Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.

Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.

Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.

Konkretisierungen der NIS-2-Richtlinie

Von diesen vorstehend beschriebenen Möglichkeiten hat die EU bereits Gebrauch gemacht und die „Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt“ verabschiedet.

Hinter diesem etwas sperrigen Titel findet sich ein Durchführungsrechtsakt, mit dem für nach der NIS-2-Richtlinie adressierte Einrichtungen „technische und methodische Anforderungen“ für zu ergreifende Risikomanagementmaßnahmen festgelegt und Fälle präzisiert werden, in denen ein Sicherheitsvorfall als erheblich anzusehen ist, was die Voraussetzung dafür ist, dass der Vorfall an die zuständige Aufsichtsbehörde gemeldet werden muss (siehe Art. 23 Abs. 1 S. 1 NIS-2-Richtlinie).

Mit „technischen und methodischen Anforderungen“ ist dabei nicht nur gemeint, dass bestimmte Risikomanagementmaßnahmen zu ergreifen sind, wie z. B. die Verwendung einer Multi-Faktor-Authentifizierung (siehe § 30 Abs. 2 Nr. 10 BSIG), sondern das für eine möglichst exakte Ermittlung der Risiken auch methodische Anforderungen beachtet werden müssen, also bspw. nach Anhang 1 Ziff. 1.1.1 lit. b) der Durchführungsverordnung ein Konzept für die Sicherheit von Netz- und Informationssystemen, das für die Geschäftsstrategie und die Ziele der betreffenden Einrichtungen geeignet ist und dieses ergänzt (siehe so allgemeiner auch in § 30 Abs. 2 Nr. 1 BSIG).

Interessant ist dabei, dass nicht jede der nachfolgend aufgezählten Einrichtungen sämtliche technischen und methodischen Anforderungen des eher umfassenden Anhangs der Durchführungsverordnung erfüllen muss. Vielmehr verwendet die Verordnung eine Regelungstechnik, die einigen bereits aus dem Bereich der Datenschutz-Grundverordnung bekannt sein dürfte. So heißt es in ErwG 6 S. 2: „Hält es eine betreffende Einrichtung es für nicht angemessen, nicht anwendbar oder nicht durchführbar, bestimmte technische und methodische Anforderungen, die im Anhang dieser Verordnung festgelegt sind, anzuwenden, sollte sie ihre diesbezügliche Begründung in verständlicher Weise dokumentieren“ (das doppelte „es“ stammt übrigens aus dem amtlichen Text). Handelt es sich also bspw. um einen eher kleinen Anbieter von Cloud-Computing-Diensten, so kann dieser – entsprechend begründet – bestimmte technische und / oder methodische Anforderungen unterlassen. Dass der Anbieter dabei aber bspw. komplett auf ein Sicherheitskonzept verzichten kann, ist eher unwahrscheinlich.

Damit konkretisiert die Durchführungsverordnung – neben der Frage, wann ein Sicherheitsvorfall als „erheblich“ gilt - also maßgeblich methodische und technische Aspekte für alle nachfolgend aufgelisteten Einrichtungen (unabhängig von ihrem Tätigkeitsbereich) dahingehend, welche Risikomanagementmaßnahmen unter welchen Bedingungen zu ergreifen sind.

Die Durchführungsverordnung richtet sich bereits ihrem Titel nach an eine ganze Reihe von relevanten Einrichtungen:

• DNS-Diensteanbieter,
• TLD-Namenregister,
• Anbieter von Cloud-Computing-Diensten,
• Anbieter von Rechenzentrumsdiensten,
• Betreiber von Inhaltszustellnetzen,
• Anbieter verwalteter Dienste,
• Anbieter verwalteter Sicherheitsdienste,
• Anbieter von Online-Marktplätzen,
• Online-Suchmaschinen,
• Plattformen für Dienste sozialer Netzwerke und
• Vertrauensdiensteanbieter.

Da die Verordnung besonders viele Adressaten treffen dürfte, befasst sich der Beitrag nachfolgend mit den Anforderungen der Durchführungsverordnung (EU) 2024/2690 in Bezug auf Anbieter von Cloud-Computing-Diensten und Anbieter verwalteter Dienste.

Anforderungen an Anbieter von Cloud-Computing-Diensten

Wie zuvor dargestellt, werden keine individuell auf Anbieter von Cloud-Computing-Diensten bezogene technische und / oder methodische Anforderungen für Risikomanagementmaßnahmen aufgestellt. Diese beziehen sich vielmehr auf alle in der Durchführungsverordnung genannten Einrichtungen, sodass sich insoweit keine speziellen Anforderungen ergeben.

Die Durchführungsverordnung regelt allerdings in Bezug auf Anbieter von Cloud-Computing-Diensten in Art. 7 der Durchführungsverordnung, wann ein Sicherheitsvorfall als erheblich einzuordnen ist.

Erheblich ist demnach ein Sicherheitsvorfall, wenn:

• ein erbrachter Cloud-Computing-Dienst ist mehr als 30 Minuten lang vollständig nicht verfügbar;
  • Anmerkung: Dass es sich um einen „erbrachten“ Cloud-Computing-Dienst handelt, dürfte für die Frage maßgeblich sein, wie viele Nutzer ggf. von einem Ausfall tatsächlich betroffen sind.
• die Verfügbarkeit eines Cloud-Computing-Dienstes eines Anbieters ist für mehr als 5 % der Nutzer des Cloud-Computing-Dienstes in der Union oder für mehr als 1 Mio. Nutzer des Cloud-Computing-Dienstes in der Union — je nachdem, welche Zahl niedriger ist — für eine Dauer von mehr als einer Stunde eingeschränkt;
• die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines Cloud-Computing-Dienstes gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;
  • Anmerkung: Der Verdacht einer böswilligen Handlung („mutmaßlich“) reicht für die Annahme eines erheblichen Sicherheitsvorfalls aus.
• die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines Cloud-Computing-Dienstes gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 5 % der Nutzer des Cloud-Computing-Dienstes in der Union oder auf mehr als 1 Mio. Nutzer des Cloud-Computing-Dienstes in der Union — je nachdem, welche Zahl niedriger ist — aus.

Die Anforderungen für die Annahme eines erheblichen Sicherheitsvorfalls sind eher hoch, insbesondere, weil nicht nur der Cloud-Computing-Dienst selbst, sondern auch die darauf befindlichen Daten beeinträchtigt sein müssen.

Anforderungen an Anbieter verwalteter Dienste

Auch die Anforderungen für die Annahme eines erheblichen Sicherheitsvorfalls im Fall von Anbietern verwalteter Dienste sind von Interesse. Denn hierbei handelt es sich um die im deutschen Umsetzungsgesetz (BSIG) als „Managed Service Provider“ benannten Einrichtungen (zu der Frage, wann eine Einrichtung als Managed Service Provider einzuordnen ist, siehe hier).

Allerdings sind die in Art. 10 der Durchführungsverordnung genannten Anforderungen faktisch deckungsgleich mit denjenigen für Anbieter von Cloud-Computing-Diensten.

Fazit & Empfehlungen

Die Durchführungsverordnung (EU) 2024/2690 ist daher gleich aus mehreren Gründen für Adressaten der NIS-2-Richtlinie von Interesse:

Sie konkretisiert einerseits, mit welcher Methodik und welchen technischen Anforderungen welche Risikomanagementmaßnahmen zum Schutz ihrer IT-Systeme zu ergreifen hat, was bei der Umsetzung hilft. Andererseits konkretisiert sie auch, wann ein erheblicher Sicherheitsvorfall festlegt, was gerade für die Gestaltung von Meldeprozessen von Interesse ist.

NIS-2- bzw. BSIG-Adressaten sollten sich die Anforderungen der Durchführungsverordnung (EU) 2024/2690 daher unbedingt zunutze machen.