Peer-Reviews unter NIS2: Wie Mitgliedstaaten bewertet werden

Verstehen Sie den Peer-Review-Prozess nach Artikel 19 der NIS2. Erfahren Sie, wie Mitgliedstaaten gegenseitig ihre Cybersicherheitsfähigkeiten und die NIS2-Umsetzung bewerten.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 10 Jun 2026 · 9 Min. Lesezeit
NIS2
Peer-Reviews unter NIS2: Wie Mitgliedstaaten bewertet werden

Wer sollte das lesen: politische Entscheidungsträger, Führung der zuständigen Behörden, nationale Cybersicherheitsbeamte, CSIRT-Direktoren, EU-Institutionenvertreter.

Der in Artikel 19 der NIS2-Richtlinie etablierte Peer-Review-Mechanismus stellt eine bedeutende Innovation in der EU-Cybersicherheitsgovernance dar. Anstatt sich ausschließlich auf die Aufsicht der Kommission oder die nationale Selbstbewertung zu verlassen, werden Mitgliedstaaten systematische Peer-Reviews der Cybersicherheitsfähigkeiten und der Umsetzung der NIS2-Verpflichtungen voneinander durchführen. Dies ist kein punitiver Durchsetzungsmechanismus; es handelt sich um einen kollaborativen, vertrauensbildenden Prozess, der darauf abzielt, das Gesamtniveau der Cybersicherheit in der Union zu stärken, indem er es Mitgliedstaaten ermöglicht, voneinander zu lernen und Verbesserungsbereiche zu identifizieren.

Für Mitgliedstaaten schaffen Peer-Reviews sowohl Chance als auch Verpflichtung. Eine Chance, Ihre Cybersicherheitserfolge zu präsentieren, bewährte Praktiken von anderen Mitgliedstaaten zu lernen und eine externe Validierung Ihrer Fähigkeiten zu erhalten. Eine Verpflichtung, sich einer Prüfung zu unterziehen, externen Bewertern sensible Informationen bereitzustellen und Empfehlungen, die aus den Reviews hervorgehen, anzugehen. Das Verständnis des Peer-Review-Rahmens (was er abdeckt, wie er funktioniert, was mit den Ergebnissen geschieht) ist für die nationale Cybersicherheitsführung wesentlich, die sich darauf vorbereitet, ein Peer-Review entweder durchzuführen oder durchlaufen zu lassen.

Umfang und Abdeckung von Peer-Reviews

Artikel 19(1) legt fest, dass die Kooperationsgruppe mit Unterstützung der Kommission und der ENISA und in Zusammenarbeit mit dem CSIRT-Netzwerk bis zum 17. Januar 2025 die Methodik und die organisatorischen Aspekte der Peer-Reviews festlegen wird. Diese Methodik wird regeln, wie Peer-Reviews durchgeführt werden, welche Beweise bewertet werden und wie Befunde beurteilt werden. Die Kooperationsgruppe ist verantwortlich für die Festlegung objektiver, nichtdiskriminierender, fairer und transparenter Kriterien, auf deren Grundlage Mitgliedstaaten Cybersicherheitsexperten für die Durchführung von Peer-Reviews benennen.

Artikel 19(1) spezifiziert, dass Peer-Reviews mindestens einen von sechs Bereichen abdecken können. Dies sind nicht die einzigen möglichen Bereiche, aber sie repräsentieren den zentralen Umfang von Peer-Reviews.

Erstens können Peer-Reviews das Umsetzungsniveau der Cybersicherheitsrisikomanagementmaßnahmen und Berichtspflichten gemäß den Artikeln 21 und 23 bewerten. Dies bedeutet, zu bewerten, ob wesentliche und wichtige Einrichtungen innerhalb eines Mitgliedstaats die obligatorischen Cybersicherheitsmaßnahmen tatsächlich umsetzen und ob sie erhebliche Vorfälle ordnungsgemäß an das nationale CSIRT melden. Dies ist wahrscheinlich der häufigste Fokus für Peer-Reviews, da die Artikel 21 und 23 zum Kern der NIS2-Umsetzung gehören.

Zweitens können Peer-Reviews das Niveau der Fähigkeiten und der Effektivität der zuständigen Behörden bewerten. Dies umfasst die Bewertung, ob die zuständige Behörde über angemessene finanzielle Ressourcen, angemessene technische Expertise, angemessene Personalausstattung und angemessene Befugnisse zur Beaufsichtigung wesentlicher und wichtiger Einrichtungen verfügt. Es umfasst auch die Beurteilung, ob die zuständige Behörde ihre Aufsichts- und Durchsetzungsbefugnisse effektiv ausübt.

Drittens können Peer-Reviews die operativen Fähigkeiten des nationalen CSIRT bewerten. Verfügt das CSIRT über eine 24/7-Verfügbarkeit? Kann es sich effektiv mit wesentlichen und wichtigen Einrichtungen abstimmen? Verfügt es über angemessene Expertise in der Vorfallsbearbeitung? Kann es effektiv mit anderen CSIRTs und mit EU-CyCLONe zusammenarbeiten?

Viertens können Peer-Reviews das Umsetzungsniveau der gegenseitigen Unterstützung bewerten. Artikel 37 verlangt, dass Mitgliedstaaten sich gegenseitig bei der Bewältigung von Vorfällen mit grenzüberschreitender Auswirkung unterstützen. Ein Peer-Review könnte bewerten, ob der Mitgliedstaat Mechanismen zur Bereitstellung und zum Empfang gegenseitiger Unterstützung eingerichtet hat und ob er bei kürzlichen Vorfällen tatsächlich Unterstützung geleistet hat.

Fünftens können Peer-Reviews das Umsetzungsniveau der Vereinbarungen zum Austausch von Cybersicherheitsinformationen bewerten. Artikel 29 verlangt, dass Mitgliedstaaten den Informationsaustausch zwischen Einrichtungen bezüglich Cyberbedrohungen und Schwachstellen erleichtern. Ein Peer-Review könnte bewerten, ob wirksame Vereinbarungen zum Informationsaustausch eingerichtet wurden und ob Einrichtungen aktiv daran teilnehmen.

Sechstens können Peer-Reviews spezifische Fragen grenzüberschreitender oder branchenübergreifender Natur bewerten. Mitgliedstaaten können besondere Anliegen oder Interessensgebiete identifizieren und beantragen, dass diese in den Reviewumfang aufgenommen werden.

Der Peer-Review-Prozess

Artikel 19 etabliert einen strukturierten Prozess für die Durchführung von Peer-Reviews. Der Prozess beginnt mit der Methodikentwicklung. Die Kooperationsgruppe etabliert mit Unterstützung der Kommission und der ENISA die Peer-Review-Methodik bis zum 17. Januar 2025. Diese Methodik umfasst die Kriterien und Verfahren für die Auswahl von Cybersicherheitsexperten, den Beweiserhebungsprozess, den Bewertungsrahmen und das Berichtsformat für die Peer-Review-Befunde.

Sobald die Methodik etabliert ist, können Mitgliedstaaten Peer-Reviews beantragen. Ein Mitgliedstaat, der ein Peer-Review beantragt, muss andere teilnehmende Mitgliedstaaten über den Umfang des Reviews informieren, einschließlich aller für die Überprüfung identifizierten spezifischen Themen. Vor Beginn des Peer-Reviews erlaubt Artikel 19(5) den Mitgliedstaaten, eine Selbstbewertung durchzuführen und sie den benannten Cybersicherheitsexperten zur Verfügung zu stellen. Die Kooperationsgruppe etabliert die Methodik der Selbstbewertung.

Das Peer-Review selbst umfasst Cybersicherheitsexperten, die von mindestens zwei Mitgliedstaaten benannt werden, die sich vom überprüften Mitgliedstaat unterscheiden. Diese Experten kommen aus anderen Mitgliedstaaten und werden auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter Kriterien benannt. Die Kommission und die ENISA nehmen als Beobachter an den Peer-Reviews teil. Dies stellt sicher, dass Peer-Reviews keine rein bilateralen Mitgliedstaatsaktivitäten sind, sondern eine Aufsicht auf EU-Ebene haben.

Artikel 19(6) spezifiziert, dass Peer-Reviews physische oder virtuelle Vor-Ort-Besuche und externe Informationsaustausche umfassen. Der Vor-Ort-Besuch ist entscheidend; er ermöglicht es Experten, die Einrichtungen des Mitgliedstaats direkt zu beobachten, Schlüsselpersonal zu befragen und Beweise zu sammeln, die nicht aus der Ferne erlangt werden können. Externe Austausche ermöglichen die zusätzliche Informationssammlung und die Klärung von Befunden.

Der dem Peer-Review unterworfene Mitgliedstaat muss kooperieren und den benannten Cybersicherheitsexperten die für die Bewertung erforderlichen Informationen zur Verfügung stellen. Diese Kooperation unterliegt jedoch wichtigen Einschränkungen: Sie erfolgt “unbeschadet des Unionsrechts oder des nationalen Rechts über den Schutz vertraulicher oder klassifizierter Informationen und die Wahrung wesentlicher staatlicher Funktionen, wie der nationalen Sicherheit”. Dies bedeutet, dass ein Mitgliedstaat aus Gründen der nationalen Sicherheit Informationen zurückhalten kann, aber diese Befugnis ist begrenzt und sollte sparsam genutzt werden. Breite Behauptungen der nationalen Sicherheit sollten nicht verwendet werden, um die Rechenschaftspflicht gegenüber Peer-Prüfern zu vermeiden.

Interessenkonflikt und Expertenqualifikation

Artikel 19(8) verlangt, dass jedes Risiko eines Interessenkonflikts bezüglich benannter Cybersicherheitsexperten anderen Mitgliedstaaten, der Kooperationsgruppe, der Kommission und der ENISA vor Beginn des Peer-Reviews offengelegt wird. Interessenkonflikte könnten entstehen, wenn ein Experte für den überprüften Mitgliedstaat gearbeitet hat, wenn der Experte kommerzielle Interessen im überprüften Mitgliedstaat hat, oder wenn es andere Beziehungen gibt, die die Unparteilichkeit des Experten beeinträchtigen könnten.

Der überprüfte Mitgliedstaat hat das Recht, gegen die Benennung bestimmter Cybersicherheitsexperten aus hinreichend begründeten Gründen Einspruch zu erheben. Wenn ein überprüfender Experte voreingenommen ist oder einen eindeutigen Interessenkonflikt hat, kann der überprüfte Mitgliedstaat Einspruch erheben und einen Ersatz verlangen. Dieses Recht ist wichtig für die Glaubwürdigkeit des Peer-Review-Prozesses; Prüfer müssen als unparteiisch wahrgenommen werden.

Die Benennung geeigneter Cybersicherheitsexperten ist entscheidend für die Qualität von Peer-Reviews. Experten müssen über ausreichende Expertise in Cybersicherheit, in regulatorischen und politischen Angelegenheiten, in den spezifischen überprüften Bereichen und in den für den überprüften Mitgliedstaat relevanten rechtlichen und institutionellen Rahmenbedingungen verfügen. Dies ist ein anspruchsvolles Kompetenzprofil. Die Festlegung klarer Kriterien für die Benennung von Experten durch die Kooperationsgruppe ist daher entscheidend.

Verhaltenskodizes

Artikel 19(6) verlangt, dass die Kooperationsgruppe in Zusammenarbeit mit der Kommission und der ENISA geeignete Verhaltenskodizes entwickelt, die den Arbeitsmethoden der benannten Cybersicherheitsexperten zugrunde liegen. Diese Verhaltenskodizes behandeln mehrere Fragen.

Erstens sollten sie Vertraulichkeitsverpflichtungen festlegen. Sensible Informationen, die während eines Peer-Reviews erlangt werden (Strategien, technische Details, interne Bewertungen), müssen als vertraulich behandelt werden. Verhaltenskodizes sollten verlangen, dass Experten solche Informationen nicht an Dritte weitergeben.

Zweitens sollten sie Prinzipien der Unparteilichkeit und Fairness festlegen. Von Experten sollte erwartet werden, dass sie Überprüfungen auf der Grundlage objektiver Beweise durchführen, alle Mitgliedstaaten fair behandeln und Voreingenommenheit vermeiden.

Drittens sollten sie Verfahren zur Behandlung von Streitigkeiten oder Meinungsverschiedenheiten festlegen. Wenn ein Mitgliedstaat Befunden oder Empfehlungen widerspricht, welches Verfahren existiert zur Lösung der Meinungsverschiedenheit? Verhaltenskodizes sollten Klarheit über solche Verfahren bieten.

Viertens sollten sie die Verwendung von während der Überprüfungen gesammelten Informationen behandeln. Solche Informationen können typischerweise nur für Peer-Review-Zwecke verwendet werden, nicht für Durchsetzungsmaßnahmen oder andere regulatorische Zwecke. Diese Einschränkung ist wichtig, um Mitgliedstaaten zu ermutigen, während Peer-Reviews offen zu sein.

Peer-Review-Berichte und Folgemaßnahmen

Nach Abschluss eines Peer-Reviews erstellen die Cybersicherheitsexperten einen Bericht über ihre Befunde und Schlussfolgerungen. Artikel 19(9) erlaubt es dem überprüften Mitgliedstaat, Kommentare zum Berichtsentwurf abzugeben, und solche Kommentare werden dem Abschlussbericht beigefügt. Dieses Kommentarrecht stellt sicher, dass die Perspektive des Mitgliedstaats im Abschlussdokument vertreten ist.

Peer-Review-Berichte enthalten Empfehlungen zur Ermöglichung von Verbesserungen in den vom Review abgedeckten Aspekten. Dies sind keine verbindlichen Anforderungen; es sind Vorschläge, die auf bewährten Praktiken und der Beurteilung des Prüfers von Bereichen basieren, in denen sich der Mitgliedstaat verbessern könnte. Empfehlungen von Peer-Prüfern haben jedoch erhebliches Gewicht, und ein Mitgliedstaat, der wesentliche Peer-Review-Empfehlungen nicht angeht, könnte mit Fragen der Kommission oder der Kooperationsgruppe konfrontiert werden, warum Verbesserungen nicht verfolgt werden.

Artikel 19(9) sieht vor, dass ein einem Peer-Review unterworfener Mitgliedstaat entscheiden kann, seinen Bericht oder eine redigierte Version davon öffentlich zugänglich zu machen. Diese Transparenz ist wertvoll; sie demonstriert Rechenschaftspflicht und ermöglicht es anderen Mitgliedstaaten, aus den Befunden zu lernen.

Das CSIRT-Netzwerk bewertet die Fortschritte bei Peer-Reviews und bezieht die Befunde in seinen zweijährlichen Bericht an die Kooperationsgruppe ein. Dies stellt sicher, dass die Ergebnisse der Peer-Reviews die breitere EU-Cybersicherheitspolitik und die Fähigkeitenentwicklung informieren.

Zeitplan und Häufigkeit

Artikel 19(7) spezifiziert, dass, sobald ein Mitgliedstaat einem Peer-Review unterzogen wurde, das bestimmte Aspekte abdeckt, dieselben Aspekte für zwei Jahre nach Abschluss des Peer-Reviews keinem weiteren Peer-Review in diesem Mitgliedstaat unterzogen werden, sofern nicht anderweitig vom Mitgliedstaat beantragt oder nach einem Vorschlag der Kooperationsgruppe vereinbart. Diese Bestimmung verhindert übermäßige Wiederholung von Reviews und gibt Mitgliedstaaten Zeit, Empfehlungen umzusetzen, bevor sie zu denselben Themen erneut überprüft werden.

Die Kooperationsgruppe etabliert einen Zeitplan für Peer-Reviews und koordiniert, welche Mitgliedstaaten in welchen Jahren überprüft werden. Da die Teilnahme freiwillig ist (wie in Artikel 19(1) festgehalten), unterziehen sich nicht alle Mitgliedstaaten gleichzeitig Überprüfungen. Stattdessen werden Reviews gestaffelt, um angemessene Ressourcen zu ermöglichen und damit Lehren aus früheren Reviews spätere informieren können.

Auswirkungen auf zuständige Behörden und Einrichtungen

Peer-Reviews haben, obwohl auf Mitgliedstaatsebene durchgeführt, Implikationen für zuständige Behörden und wesentliche/wichtige Einrichtungen. Wenn ein Peer-Review Mängel in den Fähigkeiten der zuständigen Behörde identifiziert, sollte die Regierung des Mitgliedstaats diese Mängel angehen, möglicherweise durch Zuweisung zusätzlicher Ressourcen oder durch Umstrukturierung der Aufsichtsregelungen. Wenn ein Peer-Review eine geringe Umsetzung der Cybersicherheitsmaßnahmen nach Artikel 21 bei wesentlichen Einrichtungen identifiziert, sollte die zuständige Behörde die Aufsichtstätigkeit erhöhen, um die Lücke zu schließen.

Umgekehrt, wenn Peer-Prüfer bewährte Praktiken identifizieren, die sich in einem anderen Mitgliedstaat als wirksam erwiesen haben, sollten wesentliche Einrichtungen ermutigt werden, ähnliche Praktiken zu übernehmen, und zuständige Behörden sollten erwägen, ob sie ihre Leitlinien an Einrichtungen verstärken müssen.

Wichtige Erkenntnisse

  • Artikel 19 etabliert einen Peer-Review-Mechanismus, durch den Mitgliedstaaten die Cybersicherheitsumsetzung und Fähigkeiten voneinander bewerten. Reviews sind freiwillig und werden von Cybersicherheitsexperten aus anderen Mitgliedstaaten durchgeführt, mit Beobachtung durch Kommission und ENISA.

  • Peer-Reviews können die Umsetzung der Maßnahmen nach Artikeln 21 und 23, die Fähigkeiten der zuständigen Behörden, die operativen Fähigkeiten der CSIRTs, Mechanismen der gegenseitigen Unterstützung, Vereinbarungen zum Informationsaustausch und spezifische grenzüberschreitende oder branchenübergreifende Fragen abdecken.

  • Die Kooperationsgruppe etabliert die Peer-Review-Methodik bis zum 17. Januar 2025, einschließlich Kriterien zur Benennung von Expertenprüfern, Verfahren zur Beweissammlung und Bewertungsrahmen. Die Methodik muss objektiv, nichtdiskriminierend, fair und transparent sein.

  • Überprüfte Mitgliedstaaten müssen mit Experten kooperieren, die erforderlichen Informationen bereitstellen und können Kommentare zu Berichtsentwürfen abgeben. Sie können gegen die Benennung von Prüfern aus Gründen eines Interessenkonflikts Einspruch erheben.

  • Verhaltenskodizes regeln das Verhalten der Experten, indem sie Vertraulichkeit, Unparteilichkeit, faire Verfahren und die angemessene Verwendung der bei Reviews erlangten Informationen verlangen. Diese Kodizes werden von der Kooperationsgruppe mit Input der Kommission und der ENISA entwickelt.

  • Peer-Review-Berichte enthalten Befunde und Empfehlungen; Mitgliedstaaten können Berichte (oder redigierte Versionen) veröffentlichen, um Rechenschaftspflicht zu demonstrieren. Von einem Peer-Review abgedeckte Aspekte können zwei Jahre lang nicht erneut überprüft werden, es sei denn, der Mitgliedstaat beantragt es oder die Kooperationsgruppe schlägt es vor.

Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.