Fast parallel zum Stichtag der Umsetzung der NIS2 Direktive (EU/2022/2555) in nationales Recht hat die Europäische Kommission eine Implementing Regulation zur Konkretisierung der technischen und methodischen Anforderungen der in Art 21, Absatz 2 genannten Massnahmen für bestimmte Diensteanbieter erlassen. Weiterhin wird präzisiert, wann ein Sicherheitsvorfall gemäss Art 23, Absatz 3 als erheblich anzusehen ist. Sie richtet sich damit an Betreiber und Anbieter kritischer Infrastrukturleistungen im Bereich Cybersicherheit, also diejenigen Anbieter, von deren Dienstleistungen typischerweise Unternehmen in NIS2 Sektoren selbst abhängig sind. Dazu gehören:
- DNS-Diensteanbieter und Betreiber von TLD-Namenregistern und Inhaltszustellnetzen
- Vertrauensdiensteanbieter
- Anbieter von Cloud-Computing- und Rechenzentrumsdiensten
- Anbieter verwalteter Dienste und Sicherheitsdienste
- Betreiber von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke
Die wichtigsten konktetisierungen der Maßnahmen für betroffene Einrichtungen umfassen technische und methodische Anforderungen (hauptsächlich basierend auf ISO/IEC 27001) um sicherzustellen dass die Sicherheitsniveaus den Risiken und der Kritikalität ihrer Dienste angemessen sind. Des Weiteren werden Anforderungen an das Risikomanagement, Krisenmanagement, Cyberhygiene und Lieferkettensorgfaltspflicht konkretisiert. Detaillierter wird auf eine engere Definitionen zur Bewertung der Schwere von Sicherheitsvorfällen sowie auf Konkretisierung der Anforderungen an Überwachung und Protokollierung eingegangen.
Diese Maßnahmen sollen dazu beitragen, ein hohes gemeinsames Sicherheitsniveau in den Netz- und Informationssystemen der betreffenden Einrichtungen innerhalb der EU zu gewährleisten und die Folgen von Cyberangriffen zu minimieren. Als Implementing Regulation tritt sie sofort in Kraft da keine Umsetzung in nationales Recht erforderlich ist, und wird damit in vielen EU Mitgliedsstaaten die Verabschiedung von Gesetzgebungen zur Umsetzung von NIS2 zeitlich überholen.
Quelle:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2690