Ja, Einrichtungen der öffentlichen Verwaltung fallen unter die NIS2-Richtlinie, jedoch mit einigen Besonderheiten. Um das Hauptziel der NIS2-Richtlinie und ihren Anwendungsbereich zu verstehen, ist es hilfreich, mit einer Analyse der Bestimmungen zu beginnen, die den öffentlichen Sektor direkt betreffen.

[Callforaction-NIS2]

Hier ist eine detaillierte Analyse:

• Allgemeine Einbeziehung: Artikel 2 der NIS2-Richtlinie legt ausdrücklich fest, dass die Richtlinie sowohl für öffentliche als auch für private Einrichtungen gilt, die in verschiedenen Sektoren tätig sind. Dies bedeutet, dass Einrichtungen der öffentlichen Verwaltung im Allgemeinen in den Anwendungsbereich der NIS2 fallen.
• Spezifische Bestimmungen für die öffentliche Verwaltung: Die Quellen heben einige Bestimmungen innerhalb der NIS2 hervor, die Einrichtungen der öffentlichen Verwaltung direkt betreffen:
  • Definition: Artikel 2 Punkt 35 definiert eine „Einrichtung der öffentlichen Verwaltung“ als eine Stelle, die in einem Mitgliedstaat nach nationalem Recht als solche anerkannt ist, unter Ausschluss der Justiz, der Parlamente und der Zentralbanken. Um als solche zu gelten, muss die Einrichtung spezifische Kriterien erfüllen, wie z. B. die Gründung zu nichtkommerziellen Zwecken, das Bestehen einer Rechtspersönlichkeit, die überwiegende Finanzierung aus öffentlichen Mitteln und die Befugnis, Verwaltungsentscheidungen zu treffen, die bestimmte Rechte im Zusammenhang mit dem Binnenmarkt berühren.
  • Wesentliche Einrichtungen: Artikel 2 Absatz 2 Buchstabe f stellt klar, dass Einrichtungen der öffentlichen Verwaltung gemäß NIS2 als „wesentliche Einrichtungen“ eingestuft werden können. Es werden zwei Kategorien spezifiziert:
    • (i) Einrichtungen der zentralen Verwaltung, wie sie in der nationalen Gesetzgebung jedes Mitgliedstaats definiert sind.
    • (ii) Einrichtungen auf regionaler Ebene, wie sie in der nationalen Gesetzgebung jedes Mitgliedstaats definiert sind, sofern eine Risikobewertung ergibt, dass Unterbrechungen ihrer Dienste erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Aktivitäten haben könnten.
  • Lokale Ebene und Bildungseinrichtungen: Artikel 2 Absatz 5 räumt den Mitgliedstaaten das Ermessen ein, die Anwendung der NIS2 auf Folgendes auszuweiten:
    • (a) Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene.
    • (b) Bildungseinrichtungen, insbesondere solche, die in kritischen Forschungsbereichen tätig sind.
  • Ausnahmen: Obwohl sie generell einbezogen sind, gelten für Einrichtungen der öffentlichen Verwaltung einige Ausnahmen:
    • Artikel 2 Absatz 7 legt fest, dass die Richtlinie nicht für Einrichtungen der öffentlichen Verwaltung gilt, die in Bereichen tätig sind wie:
      • Nationale Sicherheit;
      • Öffentliche Sicherheit;
      • Verteidigung;
      • Strafverfolgung (einschließlich Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten).
    • Artikel 2 Absatz 8 erlaubt es den Mitgliedstaaten, bestimmte Einrichtungen, die in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung tätig sind oder Dienstleistungen für solche Einrichtungen erbringen, von einigen Verpflichtungen der Artikel 21 (Risikomanagementmaßnahmen für Cybersicherheit) und 23 (Meldepflichten bei Vorfällen) zu befreien. Die Ausnahmen können auch für Artikel 3 (nationale Cybersicherheitsstrategien und Benennung zuständiger Behörden) und 27 (Register der Einrichtungen) gelten, wenn die Aktivitäten oder Dienste einer Einrichtung ausschließlich in die genannten ausgenommenen Kategorien fallen.
    • Artikel 2 Absatz 9 stellt jedoch klar, dass die Absätze 7 und 8 bezüglich der Ausnahmen nicht gelten, wenn eine Einrichtung als Vertrauensdiensteanbieter tätig ist. Dies bedeutet, dass Einrichtungen der öffentlichen Verwaltung, die als Vertrauensdiensteanbieter fungieren, die NIS2 einhalten müssen, selbst wenn ihre Aktivitäten die nationale Sicherheit oder andere ausgenommene Bereiche betreffen.
• Aufsicht und Durchsetzung: Die Quellen behandeln Aspekte der Aufsicht und Durchsetzung der NIS2 gegenüber Einrichtungen der öffentlichen Verwaltung:
• Artikel 31 Absatz 5 stellt klar, dass die Durchsetzungsmaßnahmen gemäß Artikel 32 Absatz 5 (bezüglich Verstößen gegen Artikel 21 durch Einrichtungen, die Registrierungsdienste für Domainnamen erbringen) nicht auf Einrichtungen der öffentlichen Verwaltung anwendbar sind. Dies deutet darauf hin, dass, obwohl Ausnahmen von spezifischen Verpflichtungen möglich sind, andere Bestimmungen der NIS2, einschließlich derjenigen zur Aufsicht und Durchsetzung, im Allgemeinen gelten.
• Artikel 34 Absatz 7 gewährt den Mitgliedstaaten die Flexibilität, Regeln festzulegen, die das Ausmaß der Verwaltungsstrafen bestimmen, die gegen Einrichtungen der öffentlichen Verwaltung bei Verstößen gegen die NIS2 verhängt werden können. Dies zeigt die Anerkennung der besonderen Natur der öffentlichen Verwaltung und die Notwendigkeit maßgeschneiderter Durchsetzungsmechanismen.

Wichtige Punkte:

• Die NIS2-Richtlinie deckt ein breites Spektrum an Einrichtungen der öffentlichen Verwaltung auf verschiedenen Governance-Ebenen ab.
• Die Richtlinie erkennt die einzigartige Rolle der öffentlichen Verwaltung an, indem sie spezifische Bestimmungen zu Definitionen, Ausnahmen und Durchsetzung vorsieht.
• Obwohl es Ausnahmen für Einrichtungen in sensiblen Bereichen wie nationaler Sicherheit und Verteidigung gibt, ist das allgemeine Ziel, Einrichtungen der öffentlichen Verwaltung in den Anwendungsbereich der NIS2 einzubeziehen, um die Cybersicherheit in der gesamten EU zu stärken. Für Einrichtungen, die in den Anwendungsbereich fallen, ist der Beginn eines strukturierten Weges zur NIS2-Konformität der konkrete Schritt zur Erfüllung der vorgesehenen Verpflichtungen. Um zu prüfen, ob Ihre Organisation bereits in der von der ACN verwalteten Liste der NIS2-Subjekte und den entsprechenden Fristen enthalten ist, ist es hilfreich, die operativen Hinweise der zuständigen nationalen Behörde zu konsultieren. Der vollständige Text der Verordnung ist im offiziellen Dokument der NIS2-Richtlinie verfügbar.

[Callforaction-NIS2-Footer]