Nach einer Evaluierung der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-I-Richtlinie) hat die Europäische Union die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 angenommen. Auf der Grundlage eines neuen politischen Konzepts und einer Reihe von Optionen und Maßnahmen sowie einer Folgenabschätzung der vorgeschlagenen Änderungen wurde ein neuer Ansatz geschaffen, der durch systemische und strukturelle Änderungen gekennzeichnet ist. Bis Dezember 2024 müssen die Mitgliedstaaten die zur Einhaltung der NIS-2-Richtlinie erforderlichen Maßnahmen verabschieden und veröffentlichen.
Im Allgemeinen sieht der Entwurf der NIS-2-Richtlinie Folgendes vor:
Er führt strengere Aufsichtsmaßnahmen für die nationalen Behörden ein und behält die Anforderung bei, ein Computer Security Incident Response Team (CSIRT) zu installieren
Er enthält strengere Anforderungen an die rechtliche Durchsetzbarkeit
Er verschärft die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten, u. a. durch die Schaffung einer neuen Einrichtung mit der Bezeichnung European Cyber Crises Liaison Organisation Network EU (CyCLONe) für die koordinierte Bewältigung großangelegter Cybersicherheitsvorfälle und -krisen und zur Gewährleistung eines regelmäßigen Informationsaustauschs zwischen den Mitgliedstaaten und den EU-Behörden
Er erhöht die Sicherheitsanforderungen für die Unternehmen, die den Vorschriften unterliegen, indem eine Mindestliste grundlegender obligatorischer Sicherheitselemente erstellt und präzisere Anforderungen für die Meldung von Zwischenfällen eingeführt werden
Er zielt darauf ab, die Sanktionsregelungen in den Mitgliedstaaten zu harmonisieren (einschließlich Geldbußen von bis zu 10 Mio. Euro oder bis zu 2 % des gesamten weltweiten Jahresumsatzes eines Unternehmens) und
Er verlängert die Frist für die Mitgliedstaaten zur Umsetzung der NIS-2-Richtlinie in nationales Recht auf zwei Jahre (von ursprünglich 18 Monaten).
Anders als die NIS-1-Richtlinie soll diese neue Direktive ein breiteres Spektrum von bestimmten Branchen (Sektoren) abdecken, je nach ihrer Bedeutung für Wirtschaft und Gesellschaft. Außerdem sollen alle mittleren und großen Unternehmen in ausgewählten Sektoren erfasst werden, während die Mitgliedstaaten die Möglichkeit haben, andere (kleinere) Unternehmen zu ermitteln, die ein hohes Sicherheitsrisiko aufweisen.
Gleichzeitig soll es auch keine Unterscheidung zwischen Anbietern von Basisdiensten und Anbietern digitaler Dienste mehr geben. Die Unternehmen sollen nun entsprechend ihrer Bedeutung klassifiziert und unterschiedlichen Aufsichtsregelungen unterworfen werden. Die vorgeschlagene NIS-2-Richtlinie zielt darauf ab, die Unterscheidung zwischen Betreibern grundlegender Dienste und Anbietern digitaler Dienste aufzuheben und einen neuen Ansatz für die Klassifizierung auf der Grundlage der Bedeutung des Dienstes zu verfolgen. Dies würde eine einfachere Regelung für Dienste ermöglichen, die als „wesentlich“ und nicht als „grundlegend“ eingestuft werden.
Schließlich sollen auch die Sicherheitsanforderungen verschärft werden, z. B. durch die Einführung einer Liste von neuen Maßnahmen, die die Reaktion auf Zwischenfälle, das Krisenmanagement, die Behebung und Aufdeckung von Schwachstellen, die Prüfung der Cybersicherheit und die wirksame Verwendung von Verschlüsselung umfassen. Im Fokus stehen dabei vor allem die Cybersicherheit der Lieferketten für wichtige Informations- und Kommunikationstechnologien sowie die Verantwortung der Unternehmensleitung für Compliance und Risikomanagement im Bereich der Cybersicherheit. Die Meldepflicht für Vorfälle soll ebenfalls vereinfacht werden, indem die Bestimmungen über das Meldeverfahren, den Inhalt und den Zeitpunkt der Meldung präzisiert werden.
Außerdem wird eine Größenbeschränkung eingeführt. Das bedeutet, dass nur mittlere und große Unternehmen in ausgewählten Sektoren in den Anwendungsbereich der NIS-2-Richtlinie einbezogen werden, während den Mitgliedstaaten eine gewisse Flexibilität bei der Ermittlung kleinerer Unternehmen mit einem hohen Sicherheitsrisikoprofil erhalten bleibt. Dieser generelle Ausschluss kleinerer Unternehmen gilt jedoch nicht, wenn es sich dabei um einen Anbieter eines grundlegenden oder wesentlichen Dienstes oder um einen Anbieter von öffentlichen elektronischen Kommunikationsnetzen bzw. öffentlich zugänglichen elektronischen Kommunikationsdiensten handelt.
Der Zuständigkeitsbereich der NIS-2-Richtlinie wird weiterhin in erster Linie durch den jeweiligen Mitgliedstaat bestimmt, in dem der Anbieter seine Hauptniederlassung hat. Maßgeblich ist dabei jener Ort, an dem über wichtige Maßnahmen des Cybersicherheitsrisikomanagements entschieden wird und nicht wo der Anbieter in der EU niedergelassen ist. Werden solche Entscheidungen in keiner Niederlassung in der EU getroffen, gilt als Hauptniederlassung jener Mitgliedstaat, in dem die Einrichtungen mit der höchsten Beschäftigtenzahl in der EU eine Niederlassung haben. Gibt es keine solchen Einrichtungen in der EU und der Anbieter offeriert trotzdem unionweite Dienstleistungen, muss ein Vertreter für die Zwecke der NIS benannt werden.