ISGroup Cybersicherheitsberatung

Die Rolle der nationalen zuständigen Behörden bei der Umsetzung und Durchsetzung der NIS2-Richtlinie

Die NIS2-Richtlinie verlässt sich in hohem Maße auf die zuständigen nationalen Behörden, um ihre Bestimmungen umzusetzen und durchzusetzen. Sie weist ihnen eine Reihe von Verantwortlichkeiten zu, die verschiedene Phasen des Lebenszyklus der Richtlinie abdecken. Für Unternehmen, die in den Anwendungsbereich fallen, ist das Verständnis dieses Governance-Systems der erste Schritt zur Einrichtung eines strukturierten NIS2-Compliance-Pfads.

[Callforaction-NIS2]

1. Schaffung des NIS2-Ökosystems

  • Entwicklung nationaler Cybersicherheitsstrategien: Jeder Mitgliedstaat muss eine umfassende nationale Cybersicherheitsstrategie verabschieden, die strategische Prioritäten, Ziele und Governance-Rahmen für die Cybersicherheit festlegt. Diese Strategien müssen Mechanismen zur Zusammenarbeit und Koordinierung zwischen den verschiedenen relevanten Akteuren enthalten, einschließlich der zuständigen Behörden, der zentralen Anlaufstellen (Single Points of Contact, SPOC) und der Teams für die Reaktion auf Sicherheitsvorfälle (Computer Security Incident Response Teams, CSIRT), sowie die Koordinierung mit den für sektorspezifische Rechtsakte der Union zuständigen Behörden.
  • Benennung der Schlüsselunternehmen: Die Mitgliedstaaten spielen eine grundlegende Rolle bei der Identifizierung und Benennung der Unternehmen, die in den Anwendungsbereich der NIS2 fallen. Dies umfasst:
    • Wesentliche und wichtige Einrichtungen: Festlegung, welche Einrichtungen aufgrund ihrer potenziellen Auswirkungen auf wesentliche Dienste und gesellschaftliche Funktionen als „wesentlich“ oder „wichtig“ eingestuft werden.
    • Erstellung von Unternehmenslisten: Erstellung und Pflege von Listen wesentlicher und wichtiger Einrichtungen sowie solcher, die Registrierungsdienste für Domainnamen erbringen. Diese Listen sind entscheidend, um Transparenz und Aufsicht zu gewährleisten und sicherzustellen, dass sich die Unternehmen ihrer Verpflichtungen gemäß NIS2 bewusst sind. In Italien verwaltet die ACN die Liste der NIS2-Subjekte und die entsprechenden Anmeldefristen.
    • Flexibilität bei der Benennung von Unternehmen: Die Mitgliedstaaten haben einen gewissen Ermessensspielraum bei der Benennung kleinerer Unternehmen mit hohem Risikoprofil, die möglicherweise die allgemeinen Größenschwellenwerte nicht erreichen, aber dennoch in die NIS2 aufgenommen werden sollten.
  • Schaffung nationaler Strukturen: Neben der Benennung der Unternehmen sind die Mitgliedstaaten für die Schaffung wesentlicher nationaler Strukturen für die Cybersicherheit verantwortlich:
    • Zuständige Behörden: Benennung oder Einrichtung einer oder mehrerer für Cybersicherheit zuständiger Behörden, einschließlich derjenigen, die mit der Überwachung der Umsetzung der NIS2 sowie der Ausübung von Aufsichts- und Durchsetzungsmaßnahmen betraut sind.
    • Zentrale Anlaufstellen (SPOC): Benennung oder Einrichtung von SPOCs als zentrale Kontaktstellen für die grenzüberschreitende Zusammenarbeit mit anderen Mitgliedstaaten und für die intersektorale Zusammenarbeit innerhalb des Mitgliedstaats.
    • Teams für die Reaktion auf Sicherheitsvorfälle (CSIRT): Benennung oder Einrichtung von CSIRTs zur Bewältigung von Cybersicherheitsvorfällen und Krisen, zur Zusammenarbeit mit anderen CSIRTs und zur Unterstützung der Unternehmen in ihrem Zuständigkeitsbereich. Für NIS-Subjekte sieht die Richtlinie auch eine spezifische Verpflichtung zur Benennung eines CSIRT-Ansprechpartners vor.

2. Aufsicht und Durchsetzung

  • Aufsichtsbefugnisse: Die zuständigen nationalen Behörden sind mit einer Reihe von Aufsichtsbefugnissen ausgestattet, um sicherzustellen, dass die Unternehmen ihre Verpflichtungen gemäß NIS2 erfüllen. Zu diesen Befugnissen gehören:
    • Regelmäßige und gezielte Audits: Durchführung von Audits zur Bewertung der Angemessenheit und Umsetzung von Maßnahmen zum Risikomanagement im Bereich Cybersicherheit.
    • Vor-Ort- und Fernkontrollen: Durchführung von Kontrollen, sowohl vor Ort als auch aus der Ferne, um die Einhaltung zu überprüfen.
    • Auskunftsersuchen: Anforderung von Informationen von Unternehmen bezüglich ihrer Cybersicherheitspraktiken, Risikomanagementrichtlinien und Verfahren zur Reaktion auf Vorfälle.
    • Zugang zu Dokumenten und Beweismitteln: Erhalt des Zugangs zu relevanten Dokumenten und Beweismitteln, um die Einhaltung der NIS2 durch das Unternehmen zu überprüfen.
  • Durchsetzungsmaßnahmen: Die NIS2 stellt den zuständigen Behörden eine Reihe von Durchsetzungsmaßnahmen zur Verfügung, um bei Nichteinhaltung zu reagieren:
    • Verbindliche Anweisungen: Erteilung verbindlicher Anweisungen an Unternehmen zur Behebung festgestellter Mängel und zur Sicherstellung der Konformität.
    • Empfehlungen für Sicherheitsaudits: Anordnung an Unternehmen, die Empfehlungen aus Sicherheitsaudits umzusetzen.
    • Anpassung an NIS2-Anforderungen: Verpflichtung der Unternehmen, die von der NIS2 geforderten Sicherheitsmaßnahmen einzuhalten.
    • Verwaltungssanktionen: Verhängung von Verwaltungssanktionen bei Verstößen gegen die Verpflichtungen zum Risikomanagement im Bereich Cybersicherheit und zur Meldung von Vorfällen. Die Richtlinie legt Mindestschwellenwerte für solche Sanktionen fest und unterscheidet dabei zwischen wesentlichen und wichtigen Einrichtungen.
    • Zusätzliche Maßnahmen: Bei anhaltender Nichteinhaltung können die zuständigen Behörden zusätzliche Maßnahmen verhängen, wie etwa die vorübergehende Aussetzung von Zertifikaten oder Genehmigungen oder die Forderung nach der Suspendierung von Mitgliedern der Unternehmensleitung.
  • Faktoren für die Durchsetzung: Bei der Festlegung geeigneter Durchsetzungsmaßnahmen müssen die zuständigen Behörden die spezifischen Umstände des Einzelfalls berücksichtigen. Relevante Faktoren sind die Schwere und Dauer des Verstoßes, die Absicht hinter dem Verstoß, der Grad der Kooperation des Unternehmens und die bisherige Compliance-Historie.

3. Erleichterung des Informationsaustauschs und der Zusammenarbeit

  • Förderung von Informationsaustauschvereinbarungen: Die Mitgliedstaaten müssen den Informationsaustausch zwischen Unternehmen fördern, auch zwischen solchen, die möglicherweise nicht direkt unter die NIS2 fallen. Dies beinhaltet die Erleichterung der Schaffung von Vereinbarungen zum Informationsaustausch und die Bereitstellung von Leitlinien zu operativen Aspekten.
  • Unterstützung der koordinierten Schwachstellenmeldung: Die nationalen Behörden spielen eine Rolle bei der Unterstützung von Prozessen zur koordinierten Schwachstellenmeldung, indem sie die Kommunikation zwischen Unternehmen, die Schwachstellen entdecken, und den betroffenen Anbietern oder Dienstleistern erleichtern.
  • Informationsaustausch mit zuständigen Behörden: Die zuständigen Behörden müssen relevante Informationen, wie Details zu erheblichen Cybersicherheitsvorfällen, mit anderen nationalen Behörden teilen, die für den Schutz kritischer Infrastrukturen (Richtlinie (EU) 2022/2557) und den Finanzsektor (Verordnung (EU) 2022/2554) verantwortlich sind. Dieser Informationsaustausch ist wesentlich, um einen koordinierten und umfassenden Ansatz für die Cybersicherheit über verschiedene Sektoren hinweg zu gewährleisten.

Zusammenfassend lässt sich sagen, dass die zuständigen nationalen Behörden eine zentrale Rolle bei der Umsetzung der NIS2-Prinzipien in konkrete Maßnahmen spielen. Sie sind verantwortlich für die Schaffung der notwendigen nationalen Rahmenbedingungen, die Überwachung der Umsetzung der Richtlinienbestimmungen, die Ergreifung von Durchsetzungsmaßnahmen bei Bedarf und die Förderung einer Kultur der Zusammenarbeit im Bereich der Cybersicherheit innerhalb und zwischen den Mitgliedstaaten.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *