Skip to main content
Logo der Europäischen Kommission
Gestaltung der digitalen Zukunft Europas
Policy and legislation | Veröffentlichung

Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union

Die Kommission hat einen Vorschlag für eine überarbeitete Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-2-Richtlinie) angenommen.

Proposal for directive on measures for high common level of cybersecurity across the Union

Trotz ihrer bemerkenswerten Errungenschaften hat die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), die in vielen Mitgliedstaaten den Weg für eine wesentliche Änderung der Denkweise, des institutionellen und regulatorischen Ansatzes für die Cybersicherheit ebnete, inzwischen auch ihre Grenzen unter Beweis gestellt. Der digitale Wandel der Gesellschaft (durch die COVID-19-Krise verstärkt) hat die Bedrohungslandschaft erweitert und bringt neue Herausforderungen mit sich, die angepasste und innovative Reaktionen erfordern.
Jetzt kann jede Störung, auch wenn sie sich zunächst auf ein Unternehmen oder einen Sektor beschränkt, kaskadierende Auswirkungen im weiteren Sinne haben, was zu weitreichenden und dauerhaften negativen Auswirkungen auf die Erbringung von Dienstleistungen im gesamten Binnenmarkt führen kann.

Um diesen Herausforderungen zu begegnen, hat die Kommission, wie in der Mitteilung zur Gestaltung der digitalen Zukunft Europas angekündigt, die Überarbeitung der Richtlinie bis Ende 2020 beschleunigt, eine Folgenabschätzung durchgeführt und einen neuen Legislativvorschlag vorgelegt.

Schlüsselelemente des Kommissionsvorschlags

Der neue Kommissionsvorschlag zielt darauf ab, die Mängel der früheren NIS-Richtlinie zu beheben, sie an den derzeitigen Bedarf anzupassen und zukunftssicher zu machen.

Zu diesem Zweck erweitert der Kommissionsvorschlag den Anwendungsbereich der derzeitigen NIS-Richtlinie, indem neue Sektoren auf der Grundlage ihrer Kritikalität für Wirtschaft und Gesellschaft hinzugefügt und eine klare Größenobergrenze eingeführt wird, was bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Gleichzeitig lässt es den Mitgliedstaaten eine gewisse Flexibilität, kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil zu identifizieren.

Mit dem Vorschlag wird auch die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste beseitigt. Unternehmen würden auf der Grundlage ihrer Bedeutung klassifiziert und in wesentliche und wichtige Kategorien unterteilt, was zur Folge hat, dass sie unterschiedlichen Aufsichtsregelungen unterliegen.

Mit dem Vorschlag werden die Sicherheitsanforderungen für die Unternehmen gestärkt, indem ein Risikomanagementansatz eingeführt wird, der eine Mindestliste grundlegender Sicherheitselemente enthält, die anzuwenden sind. Mit dem Vorschlag werden genauere Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen eingeführt.

Darüber hinaus schlägt die Kommission vor, der Sicherheit von Lieferketten und Lieferantenbeziehungen Rechnung zu tragen, indem einzelne Unternehmen aufgefordert werden, Cybersicherheitsrisiken in Lieferketten und Lieferantenbeziehungen anzugehen. Auf europäischer Ebene stärkt der Vorschlag die Cybersicherheit der Lieferkette für wichtige Informations- und Kommunikationstechnologien. Die Mitgliedstaaten werden in Zusammenarbeit mit der Kommission und der ENISA koordinierte Risikobewertungen kritischer Lieferketten durchführen und dabei auf dem erfolgreichen Ansatz im Rahmen der Empfehlung der Kommission zur Cybersicherheit von 5G-Netzen aufbauen.

Mit dem Vorschlag werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.

Mit dem Vorschlag wird auch die Rolle der Kooperationsgruppe bei der Gestaltung strategischer politischer Entscheidungen über neue Technologien und neue Trends gestärkt und der Informationsaustausch und die Zusammenarbeit zwischen den Behörden der Mitgliedstaaten gestärkt. Es verbessert auch die operative Zusammenarbeit, auch im Bereich des Cyberkrisenmanagements.

Mit dem Vorschlag der Kommission wird ein grundlegender Rahmen mit verantwortlichen Schlüsselakteuren für die koordinierte Offenlegung von Schwachstellen für neu entdeckte Schwachstellen in der gesamten EU und die Einrichtung eines EU-Registers für das von der Agentur der Europäischen Union für Cybersicherheit (ENISA) betriebene Register geschaffen.
 

Die nächsten Schritte

Relevante nächste Schritte sind:

  • Der Vorschlag wird Gegenstand von Verhandlungen zwischen den beiden gesetzgebenden Organen, insbesondere dem Rat der EU und dem Europäischen Parlament, sein.
  • Sobald der Vorschlag gebilligt und folglich angenommen wurde, müssen die Mitgliedstaaten die NIS2-Richtlinie innerhalb von 18 Monaten umsetzen.
  • Die Kommission muss die NIS2-Richtlinie regelmäßig überprüfen und 54 Monate nach Inkrafttreten erstmals über die Überprüfung Bericht erstatten.
  • Die Europäische Kommission sieht der Umsetzung der neuen Cyber-Strategie in den kommenden Monaten erwartungsvoll entgegen.

 

Related content

Last update

2 April 2024

Als PDF ausdrucken