Network and Information Security Directive, 2023
Die zunehmende Digitalisierung kritischer Infrastrukturen und die fortschreitende Vernetzung industrieller Prozesse haben den Stellenwert der Cybersicherheit für die europäische Wirtschaft und Gesellschaft signifikant erhöht. Als Reaktion auf diese Veränderungen hat die Europäische Union mit der Richtlinie (EU) 2022/2555, bekannt als NIS2 (Network and Information Security Directive), einen neuen Rechtsrahmen geschaffen.
Die NIS2-Richtlinie ist die konsequente Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Mit dem Inkrafttreten von NIS2 am 16. Januar 2023 verfolgt die EU das Ziel, ein hohes gemeinsames Cybersicherheitsniveau für Netz- und Informationssysteme sicherzustellen.
Die Entstehung der NIS2-Richtlinie ist das Ergebnis eines mehrjährigen Gesetzgebungsprozesses, der durch die Erkenntnis beschleunigt wurde, dass der bisherige Rechtsrahmen der zunehmenden Professionalisierung der Cyberkriminalität nicht mehr gewachsen war.
Die wesentlichen Neuerungen im Vergleich zur NIS-Richtlinie von 2016 sind:
- Erweiterung des Anwendungsbereichs: Die Richtlinie unterscheidet nun zwischen „wesentlichen” und „wichtigen” Einrichtungen und erstreckt sich auf eine Vielzahl neuer Sektoren.
- Stärkere Verantwortlichkeit des Managements: Führungskräfte werden direkt für die Umsetzung der Sicherheitsmaßnahmen in die Pflicht genommen und mit einer Verpflichtung zu Schulungen wird von ihnen auch ein mindestens grundlegendes Verständnis für Cybersicherheit eingefordert.
- Verschärfte Aufsichts- und Sanktionsmaßnahmen: Die Durchsetzungsbefugnisse der nationalen Behörden wurden massiv ausgeweitet, wobei die Bußgeldrahmen an die Strukturen der DSGVO angelehnt sind.
Obwohl NIS2 eine Harmonisierung anstrebt, handelt es sich formal um eine Richtlinie und nicht um eine unmittelbar geltende Verordnung. Der Unterschied ist nicht nur formaler Natur: Im System der europäischen Rechtssetzung ist grundlegend zwischen der Form der Verordnung (wie der DSGVO) und der Richtlinie (wie NIS2) zu unterscheiden. Während eine Verordnung nach ihrer Verabschiedung unmittelbar und einheitlich in allen Mitgliedstaaten geltendes Recht wird, ohne nationalen Umsetzungsakt, ist eine Richtlinie lediglich hinsichtlich des zu erreichenden Zieles verbindlich. Sie verpflichtet die Mitgliedstaaten zwar zur Umsetzung, überlässt ihnen jedoch die Wahl der Form und der Mittel. Dies räumt den Nationalstaaten erhebliche Spielräume ein — die Mitgliedstaaten können über die Mindestanforderungen der Richtlinie hinausgehen, strengere Sanktionen festlegen oder den Kreis der betroffenen Unternehmen eigenständig erweitern.
