Richtlinie (EU) 2022/2555
Titel:	Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148
Kurztitel:	NIS-2-Richtlinie
Geltungsbereich:	EU
Rechtsmaterie:	Informationssicherheit
Grundlage:	AEUV, insbesondere Artikel 114
Datum des Rechtsakts:	14. Dezember 2022
Veröffentlichungsdatum:	27. Dezember 2022
Inkrafttreten:	16. Januar 2023
Anzuwenden ab:	18. Oktober 2024
Fundstelle:	ABl. L 333, 27. Dezember 2022, S. 80–152
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, abgekürzt NIS-2-Richtlinie, ist eine EU-Richtlinie, die das Niveau der Cyberresilienz in der Union stärken soll.

Sie hebt die Richtlinie (EU) 2016/1148 zur Netzwerk- und Informationssicherheit (NIS-Richtlinie)^[1] zum 18. Oktober 2024 auf, die bereits ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union gewährleisten sollte.

Die Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) und die Richtlinie (EU) 2018/1972 (EECC-Richtlinie) werden geändert.

Vor dem Hintergrund einer steigenden Abhängigkeit von digitalen Technologien zeigte die COVID-19-Pandemie auf, wie sensibel digitalisierte Gesellschaften auf unerwartete Risiken reagieren können.^[2] Im Zuge dessen prüfte die Europäische Kommission die bestehende NIS-Richtlinie und stellte folgende Kritikpunkte fest:

• unzureichende Cyberresilienz von Unternehmen, die in der EU tätig sind,
• inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren,
• unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der Mitgliedstaaten,
• fehlende gemeinsame Krisenreaktion.

Nach diversen Abstimmungsrunden wurde die finale NIS-2-Richtlinie^[3] am 14. Dezember 2022 von der EU-Kommission verabschiedet.

Die Richtlinie verpflichtet die Mitgliedstaaten zur Verabschiedung einer nationalen Cybersicherheitsstrategie. Ferner sind nationale Computer Security Incident Response Teams (CSIRTs) zu benennen, die für den Umgang mit Risiken und Störungen zuständig sind. Ein sog. Single Point of Contact (SPoC) dient dazu, grenzüberschreitende Zusammenarbeit der Behörden der Mitgliedstaaten sicherzustellen.

Die NIS-2-Richtlinie stellt strengere Anforderungen als die bisherige NIS-Richtlinie an nationale Behörden und vereinheitlicht die Sanktionsmöglichkeiten in den Mitgliedstaaten. Mit der Richtlinie werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.

In Österreich müssen die notwendigen nationalen Regelungen in das Netz- und Informationssystemsicherheitsgesetz (NISG) aufgenommen werden.^[4][5]

Die Richtlinie muss bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Dazu hat im Juli 2023 das Bundesministerium des Innern und für Heimat einen Referentenentwurf vorgelegt.^[6] Nach einem Werkstattgespräch und einem weiteren Referentenentwurf wurde am 7. Mai 2024 ein weiterer Referentenentwurf vorgelegt. Stellungnahmen sollen bis 28. Mai 2024 erfolgen, anschließend eine Anhörung am 3. Juni 2024.^[7] Hochrechnungen zufolge werden ca. 30.000 deutsche Institutionen und Unternehmen davon betroffen sein. Das sind deutlich mehr als nach bisherigem Recht.

Deutschland hat die Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten, angestrebt wird Ende des ersten Quartals 2025. Der Zeitplan für die Rechtsverordnungen zum Umsetzungsgesetz ist unklar.^[8]

Anders als etwa in der aufgrund des deutschen BSI-Gesetzes zum Schutz kritischer Infrastrukturen erlassenen Rechtsverordnung von 2016 (BSI-KritisV)^[9] fallen zwar Kultur und Medien, öffentlicher Nahverkehr und Medizingroßhandel nicht in den Anwendungsbereich der NIS-2-Richtlinie, dafür kommen aber neue Bereiche wie Weltraum, Top-Level-Domain-Registrare und Vertrauensdiensteanbieter hinzu.^[10] Der Zuwachs an betroffenen Institutionen erklärt sich in erster Linie damit, dass die aus der BSI-KritisV bekannten Schwellenwerte hier keine Anwendung mehr finden. Zudem gibt es mehrere Abstufungen: Man unterscheidet nun sogenannte wesentliche Einrichtungen von wichtigen Einrichtungen, vornehmlich aufgrund der Mitarbeiterzahl oder des Umsatzes. Wie bisher gibt es auch noch kritische Einrichtungen.^[11]

Die Umsetzung der Richtlinie verpflichtet betroffene Institutionen dazu, sich bei der European Union Agency for Cybersecurity zu registrieren, die nationale Cyber-Security-Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ein Risikomanagement einzurichten und den Stand der Technik in IT-Sicherheit zu implementieren. Es ist davon auszugehen, dass bestehende Standards wie der IT-Grundschutz,^[12] die ISO/IEC 27001 und der Kriterienkatalog Cloud Computing C5^[13] wahrscheinlich nur einen Teil der Anforderungen aus NIS-2 abdecken werden und weitere technische und organisatorische Maßnahmen zur Umsetzung der Richtlinie ergriffen werden müssen.

• Melde- und Informationsportal des BSI. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 3. Oktober 2023. 
• Schwellenwerte aus der BSI-KritisV. Insignals GmbH, abgerufen am 3. Oktober 2023. 
• Ulrich Plate: Cybersicherheit: Was Unternehmen über die NIS2-Richtlinie wissen müssen. In: heise online. Abgerufen am 7. Juni 2024. 
• Dennis-Kenji Kipker: Erklärvideo zu NIS2 beim IDW Digital Summit 2024. Abgerufen am 1. Dezember 2024.

1. ↑ Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016
2. ↑ Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) – FAQ. Abgerufen am 3. Oktober 2023. 
3. ↑ NIS-2-Richtlinie. (PDF) Abgerufen am 3. Oktober 2023. 
4. ↑ Netz- und Informationssystemsicherheitsgesetz (NISG). Abgerufen am 22. Mai 2024. 
5. ↑ Begutachtungsentwürfe zum Netz- und Informationssystemsicherheitsgesetz 2024. Abgerufen am 22. Mai 2024. 
6. ↑ Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) vom 3. Juli 2023. (PDF) Abgerufen am 3. Oktober 2023. 
7. ↑ Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes. Abgerufen am 22. Mai 2024. 
8. ↑ https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html#roadmap
9. ↑ Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) vom 22. April 2016. Abgerufen am 3. Oktober 2023. 
10. ↑ NIS-2 - Anforderungen und Auswirkungen auf Unternehmen. Abgerufen am 3. Oktober 2023. 
11. ↑ EU NIS 2 Cybersecurity. openkritis.de, abgerufen am 3. Oktober 2023. 
12. ↑ IT-Grundschutz. Informationssicherheit mit System. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 4. Oktober 2023.
13. ↑ Kriterienkatalog Cloud Computing C5. BSI, abgerufen am 4. Oktober 2023.

Bitte den Hinweis zu Rechtsthemen beachten!