Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 29.10.2024 - 01220-1000-0001 -

Vom 29. Oktober 2024 (Nds. MBl. 2024 Nr. 497)

- VORIS 20500 -

Bezug:
Beschl. d. LReg v. 29.10.2024 (Nds. MBl. 2024 Nr. 496)
- VORIS 20500 -

Die LReg hat in ihrer Sitzung am 29.10.2024 den nachstehenden Gem. RdErl. zur Umsetzung der NIS-2-Richtlinie in Niedersachsen (NIS2UmsRdErl) beschlossen.

Vorbemerkung

Die Bedrohungslage für Netz- und Informationssysteme aufgrund von Cybersicherheitsrisiken hat sich in den letzten Jahren drastisch verschärft und erreicht mittlerweile ein beispielloses Ausmaß. Cyberangriffe sind zu einer allgegenwärtigen Gefahr geworden, die den Staat, die Wirtschaft sowie die Gesellschaft in gleichem Maße bedrohen.

Am 16. Januar 2023 ist die Richtlinie (EU) 2022/2555 nach Veröffentlichung am 27.12.2022 im Amtsblatt der Europäischen Union in Kraft getreten. Die Mitgliedstaaten müssen die Richtlinie bis zum 17.10.2024 in nationales Recht umgesetzt haben.

Die NIS-2-Richtlinie löst die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1; L 33 vom 7.2.2018, S. 5) (im Folgenden: NIS-Richtlinie) ab und verfolgt das übergreifende Ziel, den europäischen Binnenmarkt resilienter gegenüber Bedrohungen aus dem Cyberraum zu machen. Große Unterschiede zwischen den Mitgliedstaaten sollen beseitigt werden, indem insbesondere Mindestvorschriften für einen funktionierenden und koordinierten Rechtsrahmen festgelegt werden, Mechanismen für die wirksame Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten vorgesehen werden, die Liste der Sektoren und Tätigkeiten, die Pflichten im Hinblick auf die Cybersicherheit unterliegen, aktualisiert wird und wirksame Abhilfemaßnahmen und Durchsetzungsmaßnahmen eingeführt werden.

Die Umsetzung der NIS-2-Richtlinie erfolgt für den Mitgliedstaat Deutschland im Wesentlichen durch Bundesrecht. Der Bund kann jedoch nur solche Vorgaben der NIS-2-Richtlinie umsetzen, für die ihm das Grundgesetz die Befugnis zur Gesetzgebung eröffnet. Die NIS-2-Richtlinie adressiert neben Unternehmen in kritischen Sektoren auch Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Unter regionaler Ebene ist im europarechtlichen Kontext die Ebene der Landesverwaltungen zu verstehen. Da der Bund mangels Gesetzgebungskompetenz diesbezüglich keine Regelungen treffen kann, sind die Länder ebenso zur Umsetzung verpflichtet.

Dieser Gem. RdErl. dient der Umsetzung der NIS-2-Richtlinie in Niedersachsen.