Vorschlag NIS-2 Änderungen

Die geplanten Änderungen an der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) zielen primär auf Vereinfachungsmaßnahmen und eine Angleichung an den vorgeschlagenen Cybersecurity Act 2 ab. Der Vorschlag soll die Komplexität des Rechtsrahmens verringern und die Einhaltung der Vorschriften für Unternehmen durch mehr Rechtsklarheit erleichtern.

Wesentlich geplante Änderungen der NIS-2-Richtlinie:

1. Anpassungen des Anwendungsbereichs und neue Kategorien

  • Einführung von „kleinen Mid-Cap-Unternehmen“: Es wird eine neue Kategorie für kleine Mid-Cap-Unternehmen eingeführt. Diese sollen in der Regel als wichtige Einrichtungen eingestuft werden, was ihren Compliance-Aufwand sowie den Aufsichtsaufwand der Behörden reduziert.
  • Ausschluss kleiner DNS-Dienstleister: Mikro- und kleine DNS-Dienstleister sollen aus dem Anwendungsbereich der Richtlinie entfernt werden.
  • Digitale Identitätsbrieftaschen: Anbieter von europäischen digitalen Identitätsbrieftaschen und europäischen Business-Wallets werden unabhängig von ihrer Größe als wesentliche Einrichtungen eingestuft.
  • Unterseekabel-Infrastruktur: Der Geltungsbereich wird explizit auf alle Betreiber von Unterseekabel-Infrastrukturen (einschließlich Landestationen und zugehöriger Einrichtungen) ausgeweitet, da diese als hochkritisch angesehen werden.
  • Sektorspezifische Klarstellungen: Es gibt Präzisierungen für die Sektoren Gesundheitswesen, Wasserstoff, Chemie und Stromerzeugung. Bei Stromerzeugern gilt die Richtlinie künftig nur noch für solche mit einer Gesamterzeugungskapazität von mehr als 1 MW

2. Vereinfachung der Compliance und Harmonisierung

  • Zertifizierung als Compliance-Tool: Unternehmen sollen die Möglichkeit erhalten, die Einhaltung von NIS2-Anforderungen durch europäische Cybersicherheitszertifikate (gemäß dem Cybersecurity Act 2) nachzuweisen. Dies soll Mehrfachprüfungen vermeiden und Kosten senken.
  • Maximale Harmonisierung: Für Durchführungsrechtsakte zu Risikomanagementmaßnahmen wird eine „maximale Harmonisierung“ eingeführt. Das bedeutet, dass Mitgliedstaaten in diesen spezifischen Bereichen keine zusätzlichen technischen oder sektoralen Anforderungen stellen dürfen.
  • Leitlinien zur Lieferkettensicherheit: Die Kommission wird Leitlinien entwickeln, um den administrativen Aufwand bei Sicherheitsüberprüfungen von Zulieferern zu verringern und heterogene Abfrageformate zu vermeiden.

3. Neue strategische und operative Anforderungen

  • Post-Quanten-Kryptografie (PQC): Mitgliedstaaten müssen Richtlinien für den Übergang zur PQC in ihre nationalen Cybersicherheitsstrategien aufnehmen. Das Ziel ist eine Migration bis 2030 für kritische Anwendungsfälle.
  • Ransomware-Berichterstattung: Es wird eine harmonisierte Sammlung von Daten zu Ransomware-Angriffen eingeführt. Einrichtungen müssen auf Anfrage Informationen über Angriffsvektoren, Minderungsmaßnahmen und etwaige Lösegeldzahlungen (Betrag, Empfänger, Kryptowährung) übermitteln.
  • Zentrales Meldeportal: Über den „Digital Omnibus“-Vorschlag ist geplant, ein zentrales Eingangsportal für Incident-Reporting einzuführen, das von der ENISA verwaltet wird.

4. Stärkung der Aufsicht und Zusammenarbeit

  • Rolle der ENISA: Die ENISA erhält erweiterte Befugnisse, um Mitgliedstaaten bei der Überwachung grenzüberschreitend tätiger Einrichtungen zu unterstützen.
  • Joint Examination Teams: Bei Einrichtungen mit hohem grenzüberschreitendem Risiko kann die ENISA den Behörden empfehlen, gemeinsame Prüfungsteams für die Aufsicht einzurichten.
  • Register für Einrichtungen: Das von der ENISA geführte Register für wesentliche und wichtige Einrichtungen wird um zusätzliche Informationen erweitert (z.B. IP-Bereiche), um einen besseren Überblick über die EU-weite Cybersicherheitslage zu erhalten.