Im Dezember 2021 einigte sich der Rat der Europäischen Union unter der slowenischen Präsidentschaft auf den Text der NIS-2-Richtlinie, mit der die seit 2016 geltende NIS-Richtlinie (2016/1148) ersetzt werden soll, sowie auf den Text der Richtlinie über die Resilienz kritischer Einrichtungen (CER), mit der wiederum die Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung kritischer europäischer Infrastrukturen ersetzt werden soll.

Die vom Rat der Europäischen Union vorgeschlagenen Versionen der Richtlinien bieten keine Revolution im Vergleich zu den Richtlinienentwürfen, die vorher durch die Europäische Kommission gegen Ende 2020 vorgelegt wurden. Die wichtigsten Anpassungen sind lediglich eine Klarstellung dessen, was die Europäische Kommission bereits ein Jahr zuvor vorgeschlagen hat.

Es ist kein Zufall, dass die NIS-2-Richtlinie und CER-Richtlinie zeitgleich bearbeitet werden – sie ergänzen sich nämlich so, dass sie einen gemeinsamen Rahmen für die Sicherheit der wichtigsten in der Europäischen Union tätigen Einrichtungen bilden. Die Komplementarität der vorgeschlagenen Lösungen liegt u.a. darin, dass in den beiden Richtlinien eine sehr ähnliche Gruppe von Einrichtungen genannt wird, für welche die Pflichten aus den beiden Richtlinien gelten werden (in der NIS-2-Richtlinie als „wesentliche Einrichtungen“ und in der CER-Richtlinie als „kritische Einrichtungen“ bezeichnet), mit dem Unterschied freilich, dass die NIS-2-Richtlinie darauf abzielt, die Vorschriften der Mitgliedstaaten zum Schutz vor Cybergefahren zu harmonisieren, während in der CER-Richtlinie die Regelungen zur Entgegenwirkung anderen Gefahren als Cybergefahren festlegt werden.

Mit dem Geltungsbereich beider Richtlinien erfasste Sektoren sind: Energiesektor, Verkehrssektor, Bankgeschäfte, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung, Abwasserentsorgung, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrtsektor.

Beide Richtlinien zielen ferner auch darauf ab, die Zusammenarbeit zwischen den Mitgliedstaaten bei Bekämpfung der auftretenden Risiken zu stärken. Außer der Harmonisierung der Vorschriften aufgrund einer jeden Richtlinie werden auf der EU-Ebene neue Organe bestellt, welche die Erfüllung der in diesen Richtlinien festgehaltenen Pflichten unterstützen sollen. Mit der NIS-2-Richtlinie wird das European Cyber Crises Liaison Organisation Network (EU-CyCLONe) ins Leben gerufen, um weit reichende Cybersicherheitsvorfälle zu koordinieren, während aufgrund der CER-Richtlinie die Critical Entities Resilience Group gegründet wird, die Informationen zu den mit dieser Richtlinie abgedeckten Fragen austauschen wird. Der Standpunkt des Rates der Europäischen Union wird es ihm möglich machen, die Verhandlungen mit dem Europäischen Parlament bezüglich der endgültigen Fassung der beiden Richtlinien anzutreten. Wann werden die Richtlinien in Kraft treten? Beide Richtlinien haben noch einen langen Weg vor sich – abgesehen von der Zeit für die Abstimmung der endgültigen Fassung und Verabschiedung der Richtlinien durch die EU-Organe, werden die Mitgliedstaaten nach dem Inkrafttreten der Richtlinien eine Frist von 2 Jahren haben, um diese in ihre nationalen Rechtssysteme umzusetzen.