Status der NIS Richtlinie in den EU-Mitgliedstaaten

Die EU-Richtlinie zur Netz- und Informationssicherheit („NIS Richtlinie“) ist der erste Versuch der EU, die Cybersicherheitsgesetze aller Mitgliedstaaten auf einem hohen Niveau zu harmonisieren. Die Richtlinie wurde am 6 Juli 2016 verabschiedet und die Mitgliedstaaten haben bis zum Mai 2018 Zeit, um die Anforderungen der NIS Richtlinie in ihre jeweiligen nationalen Gesetze zu implementieren, was auch die Identifikation von denjenigen Betreibern von essentiellen Diensten umfasst, welche zur Einhaltung der NIS-Anforderungen verpflichtet sind. Dazu zählen insbesondere die Dienstleister in den folgenden Gebieten: Bank & Finanzen, digitale Infrastruktur, Trinkwasserversorgung und -verteilung, Energie, Gesundheitswesen, Infrastrukturen und Transportwesen. Die Mitgliedstaaten werden daher auch eine Aufstellung solcher „essentiellen Dienstleister“ zu erstellen haben.

Mit Stand vom 12. September 2017 haben die folgenden Mitgliedstaaten die NIS Richtlinie bereits umgesetzt:

  • Deutschland: Das deutsche NIS Umsetzungsgesetz ist am 29. Juni 2017 verkündet worden. Es hat dabei insbesondere die Kriterien für die Identifikation von essentiellen Dienstleistern in den folgenden Bereichen aufgestellt: Finanz- & Versicherungswesen, Gesundheitswesen, Transport- & Verkehrswesen, Energie, IT & Telecom, Wasser und Nahrungsmittel. Da die primären Anforderungen der NIS Richtlinie bereits vom vorhergehenden deutschen IT Sicherheitsgesetz 2015 Berücksichtigung gefunden haben, erwiesen sich die nunmehr aufgrund der NIS Richtlinie erforderlichen Anpassungen als eher gering.

 

  • Tschechische Republik: Das tschechische NIS Umsetzungsgesetz ist am 1. August 2017 in Kraft getreten. Es hat dabei insbesondere die Kriterien für die Identifikation von essentiellen Dienstleistern in den folgenden Bereichen aufgestellt: Energie, Transportwesen, Bankwesen, Finanzmarkt-Infrastruktur, Gesundheitswesen, Wassermanagement, digitale Infrastruktur und chemische Industrie. Da die primären Anforderungen der NIS Richtlinie seit dem 1. Jänner 2015 bereits vom vorhergehenden tschechischen Cyber-Security Gesetz Berücksichtigung gefunden haben, erwiesen sich die nunmehr aufgrund der NIS Richtlinie erforderlichen Anpassungen als eher gering.

Die anderen Mitgliedstaaten haben die NIS Richtlinie bislang noch nicht in ihr jeweiliges nationales Recht umgesetzt und die Umsetzungsmaßnahmen sind unterschiedlich weit gediehen.