Mitte Oktober endet die Umsetzungsfrist für die neue EU-Richtlinie NIS 2. Deshalb besteht Handlungsbedarf für Datenschutzbeauftragte.
Hinter dem Schlagwort „NIS-2-Umsetzung“ versteckt sich die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2 Richtlinie). „NIS“ steht dabei für „Netzwerk- und Informationssicherheit“.
Anders als die Datenschutz-Grundverordnung (DSGVO), der AI Act, der Digital Operational Resilience Act (DORA), der Data Act oder der Digital Services Act ist die NIS 2 keine EU-Verordnung. Sie gilt also nicht unmittelbar in jedem EU-Mitgliedstaat. NIS 2 ist eine Richtlinie. Das bedeutet: Die Regelungen wirken grundsätzlich erst dann, wenn der nationale Gesetzgeber die Richtlinie durch ein nationales Gesetz umgesetzt hat.
Das hat seinen Grund auch darin, dass EU-Richtlinien – zumindest ursprünglich – weniger konkret formuliert waren, als es EU-Verordnungen waren, sodass es einer Konkretisierung im Zuge der Umsetzung in das nationale Recht bedurfte. Damit blieb den nationalen Gesetzgebern ein größerer gesetzlicher Gestaltungsspielraum. Gerade dieser Spielraum ist wohl auch ein Grund, warum das Datenschutzrecht zuletzt als EU-Verordnung erlassen wurde, um unionsweit Einheitlichkeit zu erreichen.
