NIS 2 Status in Rumaenien
Was die Richtlinie fordert, wie Rumaenien sie umsetzt, und wo DNSC im Bild steht.
Ueberblick
Die NIS 2 Richtlinie ist die EU Ebene. Sie bindet jeden Mitgliedstaat, auch Rumaenien, mit einem einheitlichen Mindestniveau fuer wesentliche und wichtige Einrichtungen. Rumaenien muss dieses Niveau in rumaenisches Recht ueberfuehren und eine Aufsicht darunter fuehren.
Rumaenien hat NIS 2 durch ein nationales Gesetz umgesetzt, das weithin als Legea nr. 58/2024 zitiert wird. Der Umsetzungstracker der Europaeischen Kommission fuehrt Rumaenien als Mitgliedstaat, der Umsetzungsmassnahmen notifiziert hat. Der genaue Titel und die Fundstelle im Monitorul Oficial sollten vor jeder Zitierung am Originaltext geprueft werden.
DNSC, das Directoratul National de Securitate Cibernetica (Nationales Direktorat fuer Cybersicherheit), ist die zustaendige Behoerde und betreibt das nationale CSIRT. DNSC hat das frueher eigenstaendige CERT-RO im Jahr 2021 uebernommen. Kontaktdaten in EU Registern, die noch CERT-RO heissen, bezeichnen dieselbe Institution. Die Registrierung der NIS 2 Einrichtungen laeuft ueber DNSC.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschliesslich der Groessen- und Sektorpruefung fuer wesentliche und wichtige Einrichtungen.
EU Durchfuehrung
Durchfuehrungsverordnung (EU) 2024/2690
Technische und methodische Massnahmen fuer Anbieter digitaler Infrastruktur. In Rumaenien unmittelbar anwendbar, ohne nationale Umsetzung.
Rumaenische Umsetzung
Legea nr. 58/2024 (weithin so zitiert)
Die rumaenische NIS 2 Umsetzung. Genauer Titel, Datum und Fundstelle im Monitorul Oficial sollten am amtlichen Text verifiziert werden. Untergesetzliche Normen und DNSC Leitlinien fuellen den operativen Detailrahmen.
Nationales Gesetz (Legea nr. 58/2024)
Bringt die NIS 2 Pflichten in rumaenisches Recht. Definiert die Kategorien wesentlicher und wichtiger Einrichtungen, die Aufsichtsbefugnisse von DNSC, Meldepflichten und Sanktionen. Der operative Detail wird ueber untergesetzliche Normen und DNSC Leitlinien geregelt. Die genaue Gesetzesnummer und das Datum sind vor jeder Zitierung am Eintrag im Monitorul Oficial zu pruefen.
DNSC als Aufsicht und CSIRT
DNSC fuehrt Aufsicht, Audits und Sanktionsverfahren und betreibt das nationale CSIRT. CERT-RO wurde 2021 in DNSC ueberfuehrt. Verweise auf CERT-RO in aelteren EU Registern meinen dieselbe Institution. Sektorregulatoren behalten ihre Zustaendigkeit, wo Lex specialis gilt, etwa im Finanzsektor unter DORA.
Registrierung und Meldung
Die Richtlinie verlangt, dass Einrichtungen ab dem 17. April 2025 fuer den Mitgliedstaat identifizierbar sind. In Rumaenien laeuft das ueber den Registrierungskanal von DNSC. Erhebliche Sicherheitsvorfaelle folgen der Richtlinie: Fruehwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.
In Rumaenien gilt rumaenisches Recht
Aktivitaeten auf rumaenischem Staatsgebiet folgen der rumaenischen Umsetzung. Ein deutscher Geschaeftsfuehrer mit rumaenischer Tochter liest fuer diese Tochter das rumaenische Gesetz und die DNSC Leitlinien, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Registrierungskanal und Sanktionen stehen aber im rumaenischen Recht.
Rumaenien darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Rumaenien darf strenger werden. Rumaenien darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten fuer wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans nach Artikel 20.
DNSC
Directoratul National de Securitate Cibernetica. Federfuehrende zustaendige Behoerde. Betreibt Registrierung, Aufsicht, Audits und Sanktionsverfahren, veroeffentlicht Leitlinien und fuehrt das nationale CSIRT. Hat CERT-RO 2021 uebernommen.
Nationales CSIRT (unter DNSC)
Die CSIRT Funktion fuer Rumaenien sitzt innerhalb von DNSC. Das ist der Kanal fuer Vorfallmeldungen unter NIS 2. Aeltere Verweise auf CERT-RO bezeichnen dieselbe Funktion, jetzt Teil von DNSC.
ENISA
Die EU Cybersicherheitsagentur. Veroeffentlicht Leitlinien, betreibt die europaeische Schwachstellendatenbank und koordiniert grenzueberschreitend. Keine Aufsicht fuer rumaenische Einrichtungen. Die liegt bei DNSC.
Wir koennen einfach dem BSIG Playbook folgen, NIS 2 ist ueberall gleich.
Die Pflichten auf Richtlinienebene sind in allen Mitgliedstaaten identisch. Verfahren, Registrierungsportal, Sanktionshoehen und Aufsichtsstil stehen aber im nationalen Recht. Eine rumaenische Tochter registriert sich bei DNSC unter dem rumaenischen Gesetz, nicht beim BSI unter dem BSIG. Die Compliance Inhalte ueberschneiden sich. Der administrative Rahmen nicht.
Rumaenien hat noch keinen NIS 2 Registrierungskanal, also koennen wir warten.
Rumaenien hat Umsetzungsmassnahmen an die Europaeische Kommission notifiziert, und DNSC betreibt den Registrierungskanal fuer wesentliche und wichtige Einrichtungen. Die EU Identifikationsfrist vom 17. April 2025 gilt. Auf ein perfektes zweisprachiges Portal zu warten ist keine Verteidigung gegen eine Anwendbarkeitsfeststellung.
Wir sind nicht im Energie- oder Finanzsektor, also gilt NIS 2 nicht fuer uns.
Die Anhaenge I und II der Richtlinie nennen 18 Sektoren, darunter digitale Infrastruktur, Post und Kurierdienste, Abfallwirtschaft, Lebensmittel, Herstellung kritischer Gueter, Forschung und oeffentliche Verwaltung. Die Groessenpruefung entscheidet dann zwischen wesentlich und wichtig. Viele rumaenische Mittelstaendler, die sich nie als kritische Infrastruktur gesehen haben, fallen ueber diese Sektoren in den Anwendungsbereich.
Die meisten rumaenischen Mittelstandsbetreiber, die uns begegnen, sehen NIS 2 noch als IT Thema, nicht als Sache des Leitungsorgans. Das ist derselbe Fehler wie anderswo in der EU. Artikel 20 legt die Pflicht auf das Leitungsorgan, das Risikomanagement zu billigen, seine Umsetzung zu ueberwachen und eine Schulung zu absolvieren. DNSC wird genau diese Freigabe pruefen, nicht den Verfasser der Richtlinie.
Der praktische Schritt in Rumaenien ist derselbe wie ueberall in der EU: Anwendbarkeit gegen die Richtlinie pruefen, ueber den nationalen Kanal von DNSC registrieren, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt fuer eine rumaenische Tochter unter Legea nr. 58/2024 (so weithin zitiert), eine deutsche Mutter unter BSIG und eine niederlaendische Schwester unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Fuer den rumaenischen Scope startet man mit der Anwendbarkeitspruefung, dann Meldetakt, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo DNSC Sektorleitlinien veroeffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2) auf EUR-Lex
- Durchfuehrungsverordnung (EU) 2024/2690
- Rumaenisches Umsetzungsgesetz (weithin als Legea nr. 58/2024 zitiert), am Monitorul Oficial zu verifizieren
- DNSC (Directoratul National de Securitate Cibernetica), offizielle Seite
- Europaeische Kommission, NIS 2 Umsetzungstracker, Laenderseite Rumaenien
- ENISA, CSIRTs interaktive Karte, Eintrag Rumaenien