Konkretisierte Vorgaben für Cybersicherheit – KOM
Die Europäische Kommission hat am 17. Oktober 2024 eine Durchführungsverordnung zur NIS-2-Richtlinie angenommen. Damit werden vorgeschriebene Cybersicherheitsmaßnahmen und Berichtspflichten für bestimmte Arten von Online-Dienstleistern konkretisiert.
Mit der NIS-2-Richtlinie soll ein hohes und einheitlicheres Niveau an Cybersicherheit in der EU erzielt und das Risiko von Cyberangriffen reduziert werden. Sie soll dazu der Fragmentierung von Cybersicherheitsvorschriften im Binnenmarkt entgegenwirken, die durch die zwischen einzelnen Mitgliedstaaten erheblich differierende Umsetzung der Vorgängerregelung, der NIS-Richtlinie aus dem Jahr 2016, bedingt war. Die Richtlinie sieht insbesondere Mindestvorschriften, Mechanismen für eine Kooperation der zuständigen Behörden sowie festgelegte Abhilfemaßnahmen und Sanktionen vor. Die Richtlinie enthält auch strengere Cybersicherheitsregeln und schafft Berichtspflichten für Infrastruktur- und Servicebetreibern.
Mit der neuen Durchführungsverordnung werden die technischen und methodischen Voraussetzungen für Maßnahmen zur Stärkung der Cybersicherheit in Bezug auf bestimmte Arten von Online-Dienstleistern, z. B. Anbieter von Cloud-Diensten, Online-Marktplätzen, Online-Suchmaschinen und sozialen Netzwerken festgelegt. Damit soll die weitere Angleichung von nationalen Vorschriften erleichtert werden. Zudem wird genauer festgelegt werden, wann ein Cybersicherheitsvorfall als erheblich einzustufen ist und damit Berichtspflichten greifen. Die Annahme der Durchführungsverordnung durch die Kommission fällt zeitlich mit dem Ende der Umsetzungsfrist der Richtlinie für die Mitgliedstaaten am 17. Oktober 2024 zusammen.
Weiterführende Links:
- Durchführungsverordnung (EN) (Oktober 2024)
- Annex zur Durchführungsverordnung (EN) (Oktober 2024)
- Presseerklärung (Oktober 2024)
- Siehe hierzu auch Nachrichten aus Brüssel 13/2024, 05/2024, 21/2022