Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber. Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen. Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen: Starker Fokus auf Krisenmanagement, Business Continuity (BCM) und Vorsorge Schwerpunkt auf Review- und Verbesserungen in allen Einzelthemen Regelmäßiger expliziter Einbezug von Drittparteien und Externen Einige sehr spezifische Anforderungen (Netzwerke, Accounts, Systeme) Existierende ISMS-Controlsets werden dafür erweitert werden müssen Manche Lücken könnten durch Management Systeme abgefangen werden Für betroffene Betreiber bleibt einiger Arbeitsbedarf.