Der Cybersicherheitsausschuss der Europäischen Kommission hat einen Entwurf für einen Durchführungsrechtsakt zur NIS2-Richtlinie (EU) 2022/2555 veröffentlicht. Er dient dazu, die Anforderungen an das Risikomanagement für einige Akteure aus den digitalen Sektoren mit grenzüberschreitenden Aktivitäten auf EU-Ebene anzugleichen und legt fest, in welchen Fällen ein Vorfall als erheblich anzusehen ist. Der Bitkom begrüßt die Initiative der Kommission, sich um ein klares und harmonisiertes Verständnis der NIS2-Richtlinie zu bemühen. Es liegt im Interesse der Branche, einen einheitlichen europäischen Rechtsrahmen in allen Mitgliedsstaaten zu haben.
Die vorliegende Stellungnahme betrachtet die einzelnen Artikel des Durchführungsrechtsakts sowie ihre Auswirkungen auf die Unternehmen und schlägt Verbesserungen vor. Wir schlagen insbesondere vor, einen klaren Fokus auf die tatsächlichen Auswirkungen zu legen, da einige Kriterien zur Bestimmung signifikanter Vorfälle in der Verordnung oft subjektiv sind und klare Standards fehlen. Die Kommission sollte mehr qualitative Kriterien verwenden, die von nicht-legislativen Leitlinien begleitet werden, die es den Unternehmen ermöglichen, individuelle Vorfälle genau zu bewerten. Der Anhang des Durchführungsrechtsakts enthält außerdem keine expliziten Verweise zu bestehenden Standards und bürdet den Unternehmen dadurch erhebliche Belastungen auf. Daher ist dort ein Bezug zu bestehenden Standards notwendig, um ein hohes Sicherheitsniveau und eine Harmonisierung zu erreichen.
Die Stellungnahme kann in englischer Sprache abgerufen werden.