Das Cyber-Resilience-Gesetz, wie in unserem Artikel „CYBERRESILIENZGESETZ. ERFORDERLICHE VERFAHREN FÜR DIGITALE PRODUKTE IN DER EU“ beschrieben, tritt am 10. Dezember 2024 in Kraft.
Neben dem Cyber-Resilience-Gesetz ist ein wichtiger Teil der Cybersicherheitsgesetzgebung in der EU die Richtlinie über Netz- und Informationssysteme (NIS-Richtlinie). Die NIS-Richtlinie war ein bahnbrechender Teil der EU-Gesetzgebung, der vor dem Hintergrund der zunehmenden Sicherheitsvorfälle eingeführt wurde, um den grenzüberschreitenden Charakter des Internets zu schützen. Sie wurde am 6. Juli 2016 verabschiedet und trat am 8. August 2016 in Kraft, um die digitale Sicherheit zwischen den Mitgliedstaaten zu gewährleisten.
Um die Fähigkeiten der Mitgliedstaaten im Bereich der Cybersicherheit durch umfassendere, klarere und stärkere Aufsichtsinstrumente zu verbessern, wurde die NIS-Richtlinie aufgehoben und machte Platz für die Richtlinie (EU) 2022/2555 (die NIS2-Richtlinie), die am 16. Januar 2023 in Kraft trat. Die nationalen Rechtsvorschriften der einzelnen Mitgliedstaaten müssen bis zum 17. Oktober 2024 an die NIS2-Richtlinie angepasst werden (Artikel 41 der NIS2-Richtlinie).
In diesem Artikel werden wir die wichtigsten Änderungen der NIS2-Richtlinie und den Stand der Umsetzung in Spanien analysieren.
I.- Änderungen durch die NIS2-Richtlinie
1) Anwendungsbereich der Sektoren
Der Anwendungsbereich der NIS-Richtlinie wurde auf Betreiber in den Bereichen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Wasser, Energie und Anbieter digitaler Dienste beschränkt.
Mit der NIS2-Richtlinie werden nun auch die folgenden Sektoren abgedeckt:
- HOCHRISKANTE SEKTOREN (ANHANG I der NIS2-Richtlinie)
Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (Business-to-Business), öffentliche Verwaltung, Raumfahrt.
- ANDERE KRITISCHE SEKTOREN (ANHANG II der NIS2-Richtlinie)
Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Herstellung, Verarbeitung und Vertrieb von Lebensmitteln, Herstellung bestimmter Produkte (definiert in Anhang II), Anbieter digitaler Dienstleistungen, Forschung.
Unternehmen, die in den Anwendungsbereich der NIS2 fallen, können in Abhängigkeit von Faktoren wie Größe, Sektor oder kritischer Natur ihrer Tätigkeiten als wesentlich oder wichtig eingestuft oder bezeichnet werden.
2) Sanktionen.
Gemäß der NIS-Richtlinie sollten die Sanktionen für die Nichteinhaltung der Vorschriften von jedem Mitgliedstaat festgelegt werden.
Nach der NIS2-Richtlinie werden gegen wichtige Unternehmen Geldbußen in Höhe von mindestens 10 Mio. EUR oder mindestens 2 % des gesamten weltweiten Jahresumsatzes verhängt, je nachdem, welcher Betrag höher ist. Gegen wichtige Unternehmen können Geldbußen in Höhe von mindestens 7 Mio. EUR oder mindestens 1,4 % des weltweiten Gesamtjahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.
3) Verpflichtungen.
Zwei Hauptaspekte der durch die NIS2-Richtlinie eingeführten Verpflichtungen sind hervorzuheben:.
(a) Meldung von Vorfällen.
Obwohl die NIS-Richtlinie keine Frist für die Meldung von Zwischenfällen vorschrieb, verlangt Artikel 23.4 (a) der NIS2-Richtlinie eine frühzeitige Warnung innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Zwischenfalls. Nach Buchstabe b desselben Artikels muss eine Meldung erfolgen, die eine erste Bewertung des bedeutenden Vorfalls, einschließlich seiner Schwere und Auswirkungen, sowie Indikatoren für eine Kompromittierung usw. enthält.
Nach Buchstabe d desselben Artikels ist spätestens einen Monat nach der Meldung nach Buchstabe b ein Abschlussbericht über die Einzelheiten des Vorfalls vorzulegen, in dem die Art der Bedrohung oder die eigentliche Ursache, die angewandten und laufenden Abhilfemaßnahmen sowie die grenzüberschreitenden Auswirkungen des Vorfalls aufgeführt sind.
(b) Management von Cybersicherheitsrisiken.
Gemäß Artikel 21 Absatz 2 der NIS-Richtlinie2 müssen die wesentlichen Einrichtungen Maßnahmen für das Management von Cybersicherheitsrisiken ergreifen, die folgende Elemente umfassen
a) Strategien für die Risikoanalyse und die Sicherheit von Informationssystemen.
b) Behandlung von Vorfällen.
c) Geschäftskontinuität, z. B. Backup-Management und Disaster Recovery, sowie Krisenmanagement.
d) Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen jeder Einheit und ihren direkten Lieferanten oder Dienstleistern.
e) Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich des Umgangs mit und der Offenlegung von Schwachstellen.
f) Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken;
g) grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit;
h) Richtlinien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung;
i) Sicherheit der Humanressourcen, Zugangskontrollpolitik und Vermögensverwaltung;
Einsatz von Mehrfaktor-Authentifizierungs- oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und ggf. gesicherten Notfallkommunikationssystemen innerhalb der Einrichtung.
II.- Stand der Anwendung in Spanien
Wie bereits erwähnt, sollten die Mitgliedstaaten die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umgesetzt haben, aber zu diesem Zeitpunkt hatte Spanien diesen Prozess noch nicht abgeschlossen.
Am 14. Januar 2025 billigte der Ministerrat den Vorentwurf des Gesetzes über die Koordinierung und Verwaltung der Cybersicherheit.
Der genehmigte Gesetzentwurf legt fest, dass die von dieser Verordnung betroffenen öffentlichen oder privaten Einrichtungen diejenigen sind, die ihren steuerlichen Wohnsitz in Spanien haben oder die ihren Wohnsitz in einem anderen EU-Mitgliedstaat haben und ihre Dienstleistungen in Spanien anbieten oder ihre Tätigkeit in Spanien ausüben.
Im Gesetzentwurf wird die Figur des Beauftragten für Informationssicherheit als die von den Einrichtungen benannte Person oder Stelle eingeführt, die für die Funktionen der Kontaktstelle und der technischen Koordination verantwortlich ist. In den wesentlichen Einrichtungen (die je nach ihrer Größe am wichtigsten sind) muss der Beauftragte für Informationssicherheit den Status eines akkreditierten Personals erhalten.
In Bezug auf die Governance-Regelung führt der Gesetzentwurf die Nationale Cybersicherheitsstrategie ein und schafft das Nationale Cybersicherheitszentrum, eine einheitliche Kontaktstelle mit der Europäischen Union, die dem Generalsekretariat des Regierungspräsidiums unterstellt ist und für die Leitung, Förderung und Koordinierung in diesem Bereich zuständig sein wird, die sektor- und grenzübergreifende Zusammenarbeit mit anderen zuständigen Behörden sicherstellt und die Behörde für das Krisenmanagement im Bereich der Cybersicherheit ist.
Darüber hinaus sieht der Gesetzentwurf eine Reihe von Teams für die Reaktion auf Cybersicherheitsvorfälle vor, zu deren Aufgaben es gehört, auf nationaler Ebene festgestellte Cyberbedrohungen, Schwachstellen und Vorfälle zu überwachen und zu analysieren sowie den betroffenen Einrichtungen auf Anfrage Unterstützung zu leisten und auf Cybersicherheitsvorfälle zu reagieren.
Der Vorschlag wird nun dem spanischen Parlament zur Prüfung vorgelegt. Betreiber, die der NIS2-Richtlinie und diesem Gesetz unterliegen, sollten die Gesetzeslage in Spanien verfolgen und die notwendigen Vorbereitungen treffen.
Satoshi Minami
Vilá Abogados
Für weitere Informationen wenden Sie sich bitte an:
22. Januar 2025
