Die NIS2-Richtlinie erkennt an, dass die Anforderungen an die Cybersicherheit und die Risikoprofile zwischen den verschiedenen Sektoren erheblich variieren.

[Callforaction-NIS2]

Sie verfolgt daher einen sektoralen Ansatz durch verschiedene Schlüsselmechanismen:

• Sektorspezifischer Anwendungsbereich: Der Anwendungsbereich der Richtlinie wird explizit durch eine Liste von Sektoren und Teilsektoren definiert, die für die Wirtschaft und Gesellschaft der EU als entscheidend gelten (Anhang I und II der NIS2-Richtlinie). Diese sektorale Abgrenzung stellt sicher, dass die durch die NIS2 auferlegten Verpflichtungen für die Risiken und Herausforderungen der in diesen Sektoren tätigen Unternehmen relevant sind.
• Sektorangepasste Sicherheitsanforderungen: Obwohl die NIS2 ein Mindestmaß an Cybersicherheits-Risikomanagementmaßnahmen für alle betroffenen Unternehmen festlegt, ermöglicht sie eine sektorale Anpassung dieser Anforderungen. Artikel 21 Absatz 5 ermächtigt die Kommission zum Erlass von Durchführungsrechtsakten, die technische und methodische Anforderungen, einschließlich “sektorspezifischer Anforderungen”, für die Umsetzung dieser Sicherheitsmaßnahmen festlegen. Diese Flexibilität erkennt an, dass einige Sektoren detailliertere oder an den spezifischen Kontext angepasste Cybersicherheitspraktiken erfordern könnten.
• Sektorale Meldung von Vorfällen: Die NIS2 erkennt an, dass die Arten von Cybersicherheitsvorfällen, die als “erheblich” gelten und daher den nationalen Behörden gemeldet werden müssen, je nach Sektor unterschiedlich sein können. Obwohl eine allgemeine Definition von “Vorfall” bereitgestellt wird, erlaubt Artikel 23 Absatz 11 der Kommission den Erlass von Durchführungsrechtsakten, um weiter zu definieren, was einen erheblichen Vorfall in bestimmten Sektoren ausmacht. Diese Bestimmung ermöglicht einen gezielteren und an die sektoralen Merkmale angepassten Ansatz bei der Meldung von Vorfällen.
• Einbeziehung sektoraler Expertise: Die Richtlinie unterstreicht die Bedeutung der Einbeziehung von Branchenexperten bei ihrer Umsetzung und Überwachung:
  • NIS-Kooperationsgruppe: Artikel 14 setzt die NIS-Kooperationsgruppe ein, die sich aus Vertretern der nationalen Cybersicherheitsbehörden der Mitgliedstaaten zusammensetzt. Diese Gruppe spielt eine entscheidende Rolle bei der Förderung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten in Fragen der Cybersicherheit. Wichtig ist, dass das Mandat der Gruppe die Berücksichtigung der “spezifischen Merkmale jedes Sektors” bei der Entwicklung ihrer Stellungnahmen, Leitlinien und Best Practices umfasst.
  • European Cyber Crisis Liaison Organisation Network (EU-CyCLONe): Das gemäß Artikel 16 eingerichtete EU-CyCLONe unterstützt das koordinierte Management von groß angelegten Cybersicherheitsvorfällen und -krisen. Um sicherzustellen, dass die Reaktionsstrategien von EU-CyCLONe auf die einzigartigen Bedürfnisse der verschiedenen Sektoren abgestimmt sind, können seine Aktivitäten und der Informationsaustausch bei Bedarf “sektorale oder intersektorale Gemeinschaften” einbeziehen.
  • Konsultation mit Stakeholdern: Die Richtlinie sieht die Konsultation relevanter Stakeholder vor, einschließlich derer, die spezifische Sektoren vertreten, bei der Entwicklung von Durchführungsrechtsakten und Leitlinien. Dies stellt sicher, dass sektorale Perspektiven bei der praktischen Anwendung der NIS2 berücksichtigt werden.
• Koordinierung mit sektoraler Gesetzgebung: Die NIS2 ist so konzipiert, dass sie im Einklang mit bestehenden und zukünftigen sektoralen EU-Rechtsvorschriften zur Cybersicherheit funktioniert. Artikel 4 klärt das Verhältnis zwischen der NIS2 und diesen Rechtsvorschriften:
  • Gleichwertige Verpflichtungen: Wenn ein sektoraler Rechtsakt wesentlichen oder wichtigen Einrichtungen Verpflichtungen zum Cybersicherheits-Risikomanagement oder zur Meldung von Vorfällen auferlegt und diese Verpflichtungen als mindestens gleichwertig mit denen der NIS2 angesehen werden, gelten die entsprechenden Bestimmungen der NIS2 nicht für diese Einrichtungen. Dies stellt sicher, dass Unternehmen keinen doppelten oder widersprüchlichen Anforderungen unterliegen. Wenn jedoch die sektorale Gesetzgebung nicht alle Einrichtungen eines bestimmten Sektors abdeckt, die ansonsten unter die NIS2 fallen würden, gelten die einschlägigen Bestimmungen der NIS2 weiterhin für diese nicht abgedeckten Einrichtungen.
  • Harmonisierung und Zusammenarbeit: Um ein korrektes Zusammenspiel zwischen der NIS2 und der sektoralen Gesetzgebung zu erleichtern, stellt die Kommission Leitlinien bereit, die die Kriterien zur Bestimmung der Gleichwertigkeit von Verpflichtungen klären. Dies trägt dazu bei, eine konsistente Umsetzung zu gewährleisten und den regulatorischen Aufwand für Unternehmen zu minimieren. Die NIS-Kooperationsgruppe spielt eine Rolle bei der Förderung der Zusammenarbeit und des Informationsaustauschs zwischen den für die NIS2 zuständigen nationalen Behörden und denjenigen, die sektorale Cybersicherheitsvorschriften beaufsichtigen.

Beispiele für sektorale Überlegungen:

Die Quellen und unser Gespräch verdeutlichen, wie die NIS2 durch verschiedene Beispiele auf die spezifischen Bedürfnisse der Sektoren eingeht:

• Finanzsektor: In Anerkennung des bereits bestehenden robusten Cybersicherheitsrahmens im Finanzsektor gemäß dem Digital Operational Resilience Act (DORA) befreit die NIS2 Einrichtungen, die bereits dem DORA unterliegen, von den Verpflichtungen zum Cybersicherheits-Risikomanagement und zur Meldung von Vorfällen. Angesichts der vernetzten Natur der Cybersicherheit behält die NIS2 jedoch Kanäle für den Informationsaustausch und die Zusammenarbeit zwischen Finanzbehörden und den für die Umsetzung der NIS2 verantwortlichen Behörden bei. Dies stellt sicher, dass die Erfahrung des Finanzsektors zu den breiteren Cybersicherheitsbemühungen beiträgt und umgekehrt.
• Öffentliche Verwaltung: Die NIS2 erkennt die einzigartige Rolle und Struktur der Einrichtungen der öffentlichen Verwaltung an. Sie bietet eine spezifische Definition für öffentliche Stellen und gewährt den Mitgliedstaaten eine gewisse Flexibilität bei deren Einbeziehung, insbesondere auf lokaler Ebene. Die Richtlinie sieht auch Ausnahmen für öffentliche Stellen vor, die in sensiblen Bereichen wie der nationalen Sicherheit tätig sind, betont jedoch gleichzeitig die Bedeutung ihrer Einbeziehung zur Stärkung der allgemeinen Cybersicherheit in der EU. Dieser vielschichtige Ansatz erkennt die Besonderheiten des öffentlichen Sektors an und zielt gleichzeitig auf eine umfassende Cybersicherheitsabdeckung ab.
• Gesundheitssektor: Die NIS2 bezieht Einrichtungen, die an der Forschung und Entwicklung von Arzneimitteln, einschließlich Impfstoffen, beteiligt sind, explizit in ihren Anwendungsbereich ein. Diese Einbeziehung spiegelt die wachsende Bedeutung der Cybersicherheit im Gesundheitssektor wider, insbesondere angesichts der zunehmenden Abhängigkeit von digitalen Gesundheitslösungen und der potenziellen Auswirkungen von Cyberangriffen auf die Patientensicherheit.

Kernpunkte:

• Die NIS2-Richtlinie verfolgt einen sektoralen Ansatz für Cybersicherheit und erkennt die Vielfalt der Risiken und Bedürfnisse in den verschiedenen Sektoren an.
• Sie definiert ihren Anwendungsbereich nach Sektoren, ermöglicht maßgeschneiderte Sicherheits- und Meldepflichten, fördert die Einbeziehung sektoraler Expertise und strebt die Harmonisierung mit sektoraler Gesetzgebung an.
• Dieser gezielte Ansatz zielt darauf ab, die Wirksamkeit der Richtlinie zu verbessern, indem sichergestellt wird, dass Cybersicherheitsmaßnahmen proportional zu den Risiken sind und an die spezifischen Umstände jedes Sektors angepasst werden. Für Organisationen, die ihren Anwendungsbereich bewerten und einen strukturierten Weg zur NIS2-Konformität einschlagen müssen, ist es sinnvoll, mit einer Analyse der bereits implementierten Maßnahmen im Vergleich zu den durch die Richtlinie vorgesehenen Verpflichtungen zu beginnen.

[Callforaction-NIS2-Footer]