Gemäß der NIS2-Richtlinie haben die Mitgliedstaaten die Befugnis zu verlangen, dass wesentliche und wichtige Einrichtungen zertifizierte IKT-Produkte, -Dienste und -Prozesse einsetzen, um die Einhaltung der in Artikel 21 vorgesehenen spezifischen Risikomanagementmaßnahmen im Bereich der Cybersicherheit nachzuweisen. Diese Anforderung gilt für IKT-Produkte, -Dienste und -Prozesse, die von diesen Einrichtungen intern entwickelt oder von externen Anbietern bezogen werden. Für Organisationen, die ihren Weg zur NIS2-Konformität beginnen oder festigen, ist das Verständnis, wann und wie die Zertifizierungspflicht gilt, einer der grundlegenden operativen Schritte.

Die Zertifizierung muss im Rahmen der europäischen Cybersicherheits-Zertifizierungssysteme erfolgen, die gemäß Artikel 49 der Verordnung (EU) 2019/881 festgelegt wurden.

Die Richtlinie fördert zudem die Nutzung von qualifizierten Vertrauensdiensten durch wesentliche und wichtige Einrichtungen.

NIS2-Richtlinie und IKT: Wann ist eine Zertifizierung erforderlich?

Gemäß der NIS2-Richtlinie kann die Kommission delegierte Rechtsakte erlassen, um die Kategorien wesentlicher und wichtiger Einrichtungen festzulegen, die verpflichtet sind, zertifizierte IKT-Produkte, -Dienste und -Prozesse zu verwenden oder eine Zertifizierung im Rahmen eines europäischen Cybersicherheits-Zertifizierungsschemas zu erlangen. Diese delegierten Rechtsakte werden erlassen, wenn ein unzureichendes Niveau an Cybersicherheit festgestellt wird, und beinhalten eine Umsetzungsfrist. Darüber hinaus werden die Modalitäten festgelegt, um einen harmonisierten Ansatz zwischen den Mitgliedstaaten zu gewährleisten und Diskrepanzen bei der Anwendung der Maßnahmen zu vermeiden.

Bewertung und Konsultation vor delegierten Rechtsakten

Vor dem Erlass delegierter Rechtsakte führt die Kommission eine Folgenabschätzung durch und konsultiert die betroffenen Parteien gemäß Artikel 56 der Verordnung (EU) 2019/881. Die Konsultation dient dazu, Meinungen von Branchenakteuren, Cybersicherheitsexperten und nationalen Institutionen einzuholen, um sicherzustellen, dass die neuen Bestimmungen wirksam und realistisch sind.

Umgang mit dem Fehlen geeigneter Zertifizierungssysteme

Falls keine geeigneten europäischen Cybersicherheits-Zertifizierungssysteme verfügbar sind, kann die Kommission die ENISA auffordern, einen Vorschlag für ein neues System gemäß Artikel 48 Absatz 2 der Verordnung (EU) 2019/881 zu entwickeln. Diese Aufforderung erfolgt in Absprache mit der Kooperationsgruppe und der Europäischen Gruppe für Cybersicherheitszertifizierung. Während dieses Prozesses werden die spezifischen Bedürfnisse der betroffenen Einrichtungen und die Wirksamkeit bestehender Lösungen bewertet, um ein System zu gewährleisten, das auf die aufkommenden Herausforderungen im Bereich der Cybersicherheit reagiert. Für einen breiteren Überblick über den Anwendungsbereich und die Ziele der NIS2-Richtlinie ist es nützlich, vom allgemeinen Kontext auszugehen, bevor man sich mit den einzelnen technischen Verpflichtungen befasst.

[Callforaction-NIS2-Footer]