Mit dem Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union zu etablieren, trat zum 07.11.2024 die Durchführungsverordnung (EU) 2024/2690 in Kraft. Mit dieser formuliert die EU-Kommission für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste EU-weite Mindestanforderungen an Risikomanagementmaßnahmen und präzisiert, ab wann ein Sicherheitsvorfall für diese Bereiche als erheblich gilt.

Die Regelungen betreffen nur die von der Durchführungsverordnung adressierten Einrichtungen:

• DNS-Diensteanbieter,
• TLD-Namenregister,
• Anbieter von Cloud-Computing-Diensten,
• Anbieter von Rechenzentrumsdiensten,
• Betreiber von Inhaltszustellnetzen,
• Anbieter verwalteter Dienste (MSP),
• Anbieter verwalteter Sicherheitsdienste (MSSP),
• Anbieter von Online-Marktplätzen,
• Online-Suchmaschinen
• Plattformen für Dienste sozialer Netzwerke
• Vertrauensdiensteanbieter

Alle anderen Sektoren sind nicht von der Durchführungsverordnung betroffen.

Die Durchführungsverordnung gilt unmittelbar. Eine nationalgesetzliche Ausgestaltung in Deutschland liegt derzeit noch nicht vor und wird vom BSI in der Folge des Inkrafttretens erwartet.

Die Durchführungsverordnung formuliert und präzisiert Mindestanforderungen für die Risikomanagementmaßnahmen aus Artikel 21 der NIS-2-Richtlinie. Außerdem wird konkretisiert, welche Sicherheitsvorfälle nach Artikel 23 der NIS-2-Richtlinie als "erheblich" gelten. Sobald die NIS-2-Richtlinie in nationales Recht umgesetzt ist, gelten für die betroffenen Sektoren die Regelungen der Durchführungsverordnung. Deren Mindestanforderungen können durch nationales Recht oder durch Vorgaben des BSI weiter angehoben werden.

Die technischen und methodischen Anforderungen der festgelegten Risikomanagementmaßnahmen umfassen unter anderem eine regelmäßige Durchführung von Risikobewertungen zur Identifikation von potenziellen Sicherheitsrisiken, darauf basierend die Implementierung von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen, sowie die Dokumentation und Nachverfolgbarkeit der durchgeführten Risikomanagementprozesse und implementierten Maßnahmen und die Schulung und Sensibilisierung des Personals. Die Anforderungen beruhen auf europäischen und internationalen Normen.

Ein Sicherheitsvorfall gilt nach der Verordnung unter anderem als erheblich, wenn er potenziell eine Beeinträchtigung kritischer Dienste zur Folge hat und substanzielle Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Netz- und Informationssystemen drohen. Die festgelegten Kriterien wie Ausfallzeit und Nutzerbetroffenheit und deren Schwellenwerte für die Einstufung eines Vorfalls als erheblich können je nach Sektor und Art der Dienstleistung variieren.