Die EU hatte bereits Ende 2022 auf die verschärfte Sicherheitslage reagiert und die NIS-2 Richtlinie auf den Weg gebracht. NIS-2, kurz für „Network and Information Security 2.0“, verschärft die Sicherheitsanforderungen an IT-Systeme. Die Richtlinie gilt für 18 Bereiche, darunter die öffentliche Verwaltung sowie Forschungseinrichtungen. Die einzelnen EU-Staaten müssen bis Oktober 2024 das EU-Recht in nationales Recht überführen. Im Juli 2023 legte das zuständige Bundesinnenministerium einen entsprechenden Referentenentwurf vor.
Für welche Behörden gilt die NIS-2 Richtlinie?
NIS-2 ist für die öffentliche Verwaltung bindend. Das betrifft unter anderem
- Verwaltungen auf Bundesebene
- Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
- Vereinigungen von Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
- Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes sind und IT-Dienstleistungen für die Bundesverwaltung erbringen
All diese Einrichtungen sind laut NIS-2 dazu verpflichtet, wirksame Maßnahmen zu ergreifen, um die IT-Sicherheit zu gewährleisten. Dazu zählen sowohl technische als auch organisatorische Maßnahmen.
Gilt NIS-2 für Kommunen?
Der Kreis derer, die sich von Rechts wegen besser gegen Cyberkriminalität schützen müssen, könnte sich eventuell erweitern. Zum Beispiel um Kommunen und kommunale Rechenzentrumsdienste. Da lässt die Richtlinie den EU-Mitgliedstaaten einen gewissen Spielraum: Sie können selbst entscheiden, ob sie Kommunen als „Einrichtungen öffentlicher Verwaltung auf regionaler Ebene“ definieren. Für die NIS-2 dann gilt. Es bleibt abzuwarten, wie der deutsche Gesetzesgeber hier entscheiden wird.
Diane Schöppe
