Die NIS2-Richtlinie verpflichtet jeden Mitgliedstaat in Artikel 7, eine nationale Cybersicherheitsstrategie (NCSS) zu verabschieden und regelmäßig zu aktualisieren.
Die NCSS dient als politisches und organisatorisches Rahmendokument. Während die Richtlinien (NIS2, DORA, CER) den rechtlichen Rahmen mit Pflichten und Sanktionen definieren, legt die Strategie die langfristigen Ziele fest. Die NCSS umfasst neben dem Schutz nationaler digitaler Infrastrukturen vor staatlichen und nicht-staatlichen Akteuren auch den Aufbau von Kapazitäten zur Früherkennung, Abwehr und Bewältigung von Cyberangriffen. Darüber hinaus regelt sie die Vernetzung und den Informationsaustausch zwischen den nationalen Einrichtungen – insbesondere den nationalen CSIRTs (Computer Security Incident Response Teams).
Die nationalen Strategien müssen zwingend mit den Zielen der EU-Cybersicherheitsstrategie harmonieren, dürfen jedoch länderspezifische Schwerpunkte setzen und sollen konkretisieren, wie diese Ziele erreicht werden sollen. Die NCSS definieren auch die Zusammenarbeit zwischen Wirtschaft und Staat. Hierzu gehört die Bereitstellung von Warnmeldungen, die Förderung von Forschung und Entwicklung sowie die Sensibilisierung der Gesellschaft.
Für die Leitungsorgane einer Einrichtung ist die Kenntnis der jeweiligen NCSS deshalb von Bedeutung, weil sie die Prioritäten der Aufsichtsbehörden widerspiegelt. Eine nationale Strategie, die beispielsweise den Fokus stark auf die Sicherheit der Lieferkette legt, wird sich in einer strengeren Auslegung der NIS2-Vorgaben durch die nationalen Prüfinstanzen niederschlagen.
Die NCSS ist somit nicht nur ein politisches Papier, sondern der strategische Kompass, an dem sich die behördliche Überwachungspraxis und die zukünftige Gesetzgebung orientieren.
