NIS-2 als Herausforderung

Cybersecurity Conference

von

9. Nov. 2025

Wirtschaft

Sebastijan Čutura ist Senior Manager Industry Cybersecurity bei der ECSO (European Cyber Security Organisation). Mit Zeitenvogel sprach er auf der Cybersecurity Conference über die NIS-2-Direktive und die Schwierigkeiten, die sich für Unternehmen bei der Umsetzung der Direktive in nationales Recht ergeben können.

 

 

What is the significance of the NIS 2 Directive?

 

The NIS 2 Directive is one of the most important pieces of cyber security legislation passed by the European Union. It will affect many companies in every EU country. About five years ago, such legal regulations on cybersecurity were mainly reserved for large companies. However, the top-down approach now also affects smaller players from industries that were not previously considered to be part of the critical infrastructure, such as waste disposal companies.

Companies that fall out of scope, no matter if they are from EU or not EU, will be likely affected through the supply chain provisions as entities in the scope need to protect their supply chain and it will likely happen by requesting smaller partners about certifications and in general about their ISMS (= Information Security Management System).

 

Welche Bedeutung hat die NIS-2-Richtlinie?

 

Die NIS-2-Richtlinie ist eines der wichtigsten Gesetze zur Cybersicherheit, das von der Europäischen Union verabschiedet wurde. Sie wird sich auf viele Unternehmen in jedem EU-Land auswirken. Vor etwa fünf Jahren waren solche gesetzlichen Regelungen zur Cybersicherheit noch hauptsächlich großen Unternehmen vorbehalten. Durch den Top-down-Ansatz sind nun aber auch kleinere Akteure aus Branchen betroffen, die zuvor nicht als Teil der kritischen Infrastruktur angesehen wurden – wie beispielsweise Abfallentsorgungsunternehmen.

Unternehmen, die nicht in den Geltungsbereich fallen, unabhängig davon, ob sie aus der EU stammen oder nicht, werden wahrscheinlich durch die Bestimmungen zur Lieferkette betroffen sein, da Unternehmen im Geltungsbereich ihre Lieferkette schützen müssen und dies wahrscheinlich dadurch geschehen wird, dass sie von kleineren Partnern Zertifizierungen und im Allgemeinen Angaben zu ihrem ISMS (= Informationssicherheits-Managementsystem) verlangen.

 

What problems do companies operating in several European Union countries face?

 

EU directives like NIS 2 allow countries a certain degree of flexibility in implementing the directive into national law. However, it is important to bear in mind the basic principle of minimum harmonisation, which means that countries can tighten the requirements compared to the original text. The section on security requirements is already quite demanding (see https://www.nis-2-directive.com/NIS_2_Directive_Article_21.html). Multinational companies must implement security measures based on the national standards of each EU country in which they operate. This can lead to complications: it can be difficult to convert a security programme to a different standard. While this is possible, it incurs additional costs for consultants and lawyers and does not necessarily improve security as such.

 

Und welche Probleme ergeben sich für Unternehmen, die in mehreren Ländern der Europäischen Union tätig sind?

 

Die EU-Gesetzgebung räumt den Ländern ein gewisses Maß an Flexibilität hinsichtlich der Umsetzung der Richtlinie in nationales Recht ein. Man muss aber immer das Grundprinzip der Mindestharmonisierung im Auge behalten, was bedeutet, dass die Länder die Anforderungen gegenüber dem ursprünglichen Text verschärfen können. Dabei ist insbesondere der Teil zu den Sicherheitsanforderungen bereits recht anspruchsvoll (vgl. https://www.nis-2-directive.com/NIS_2_Directive_Article_21.html). Multinationale Unternehmen müssen in jedem EU-Land, in dem sie tätig sind, Sicherheitsmaßnahmen auf der Grundlage der nationalen Standards dieses Landes umsetzen. Das kann zu Komplikationen führen: Es kann schwierig sein, ein Sicherheitsprogramm auf einen anderen Standard umzustellen. Das ist zwar möglich, verursacht jedoch zusätzliche Kosten für Berater und Rechtsanwälte und verbessert nicht unbedingt die Sicherheit als solche.

 

What do you recommend?

 

We prefer a simplified approach, such as an agreement of mutual recognition of the security frameworks among the member states. We also support relying on existing international standards as a sufficient proof of compliance. If an EU country is basing their security framework on ISO 27001 or the NIST (National Institute of Standards and Technology) Framework, which is often the case, then those standards should be sufficient for compliance.

 

Was empfehlen Sie?

 

Wir bevorzugen einen vereinfachten Ansatz wie beispielsweise eine Vereinbarung über die gegenseitige Anerkennung der Sicherheitsrahmenwerke zwischen den Mitgliedstaaten. Wir unterstützen auch die Verwendung bestehender internationaler Standards als ausreichenden Nachweis für die Einhaltung der Vorschriften. Wenn ein EU-Land sein Sicherheits-Framework auf ISO 27001 oder dem NIST (National Institute of Standards and Technology)-Framework aufbaut, was häufig der Fall ist, sollten diese Standards für die Einhaltung der Vorschriften ausreichend sein.

 

Are the timelines for EU countries a problem?

 

The deadline for transposing the directive into national law expired for the EU countries on 17 October 2024. Unfortunately, only 15 out of 27 countries have transposed the directive into national law so far – although this number varies depending on the methodology. Companies that are in the scope have a timeline by when they need to implement security requirements. In some countries, there is sequential deadline.

 

Sind die Zeitpläne für die EU-Länder ein Problem?

 

Die Frist für die Umsetzung der Richtlinie in nationales Recht ist für die EU-Länder am 17. Oktober 2024 abgelaufen. Leider haben bisher nur 15 von 27 Ländern die Richtlinie in nationales Recht umgesetzt – wobei diese Zahl je nach Methodik variiert. Unternehmen, die in den Anwendungsbereich fallen, haben eine Frist, bis zu der sie die Sicherheitsanforderungen umsetzen müssen. In einigen Ländern gibt es eine gestaffelte Frist.

 

How is the EU supporting its members and companies in implementing the NIS 2 Directive?

 

The commission is actually pressuring EU member states to transpose the directive and even started infringement process against the countries which can in later stages result in fines towards the countries. Companies can initially contact their national regulatory authority. In addition, the European Union Agency for Cybersecurity (ENISA) provides extensive information material. A good example is ENISA’s technical guidance document, which is a direct follow-up of the NIS 2 Directive Implementing Act that particularly targets digital services and the infrastructure sector. It is mandatory document for those sectors but otherwise the closest to what we get to the European Risk Management Framework– same rules to be applied everywhere.

 

Wie unterstützt die EU ihre Mitglieder und die Unternehmen bei der Umsetzung der NIS-2-Richtlinie?

 

Die Kommission übt derzeit Druck auf die EU-Mitgliedstaaten aus, die Richtlinie umzusetzen, und hat sogar Vertragsverletzungsverfahren gegen die Länder eingeleitet, die in späteren Phasen zu Geldstrafen für die Länder führen können. Unternehmen können sich zunächst an ihre nationale Regulierungsbehörde wenden. Es gibt darüber hinaus umfangreiches Informationsmaterial der Europäischen Agentur für Cybersicherheit (ENISA). Ein gutes Beispiel hierfür ist das technische Leitliniendokument der ENISA, das eine direkte Folge der NIS-2-Durchführungsverordnung ist und sich insbesondere an digitale Dienste und den Infrastruktursektor richtet. Es handelt sich um ein verbindliches Dokument für diese Sektoren, das jedoch ansonsten dem europäischen Risikomanagementrahmen am nächsten kommt, nach dem überall dieselben Regeln gelten sollen.

 

 

Beitragsbild: SAMA PARTNERS Business Solutions GmbH/Dietrich Bechtel.