliedstaaten verpflichtet, eine bestimmte Höhe von Geldbußen vorzusehen, insbesondere einen Höchstbetrag von mindestens 10 000 000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist. In Bezug auf wichtige Einrichtungen schreibt NIS2 vor, dass die Mitgliedstaaten eine Geldbuße von höchstens 7 000 000 EUR oder mindestens 1,4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsehen, je nachdem, welcher Wert höher ist.
Bei der Ausübung ihrer Durchsetzungsbefugnisse sollten die zuständigen Behörden den besonderen Umständen des jeweiligen Falles, wie der Art, der Schwere und der Dauer des Verstoßes, dem entstandenen Schaden oder dem entstandenen Schaden, dem vorsätzlichen oder fahrlässigen Charakter des Verstoßes gebührend Rechnung tragen.
Um eine wirkliche Rechenschaftspflicht für die Cybersicherheitsmaßnahmen auf organisatorischer Ebene zu gewährleisten, führt das NIS2 Bestimmungen über die Haftung natürlicher Personen ein, die Führungspositionen in den in den Anwendungsbereich der neuen NIS-Richtlinie fallenden Unternehmen innehaben.
Die neuen Vorschriften verbessern die Art und Weise, wie die EU groß angelegte Cybersicherheitsvorfälle und -krisen verhindert, handhabt und darauf reagiert. Sie tun dies, indem sie klare Verantwortlichkeiten, eine angemessene Planung und mehr EU-Zusammenarbeit einführen. NIS2 verpflichtet die Mitgliedstaaten, nationale Behörden zu benennen, die für das Cyberkrisenmanagement zuständig sind, nationale groß angelegte Cybersicherheitsvorfälle und Krisenreaktionspläne einzuführen und das europäische Netzwerk für Verbindungsstellen für Cyberkrisen (EU-CYCLONe) einzurichten, um das koordinierte Management groß angelegter Cybersicherheitsvorfälle und -krisen auf operativer Ebene zu unterstützen. Dieses Netz ist eine Schlüsselkomponente, die zur Schaffung des EU-Rahmens für das Management von Cyberkrisen beiträgt, den die Kommission 2017 mit der Empfehlung zur koordinierten Reaktion auf groß angelegte Vorfälle und Krisen skizzierte.
Wesentliche und wichtige Einrichtungen unterliegen in derRegel der Gerichtsbarkeit des Mitgliedstaats, in dem sie niedergelassen sind. Wenn die Einrichtung in mehr als einem Mitgliedstaat ansässig ist, sollte sie in die Zuständigkeit jedes dieser Mitgliedstaaten fallen. Die zuständigen Behörden sollten zusammenarbeiten, gegenseitige Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtsmaßnahmen durchführen. Es gibt mehrere Ausnahmen von dieser Regel:
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste würden in die Zuständigkeit des Mitgliedstaats fallen, in dem sie ihre Dienste erbringen.
- Einrichtungen der öffentlichen Verwaltung würden in die Zuständigkeit des Mitgliedstaats fallen, der sie niedergelassen hat.
- bestimmte Arten von Einrichtungen würden der Rechtshoheit des Mitgliedstaats unterstehen, in dem sie ihre Hauptniederlassung in der Union haben. Zu diesen Einrichtungen gehören Domainnamensystemdienstleister, Top-Level-Domänennamenregister, Unternehmen, die Domainnamenregistrierungsdienste anbieten, Cloud-Computing-Dienstleister, Rechenzentrumsdienstleister, Anbieter von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider sowie Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für soziale Netzwerke. Damit soll sichergestellt werden, dass diese Einrichtungen nicht mit einer Vielzahl unterschiedlicher rechtlicher Anforderungen konfrontiert sind, da sie in besonders hohem Maße grenzüberschreitende Dienstleistungen erbringen. Für die Zwecke einer wirksamen Beaufsichtigung sind diese Arten von Unternehmen von den Mitgliedstaaten verpflichtet, unter anderem mitzuteilen, wo sich die Hauptniederlassung der Einrichtung befindet, sowie ihre anderen Rechtsniederlassungen in der Union oder, wenn sie nicht in der Union ansässig sind, den Ort, an dem der Vertreter der Einrichtung benannt wird. Die ENISA müsste ein Register mit den von den Mitgliedstaaten auf dieser Grundlage bereitgestellten Informationen erstellen und führen.
DieZusammenarbeit der EU wird vorangetrieben, indem es den Mitgliedstaaten ermöglicht wird, gemeinsam zu handeln und neue Sicherheitsrisiken zu bewältigen, die sich aus dem fortschreitenden digitalen Wandel ergeben.
Insbesondere werden die Mitgliedstaaten in der Lage sein, die Umsetzung der EU-Vorschriften gemeinsam zu überwachen und sich bei grenzüberschreitenden Misshandlungen gegenseitig zu unterstützen, einen strukturierteren Dialog mit dem Privatsektor zu führen und die Offenlegung von Schwachstellen in Software und Hardware, die im gesamten Binnenmarkt verkauft werden, zu koordinieren. Sie werden auch in der Lage sein, koordiniert zu arbeiten, um die Sicherheitsrisiken und -bedrohungen im Zusammenhang mit neuen Technologien zu bewerten, wie es zum ersten Mal mit 5G geschehen ist.
DieMitgliedstaaten werden auf die Zusammenarbeit der EU zurückgreifen, um die nationalen Fähigkeiten durch Personalaustausch zwischen Behörden und Peer Reviews zu verbessern. Die bestehenden Gruppen, insbesondere die Kooperationsgruppe, in der nationale Cybersicherheitsbehörden zusammenkommen, und das Netzwerk der Teams für Computersicherheitsvorfälle (CSIRTs) werden dazu beitragen, die Zusammenarbeit sowohl auf strategischer als auch auf technischer Ebene voranzutreiben.
Die NIS2-Richtlinie steht in engem Zusammenhang mit zwei anderen Initiativen, der Richtlinie über die Resilienz kritischer Einrichtungen (CER) und der Verordnung über die digitale operative Resilienz des Finanzsektors (Digital Operational Resilience Act, DORA).
Der Anwendungsbereich der NIS 2 und der Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) wurde weitgehend angeglichen, um sicherzustellen, dass die physische und Cyber-Resilienz kritischer Einrichtungen umfassend angegangen wird. Einrichtungen, die im Rahmen der CER-Richtlinie als kritische Einrichtungen eingestuft wurden, unterliegen auch den Cybersicherheitsverpflichtungen der NIS2-Richtlinie. Darüber hinaus müssen die zuständigen nationalen Behörden im Rahmen der CER- und der NIS2-Richtlinien regelmäßig einschlägige Informationen wie Risiken, Cyberbedrohungen und Vorfälle sowie über Nicht-Cyber-Risiken, Bedrohungen und Vorfälle austauschen. Die Kooperationsgruppe im Rahmen von NIS2 muss regelmäßig und mindestens einmal jährlich mit der gemäß der CER-Richtlinie eingesetzten Gruppe für die Resilienz kritischer Einrichtungen zusammentreten.
Während die neue NIS-Richtlinie Kreditinstitute, Betreiber von Handelsplätzen und zentralen Gegenparteien in ihren Anwendungsbereich einschließt, wird die DORA für diese Unternehmen in Bezug auf das Cybersicherheitsrisikomanagement und die Berichtspflichten gelten. Gleichzeitig ist es wichtig, eine enge Beziehung für den Informationsaustausch zwischen dem Finanzsektor und den anderen unter NIS 2 fallenden Sektoren aufrechtzuerhalten. Zu diesem Zweck könnten im Rahmen der DORA die Europäischen Aufsichtsbehörden für den Finanzsektor und die zuständigen nationalen Behörden des Finanzsektors an den Diskussionen der NIS-Kooperationsgruppe teilnehmen. Darüber hinaus könnten die zuständigen Behörden der DORA relevante Informationen mit den im Rahmen des NIS2 eingerichteten zentralen Kontaktstellen (SPOCs) und CSIRTs konsultieren und austauschen. Die zuständigen Behörden, SPOCs oder CSIRTs, die im Rahmen des NIS2 eingerichtet wurden, würden auch Einzelheiten zu wichtigen IKT-Vorfällen von den zuständigen Behörden im Rahmen der DORA erhalten. Darüber hinaus sollten die Mitgliedstaaten den Finanzsektor weiterhin in ihre Cybersicherheitsstrategien einbeziehen, und nationale CSIRTs können den Finanzsektor in ihre Tätigkeiten einbeziehen.
DieMitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 (21 Monate nach Inkrafttreten der NIS2) umsetzen. Die Kommission muss dann das Funktionieren der Richtlinie regelmäßig überprüfen und dem Parlament und dem Rat erstmals bis zum 17. Oktober 2027 darüber Bericht erstatten.