ISGroup Cybersicherheitsberatung

NIS2: Gibt es Ausnahmen oder Befreiungen?

Die Quellen weisen auf verschiedene Beispiele für Ausnahmen und Befreiungen hin, die ein Unternehmen von der Einhaltung aller oder einiger Bestimmungen der NIS2-Richtlinie entbinden.

[Callforaction-NIS2]

NIS2: Spezifische sektorspezifische Gesetzgebung

Die NIS2-Richtlinie zielt darauf ab, einen Mindeststandard für die Cybersicherheit in einer Vielzahl von Sektoren festzulegen. Sie erkennt jedoch an, dass einige Sektoren bereits spezifischen EU-Rechtsvorschriften unterliegen könnten, die Cyberrisiken und Anforderungen an die Meldung von Vorfällen behandeln. Wenn die Anforderungen der spezifischen sektorspezifischen Gesetzgebung mindestens ebenso streng sind wie die der NIS2-Richtlinie, sind die betroffenen Unternehmen von den entsprechenden Bestimmungen der NIS2-Richtlinie befreit. Diese Befreiung betrifft die Bestimmungen zu Risikomanagementmaßnahmen im Bereich Cybersicherheit und Meldepflichten bei Vorfällen.

  • Gleichwertigkeit: Um festzustellen, ob ein sektorspezifisches Gesetz gleichwertig ist, muss es eines der beiden folgenden Kriterien erfüllen:
  • Die Auswirkungen der Risikomanagementmaßnahmen der sektorspezifischen Gesetzgebung müssen mindestens den Artikeln 21(1-2) der NIS2-Richtlinie entsprechen.
  • Die sektorspezifische Gesetzgebung muss einen unmittelbaren (und potenziell automatischen und direkten) Zugang zu den Meldungen über Vorfälle gewährleisten, die von den Computer Security Incident Response Teams (CSIRTs), den zuständigen Behörden oder den zentralen Anlaufstellen übermittelt werden. Darüber hinaus müssen die Verpflichtungen zur Meldung erheblicher Vorfälle in der sektorspezifischen Gesetzgebung mindestens den Artikeln 23(1-6) der NIS2-Richtlinie entsprechen.
  • Teilweise Abdeckung: Wenn die sektorspezifische Gesetzgebung nur eine Untergruppe von Unternehmen innerhalb eines Sektors abdeckt, der in den Anwendungsbereich der NIS2-Richtlinie fällt, gelten die Bestimmungen der Richtlinie weiterhin für die übrigen Unternehmen dieses Sektors.

Die Quellen nennen den Digital Operational Resilience Act (DORA) als spezifisches Beispiel für eine sektorspezifische Gesetzgebung, die bestimmte Unternehmen von der NIS2-Richtlinie befreit. DORA regelt die Cybersicherheit des Finanzsektors, und Unternehmen, die in seinen Anwendungsbereich fallen, unterliegen nicht den entsprechenden Bestimmungen der NIS2-Richtlinie. Für Organisationen, die hingegen vollständig in den NIS2-Anwendungsbereich fallen, ist der Beginn eines strukturierten Anpassungsprozesses an die Richtlinie der effektivste Weg, um die Verpflichtungen geordnet zu erfüllen.

Öffentliche Verwaltung und nationale Sicherheit

Die NIS2-Richtlinie befreit bestimmte Einrichtungen der öffentlichen Verwaltung, die in Bereichen tätig sind, die mit nationaler Sicherheit, öffentlicher Sicherheit, Verteidigung oder Strafverfolgung verbunden sind. Diese Befreiung gilt für Aktivitäten wie die Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten. Einrichtungen, die ausschließlich Dienstleistungen für diese befreiten öffentlichen Verwaltungen erbringen, können auf Entscheidung der Mitgliedstaaten ebenfalls von einigen Verpflichtungen der NIS2-Richtlinie befreit werden.

  • Anbieter von Vertrauensdiensten: Auch wenn eine Einrichtung aufgrund ihrer Beteiligung an Bereichen der nationalen oder öffentlichen Sicherheit befreit ist, gilt die NIS2-Richtlinie dennoch, wenn die Einrichtung als Anbieter von Vertrauensdiensten agiert.

NIS2: Weitere Ausnahmen und Befreiungen

Die NIS2-Richtlinie sieht auch weitere Ausnahmen und Befreiungen vor, darunter:

  • Von DORA befreite Unternehmen: Unternehmen, die von den Mitgliedstaaten gemäß Artikel 2(4) der DORA-Verordnung von dieser befreit wurden, sind ebenfalls von der NIS2-Richtlinie befreit.
  • Schutz wesentlicher Interessen: Die Verpflichtungen der Richtlinie verlangen von den Unternehmen nicht die Offenlegung von Informationen, die die wesentlichen Sicherheitsinteressen, die öffentliche Sicherheit oder die Verteidigung eines Mitgliedstaats gefährden würden.
  • Vertraulichkeit von Informationen: Vertrauliche Informationen, wie Geschäftsgeheimnisse, die durch EU-Recht oder nationales Recht geschützt sind, dürfen nur dann an die Kommission und andere zuständige Behörden weitergegeben werden, wenn dies für die Anwendung der Richtlinie unbedingt erforderlich ist.
  • Datenschutz: Die Verarbeitung personenbezogener Daten im Rahmen der NIS2-Richtlinie muss der Datenschutz-Grundverordnung (DSGVO) entsprechen. Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste müssen zudem die EU-Datenschutz- und Privatsphärenvorschriften einhalten, einschließlich der Richtlinie 2002/58/EG.

Höhere nationale Standards

Die NIS2-Richtlinie legt EU-weite Mindestanforderungen für die Cybersicherheit fest. Sie hindert die Mitgliedstaaten jedoch nicht daran, strengere Bestimmungen zur Cybersicherheit einzuführen oder beizubehalten. Solange diese nationalen Bestimmungen mit dem EU-Recht vereinbar sind, können sie neben der NIS2-Richtlinie bestehen.

Leitlinien der Kommission

Die Europäische Kommission ist dafür verantwortlich, Leitlinien zur Klärung der Anwendung dieser Ausnahmen und Befreiungen bereitzustellen, insbesondere in Situationen, die spezifische sektorspezifische Rechtsvorschriften betreffen. Die Kommission gibt zudem Hinweise zu den Informationen, die die Mitgliedstaaten übermitteln müssen, wenn sie der Kommission die Listen der unter die Richtlinie fallenden wesentlichen und wichtigen Einrichtungen mitteilen.

Es ist wichtig zu beachten, dass sich die Quellen hauptsächlich auf die in der NIS2-Richtlinie ausdrücklich genannten Ausnahmen und Befreiungen konzentrieren. Es ist möglich, dass nationales Recht oder andere EU-Vorschriften die Anwendung der Richtlinie auf eine Weise beeinflussen können, die im bereitgestellten Text nicht explizit behandelt wird. Für einen vollständigen Überblick über die für Ihre Organisation geltenden Verpflichtungen ist es ratsam, auch die von der ACN veröffentlichte Liste der NIS2-Subjekte und die entsprechenden Compliance-Fristen zu konsultieren.

Häufig gestellte Fragen zu NIS2-Ausnahmen

  • Wie kann eine Organisation prüfen, ob sie unter eine Ausnahme von der NIS2-Richtlinie fällt?
  • Der Ausgangspunkt ist zu prüfen, ob die Organisation in einem Sektor tätig ist, der bereits durch eine spezifische sektorspezifische EU-Verordnung geregelt ist – wie DORA für den Finanzsektor – und ob diese Verordnung die von NIS2 geforderten Gleichwertigkeitskriterien erfüllt. Im Zweifelsfall ist eine Analyse des Anwendungsbereichs ratsam, bevor man davon ausgeht, befreit zu sein.
  • Unterliegt ein Unternehmen, das teilweise von DORA abgedeckt ist, dennoch der NIS2?
  • Das hängt vom Anwendungsbereich ab. Wenn DORA nur bestimmte Aktivitäten oder bestimmte Unternehmen eines Sektors abdeckt, bleiben die verbleibenden, nicht abgedeckten Unternehmen oder Aktivitäten der NIS2-Richtlinie unterworfen. Die Befreiung ist weder automatisch noch vollständig: Sie muss von Fall zu Fall in Bezug auf den tatsächlichen Anwendungsbereich der jeweiligen Verordnung geprüft werden.
  • Gelten strengere nationale Standards auch für Unternehmen, die von einer NIS2-Befreiung profitieren?
  • Die in der NIS2 vorgesehenen Befreiungen beziehen sich auf die Verpflichtungen der Richtlinie selbst. Die Mitgliedstaaten können strengere nationale Bestimmungen erlassen, die mit dem EU-Recht vereinbar sind, und diese können grundsätzlich auch für Subjekte gelten, die von der NIS2 befreit sind, je nachdem, wie der nationale Gesetzgeber die Befreiungen umgesetzt und abgegrenzt hat.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *