Die neue EU-Verordnung (EU) 2024/2690 enthält Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sog. NIS-2-Richtlinie). Mit dieser formuliert die EU-Kommission für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste EU-weite Mindestanforderungen an Risikomanagementmaßnahmen und präzisiert, ab wann ein Sicherheitsvorfall für diese Bereiche als erheblich gilt.

Unter den Anwendungsbereich der Verordnung fallen DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter In Deutschland werden durch die Durchführungsverordnung Mindestanforderungen für die Risikomanagementmaßnahmen aus § 30 BSIG-E gemäß des geplanten NIS-2-Umsetzungsgesetzes formuliert und präzisiert. Insbesondere wird konkretisiert, welche Sicherheitsvorfälle nach § 2 Absatz 11 Nis2UmsuCG/BSIG-E als „erheblich“ gelten. Diese Mindestanforderungen können als Grundlage durch nationales Recht oder durch Vorgaben des BSI erweitert bzw. weiter angehoben werden.

Die technischen und methodischen Anforderungen der festgelegten Risikomanagementmaßnahmen umfassen unter anderem eine regelmäßige Durchführung von Risikobewertungen zur Identifikation von potentiellen Sicherheitsrisiken, darauf basierend die Implementation von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen, sowie die Dokumentation und Nachverfolgbarkeit der durchgeführten Risikomanagementprozesse und implementierten Maßnahme und die Schulung und Sensibilisierung des Personals. Die Anforderungen beruhen auf europäischen und internationalen Normen.

Ein Sicherheitsvorfall gilt nach der Verordnung unter anderem als erheblich, wenn er potenziell eine Beeinträchtigung kritischer Dienste zur Folge hat und substanzielle Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Netz- und Informationssystemen drohen. Die festgelegten Kriterien wie Ausfallzeit und Nutzerbetroffenheit und deren Schwellenwerte für die Einstufung eines Vorfalls als erheblich können je nach Sektor und Art der Dienstleistung variieren.