Was ist Was? Die EU-Cybersicherheitsgesetze im Überblick

Zu diesen Cybersicherheitsgesetzen zählen insbesondere die NIS-2-Richtlinie („NIS-2“), die Richtlinie über die Resilienz kritischer Einrichtungen („CER-RL“), der Cyber Resilience Act („CRA“) und die Verordnung über die digitale operationale Resilienz im Finanzsektor („DORA“). Zudem wird die Funkanlagen-Richtlinie („RED“) regelmäßig in diesem Zusammenhang erwähnt. Um die Gemeinsamkeiten und Unterschiede dieser fünf wesentlichen EU-Cybersicherheitsgesetze sowie deren gegenseitige Zusammenhänge nachvollziehen zu können, haben wir nachfolgend ein „Was ist Was“ zu diesen Gesetzen erstellt.

I. Zusammenfassung

NIS2: NIS-2 soll das Cybersicherheitsniveau in der EU signifikant anheben. Sie ersetzt die bisherige NIS-1 und erweitert deren Anwendungsbereich erheblich. NIS-2 richtet sich an “wesentliche” und “wichtige” Einrichtungen in 18 Sektoren. Die Frist zur Umsetzung von NIS-2 in nationales Recht ist am 17. Oktober 2024 abgelaufen. Deutschland hat diese Frist versäumt. Auch in andere EU-Länder wie Frankreich, Spanien, Polen, Schweden und die Niederlande wurde das jeweilige nationale Umsetzungsgesetz noch nicht verabschiedet. Noch zu erlassende nationale Umsetzungsgesetze könnten deshalb mit ihrem Inkrafttreten ohne weiteren Übergangszeitraum unmittelbar zur Anwendung kommen (so wie es derzeit für Deutschland geplant ist).

CER-RL: Zeitgleich mit NIS-2 in Kraft getreten, soll die CER-RL die physische Resilienz kritischer Einrichtungen (sog. „wesentliche Dienste“) in elf Sektoren stärken. Im Unterschied zu NIS-2 nimmt sie physische, also „Offline“-Risiken wie Naturereignisse, Sabotage oder Terrorismus in den Blick. Die Frist zur Umsetzung in nationales Recht lief ebenfalls am 17. Oktober 2024 ab. Auch hier hat Deutschland die Umsetzungsfrist versäumt, aber auch Frankreich, Spanien, Polen, Schweden und die Niederlande haben die Richtlinie noch nicht umgesetzt. Bis zum 17. Juli 2026 müssen Mitgliedsstaaten aber die kritischen Einrichtungen in ihrem Hoheitsgebiet identifiziert haben.

CRA: Als Verordnung entfaltet der CRA unmittelbare Wirkung auch ohne nationales Umsetzungsgesetz. Der CRA stellt erstmals konkrete horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Hardware und Software) auf, die über den gesamten Produktlebenszyklus hinweg gelten. Dies umfasst insbesondere auch die Pflicht, während des Produktlebenszyklus Sicherheitsupdates bereitzustellen. Der CRA stellt eine Marktzugangsregelung für die EU dar. Er ist am 11. Dezember 2024 in Kraft getreten und wird stufenweise bis 11. Dezember 2027 zur Anwendung kommen.

RED: Nicht unmittelbar im Zusammenhang mit der EU-Cybersicherheitsstrategie steht die RED, die bereits seit 2016 gilt. Sie enthält Regeln für das Inverkehrbringen von Geräten, die Funkfrequenzen nutzen (z.B. Mobiltelefone, WLAN-Router, IoT, vernetzte Produkte). Im Rahmen der Delegierten Verordnung (EU) 2022/230 („Delegierte Verordnung“) wurden aber zusätzliche Cybersicherheitsanforderungen für bestimmte Funkanlagen normiert. Diese speziellen IT-Sicherheitsanforderungen gelten ab dem 1. August 2025.

DORA: Als Verordnung ist DORA ebenfalls ohne nationales Umsetzungsgesetz unmittelbar anwendbar. Sie verpflichtet einen großen Teil des Finanzsektors, insgesamt 21 verschiedene Arten von (Finanz)-Unternehmen von Kreditinstituten über Kryptodienstleistern, Versicherungen und Ratingagenturen bis hin zu Drittdienstleistern von Informations- und Kommunikationstechnologie („IKT“), Sicherheitsmaßnahmen zu ergreifen, schwerwiegende IKT-Vorfälle zu melden, IKT-Drittdienstleister umfassend zu kontrollieren und für digitale operationale Resilienz zu sorgen. DORA gilt seit dem 17. Januar 2025.

II. Gemeinsamkeiten und Unterschiede

1. Sektorspezifische Regulierung vs. Produktregulierung:

   NIS-2, CER-RL und DORA verfolgen einen sektorspezifischen Ansatz und richten sich an die Betreiber von Einrichtungen in bestimmten Sektoren bzw. an bestimmte Finanzunternehmen. Diese Vorgaben gelten produktunabhängig.

   CRA und RED enthalten horizontale, produktspezifische Anforderungen für bestimmte Produkte, die in der EU auf den Markt gebracht werden. Diese Vorgaben gelten sektorunabhängig.

2. Schutz vor „Online“-Bedrohungen vs. Schutz vor „Offline“-Bedrohungen:

   NIS-2, CRA, DORA und RED dienen dem Schutz vor bzw. der Abwehr von sog. Cyber-Gefahren und sollen das Schutzniveau von IT-Systemen erhöhen (z.B. Pflicht zum IT-Schutz, Meldung von IT-Sicherheitsvorfällen, Backup-Management)

   Die CER-RL soll die Resilienz bestimmter Einrichtungen gegen physische Gefahren erhöhen und so die Ausfallsicherheit und Wiederherstellungsfähigkeit bestimmter Dienste im Krisenfall erhöhen.

III. Anwendungsbereich und Übersicht wesentlicher Pflichten

NIS-2:

1. Erfasste Sektoren: 18 Sektoren, u.a. Energie (z.B. Strom, Erdöl), Verkehr (z.B. Luftfahrt, Schifffahrt, Straßenverkehr), Bankwesen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur (z.B. Cloud-, DNS-, TLD-Namensdienste), Weltraum, Postdienste, Abfallwirtschaft, Produktion und Handel gewisser Produkte (z.B. Lebensmittel, chemische Stoffe, Medizinprodukte, Elektronik, Maschinen- und Fahrzeugbau) und Forschungseinrichtungen.

   Bei den von NIS-2 erfassten Sektoren gibt es gewisse, aber nicht vollumfängliche Überschneidungen mit den Sektoren der CER-RL

2. Betroffene Unternehmen: “Wesentliche” und “wichtige” Einrichtungen in der EU, die insbesondere mittels bestimmter Schwellenwerte bestimmt werden (“Size-Cap”-Ansatz). Mittlere und große Unternehmen fallen regelmäßig in den Anwendungsbereich. Kleinere Unternehmen können insbesondere dann unter die Richtlinie fallen, wenn sie bestimmte Dienstleistungen erbringen oder besonders bedeutsam sind (z.B. einziger Anbieter in dem Mitgliedstaat, Störung des Anbieters würde zu Systemrisiko führen).
3. Pflichten: Betroffene Unternehmen müssen insbesondere bestimmte technische und organisatorische Risikomanagementmaßnahmen (z.B. Back-up Management, Verschlüsselung, Zugriffskontrollen, Beschaffungskonzept für IT-Produkte) und Governance-Maßnahmen (insbesondere Verantwortlichkeit der Leitungsebene für die Pflichteneinhaltung) umsetzen und unterliegen Meldepflichten bei Sicherheitsvorfällen.
4. Haftung der Leitungsorgane: Leitungsorgane, wie Geschäftsführer oder der Vorstand, müssen IT-Risikomanagementmaßnahmen billigen, umsetzen und deren Umsetzung überwachen. Neu ist neben einer persönliche Fortbildungspflicht auch die persönliche Haftung der Mitglieder der Leitungsorgane bei Verstößen gegen ihre Umsetzungs-/Überwachungspflichten.

CER-RL:

1. Erfasste Sektoren: 11 Sektoren, u.a. Energie, Verkehr, Bankwesen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, Weltraum und Produkt und Vertrieb von Lebensmitteln.
2. Betroffene Unternehmen: Öffentliche oder private Einrichtungen in der EU aus einem der 11 Sektoren, die von dem jeweiligen Mitgliedstaat als wesentlich eingestuft wurde.
3. Pflichten: Betroffene Unternehmen müssen insbesondere turnusmäßige Risikobewertungen durchführen, die einem Allgefahren-Ansatz folgen und z.B. Unfälle, Naturkatastrophen, hybride/terroristische Bedrohungen umfassen, geeignete Resilienzmaßnahmen (z.B. Schutzkonzepte, physischer Schutz von Gebäuden/ kritischer Infrastruktur, Zuverlässigkeitsüberprüfung der Mitarbeiter) gegen identifizierte Risiken umsetzen und unterliegen Meldepflichten bei Sicherheitsvorfällen.
4. Haftung der Leitungsorgane: Eine Haftung der Leitungsorgane ist in der CER-RL selbst zwar nur für Einrichtungen der öffentlichen Verwaltung vorgesehen. Da die CER-RL aber lediglich einen Mindestharmonisierungsansatz verfolgt., können die Mitgliedsstaaten strengere Regeln in ihren nationalen Umsetzungsgesetzen vorsehen. Der Entwurf des deutschen Umsetzungsgesetzes sieht beispielsweise eine persönliche Haftung der Leitungsorgane bei Verstößen gegen ihre Umsetzungs-/Überwachungspflichten vor (analog zum deutschen NIS-2 Umsetzungsgesetz).

CRA:

1. Erfasste Produkte: Produkte mit digitalen Elementen, die sich mit einem Gerät oder Netzwerk verbinden können (z.B. Software- und Hardwareprodukte), unabhängig davon, ob es sich um Verbraucher- oder B2B-Produkte handelt. Ausnahmen bestehen für Sektoren mit spezialgesetzlichen Anforderungen (z.B. Luftfahrt, Kfz, Medizinprodukte) und für Produkte der Verteidigung und nationale Sicherheit. Erhöhte Anforderungen gelten für „wichtige“ und „kritische“ Produkte mit digitalen Elementen (z.B. Passwort-Manager, Betriebssysteme, Router).
2. Betroffene Unternehmen: Hersteller, Einführer und Händler von Produkten mit digitalen Elementen, die auf den europäischen Markt gebracht werden (auch aus Ländern außerhalb der EU).
3. Pflichten: Betroffene Unternehmen müssen insbesondere sicherstellen, dass relevante Produkte unter Beachtung bestimmter Cybersicherheitsanforderungen hergestellt und entwickelt wurden und eine entsprechende CE-Kennzeichnung tragen. Der CRA erfordert u.a. Risiko- und Konformitätsbewertungsprozesse (je nach Kritikalität auch mit notifizierter Stelle), die Implementierung von Prozessen zum Schwachstellenmanagement und deren Meldung durch Hersteller, und sieht Überprüfungspflichten der Einführer/Händler bzgl. der Pflichteneinhaltung durch Hersteller vor. Hersteller müssen außerdem über den Produktlebenszyklus hinweg Sicherheitsupdates zur Verfügung stellen.

DORA:

1. Erfasster Sektor: Unmittelbar wird nur der Finanzsektor erfasst. DORA gilt aber auch für IKT-Dienstleister, da den primär betroffenen Finanzunternehmen umfassende Risikomaßnahmen auferlegt werden, die sie an ihre IKT-Dienstleister weitergeben müssen, und Vertragsinhalte vorgegeben werden.
2. Betroffene Unternehmen: Insgesamt werden 21 Arten von Finanzunternehmen erfasst, u.a. Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Verwaltungsgesellschaften, Versicherungs- und Rückversicherungs-unternehmen, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen.
3. Pflichten: Betroffene Unternehmen müssen u.a. Risikomanagementmaßnahmen im IKT-Bereich ergreifen, schwerwiegende IKT-bezogene Vorfälle sowie zahlungsbezogene Betriebs- oder Sicherheitsvorfälle melden, ihre digitale operationale Resilienz testen, Informationen zu Cyberbedrohungen und Schwachstellen austauschen und Maßnahmen bzgl. des IKT-Drittparteienrisikos treffen.

RED:

1. Erfasste Funkanlagen: Die Delegierte Verordnung gilt für Funkanlagen, die über das Internet kommunizieren können, personenbezogene Daten verarbeiten oder die Übertragung von (virtuellem) Geld ermöglichen.
2. Betroffene Unternehmen: Hersteller, Einführer und Händler, die von der Delegierten Verordnung erfasste Funkanlagen auf den europäischen Markt bringen (auch aus Ländern außerhalb der EU).
3. Pflichten: Betroffene Unternehmen müssen u.a. sicherstellen, dass relevante Funkanlagen keine schädlichen Auswirkungen auf das Netz haben, personenbezogene Daten der Nutzer der Funkanlagen geschützt sind und Funktionen zum Schutz vor Betrug unterstützen.

IV. Umsetzung in der Unternehmenspraxis

Unternehmen sollten sich angesichts der zögerlichen Umsetzung von NIS-2 und der CER-RL nicht zurücklehnen und spätestens jetzt mit hoher Priorität prüfen, ob und wenn ja, welche Pflichten sie zukünftig treffen werden. Statt auf die nationalen Umsetzungsgesetze zu warten, sollte etwaiger Handlungsbedarf auf Grundlage der jeweiligen Richtlinie ermittelt und Anpassungen an nationale Umsetzungsgesetze – soweit erforderlich – zu einem späteren Zeitpunkt berücksichtigt werden. Auch der Handlungsbedarf im Hinblick auf den CRA sollte angesichts der Komplexität seiner Vorgaben zeitnah geprüft werden, da er signifikante Auswirkungen auf Entwicklung, Produktion, und Lieferketten sowie auf Verträge mit Zulieferern haben kann. Dazu kann sich z.B. folgendes Vorgehen anbieten:

1. Betroffenheitsprüfung: Welche Regelungen finden in welchem Umfang auf mein Unternehmen Anwendung? Welche Pflichten ergeben sich hieraus für mein Unternehmen?
2. Gap-Analyse: Welche Vorgaben werden derzeit bereits erfüllt? Welche Vorgaben müssen noch umgesetzt werden?
3. Umsetzung & Governance: Identifikation der Stakeholder und klare Zuweisung von Verantwortlichkeiten; Identifizierung von möglichen Synergien mit bestehenden Prozessen und Anforderungen; Frühzeitige Einbindung aller relevanten Stakeholder in Abhängigkeit der im Einzelfall relevanten Vorgaben, z.B. IT, Rechtsabteilung, Einkauf, Compliance; Dokumentation der implementierten Maßnahmen und kontinuierliche Überwachung der Wirksamkeit und Aktualität (z.B. Audits, Management-Reviews, Wirksamkeitsmessung über KPIs).
4. Ggf. Anpassung an nationale Umsetzungsgesetze: Die nationalen Umsetzungsgesetze sollten weiter im Blick behalten werden. Wo erforderlich, sollte geprüft werden, ob relevante Maßnahmen an Vorgaben nationaler Umsetzungsgesetze angepasst werden müssen.

V. Ausblick

Gesetzgeberische Versäumnisse bei der Umsetzung von NIS-2 und der CER-RL schaffen Rechtsunsicherheit für Unternehmen. Gleichwohl müssen potentiell betroffene Unternehmen jetzt handeln, da mitunter erheblicher zeitlicher Aufwand für die Umsetzung der gesetzlichen Anforderungen erforderlich sein kann. Dies gilt auch für den CRA, der umfassende Cybersicherheitsvorgaben für den gesamten Produktlebenszyklus vorsieht. Auch die Sicherheitsanforderungen für Funkanlagen (und etwaige Wechselwirkungen mit dem CRA) sollten in ihrer Komplexität nicht unterschätzt werden. Regulierte Unternehmen, die bereits unter DORA fallen, sollten prüfen, ob sich, und wenn ja welche, Wechselwirkungen zu anderen Cybersicherheitsgesetzen ergeben.