Die Umsetzung der NIS-2-Richtlinie variiert erheblich zwischen den EU-Mitgliedsstaaten. Die Gesetzgebungsprozesse befindensich in unterschiedlichen Stadien. openkritis.de und dataroomX haben eine Überblick zusammengestellt.
Deutschland
Deutschland befindet sich mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) auf gutem Weg. Der vierte Entwurf des Gesetzes wurde im Juni 2024 veröffentlicht. Dieses Gesetz wird das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) erheblich überarbeiten und den Geltungsbereich auf weitere Sektoren ausdehnen. Ziel ist es, die Umsetzung bis zur Frist im Oktober 2024 abzuschließen, obwohl es aufgrund laufender Konsultationen mit Unternehmen und anderen Interessengruppen zu Verzögerungen kommen könnte.
Frankreich
Frankreich, unter der Leitung der Nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI), hat aktiv wichtige Akteure durch Konsultationen einbezogen. Ein Gesetzesentwurf soll bis Mitte 2024 vorgelegt werden, begleitet von zahlreichen Durchführungsverordnungen. Frankreich hat ähnlich wie nis2-conform.eu auch Online-Tools entwickelt, um Organisationen bei der Bewertung ihrer Berechtigung und der Einhaltung der NIS-2-Anforderungen zu unterstützen.
Österreich
Österreich hat erhebliche Fortschritte gemacht, jedoch die Frist versäumt. Laut futurezone.at sperrt sich die Opposition bei der Cybersicherheitsrichtlinie und insbesondere gegen Machtfülle für das BMI. Das Parlament sollte die NIS-2-Richtlinie durch das Informationssystemsicherheitsgesetz 2024 und Änderungen anderer relevanter Gesetze im Juni 2024 eigentlich verabschieden. Dann hätte alles zeitlich gepasst. Der Gesetzentwurf wurde Mitte 2024 veröffentlicht, ob es Österreich noch schafft, die EU-Frist einzuhalten, steht erst mal in den Sternen.
Italien
Der italienische Ministerrat hat im Juni 2024 einen Entwurf für ein Gesetzesdekret genehmigt. Der Vorschlag muss jedoch noch weitere Diskussionen und Genehmigungen durch beide Kammern des Parlaments durchlaufen, bevor er zum Gesetz wird. Auch hier wird es schwierig, den avisierten Oktobertermin einzuhalten.
Weitere Länder
- Finnland: Hat im Mai 2024 einen Gesetzentwurf an das Parlament übermittelt, die Konsultationsphase ist abgeschlossen.
- Polen: Hat im April 2024 einen Änderungsentwurf veröffentlicht, der ISO-Standards und detaillierte sektorspezifische Vorschriften enthält.
- Schweden: Plant, bis Januar 2025 ein neues Cybersicherheitsgesetz umzusetzen, welches das derzeitige NIS-Gesetz ersetzt.
Jedes Land passt die Richtlinie an den nationalen Kontext an, was die Hinzufügung oder Änderung der abgedeckten Sektoren und die Festlegung spezifischer Compliance-Verpflichtungen umfasst. Das übergeordnete Ziel bleibt aber, die Cybersicherheitsresilienz in der EU bis Oktober 2024 zu verbessern.