Warum ist Artikel 38 wichtig? Warum „delegierte Rechtsakte“ das neue Herzstück der Cyber-Resilienz der EU sind
Der Compliance-Leiter von heute erbt nicht nur Regeln – er bereitet sich auch auf Regeln vor, die noch gar nicht eingeführt wurden. Artikel 38 der Durchführungsverordnung EU 2024-2690 läutet für die Europäische Union eine neue Ära agiler Cybersicherheits-Governance ein und befähigt die Europäische Kommission, durch delegierte Rechtsakte Standards zu entwickeln, ohne den industriellen Aufwand ganzer Gesetzgebungszyklen. Dabei geht es weniger um technische Änderungen als vielmehr um einen lebendigen, atmenden Vertrag mit der realen Bedrohungslandschaft – eine Architektur, die dafür sorgt, dass Ihre Kontrollen dauerhaft relevant bleiben und nicht nur formal „vorhanden“ sind.
Compliance ist kein langsamer Tanz mit statischen Regeln mehr – es ist ein Reflex, der sich so schnell anpasst wie die Bedrohung.
Während sich die Auditplanung früher an bekannten, festen Zeitplänen orientierte, erfordern die delegierten Rechtsakte von Artikel 38, dass Ihr ISMS-Kontrollrahmen auf Vorausschau und kontinuierlicher Überprüfung basiert. Das Europäische Parlament und der Rat verfügen über das notwendige Vetorecht und die Befugnis, die Delegation vollständig zu widerrufen. Dies bietet Ihnen institutionelle Schutzmaßnahmen gegen regulatorische Übergriffe, ohne das erforderliche Tempo für die Reaktion auf feindliche Akteure oder globale Vorfälle zu beeinträchtigen.
Das Ergebnis? Sicherheits- und Compliance-Verantwortliche müssen nun standardmäßig Horizon Scanning betreiben und nicht mehr auf die Luxus-Einbettung von änderungsbereiten Plattformen setzen. Buchungsprotokolleund Stakeholder-Kommunikation nahezu in Echtzeit. Delegierte Handlungen sind Ihr neuer Compliance-„Herzschlag“ – Ihre Prozesse müssen sich also von statischen Verpflichtungen zu gelebten Gewohnheiten entwickeln.
Wie wird das Regelwerk geschrieben? Einblicke in die Konsultation und Aufsicht, die jeden delegierten Rechtsakt behindert
Artikel 38 gibt den Institutionen ihren Motor, während die Konsultation das Steuerrad ist. Im Rahmen des Verfahrens für delegierte Rechtsakte werden aktiv Beiträge nicht nur von nationalen Regulierungsbehörden und Branchenbehörden eingeholt, sondern auch von der Privatwirtschaft – insbesondere von jenen, die komplexe oder grenzüberschreitende Lieferketten verwalten (einschließlich KMU).
Wenn Sie bei der Beratung nicht sichtbar sind, besteht die Gefahr, dass Sie von Anforderungen überrascht werden, die für die Vorgänge anderer Personen konzipiert sind.
Für Compliance-Teams ist das Warten auf die Bekanntmachung im Amtsblatt wie das Warten auf den Feueralarm vor dem Abschluss einer Versicherung: zu spät, zu reaktiv. Kluge Unternehmen ernennen Compliance-Beauftragte, die die Feedback-Anfragen der ENISA verfolgen, sich mit lokalen Branchenkonsortien vernetzen und frühzeitig Beziehungen zu den zuständigen Behörden aufbauen. Dies ist der praktische Weg zu Frühwarnung und direktem Einfluss – entscheidend, wenn der vertrauenswürdige Lieferant Ihres Unternehmens, der Authentifizierungs-Workflow oder branchenspezifische Gefahrenregister wird wahrscheinlich in einem zukünftigen Gesetz erwähnt.
Bei delegierten Rechtsakten ist die Veröffentlichung nur der Anfang: Ihr Compliance-Team muss nicht nur das Hauptgesetz entschlüsseln, sondern auch versteckte Verweise auf Anhänge und sektorale Überlagerungen, die auf nationaler Ebene vorgeschrieben sind. Sichtbarkeit bedeutet hier nicht Bereitschaft, sondern Wachsamkeit.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Wie sieht der Zeitplan von Brüssel bis in den Sitzungssaal aus? Abbildung des Compliance-Zyklus für die praktische Umsetzung
Die Vorhersage der einzelnen Schritte vom Entwurf bis zum geltenden Gesetz ist heute ein Wettbewerbsvorteil. Die Einhaltung von Artikel 38 wird nicht dadurch erreicht, dass derjenige als Erster das Amtsblatt liest – sie wird durch diejenigen sichergestellt, die jede Phase als Arbeitsablauf und nicht nur als politische Notiz operationalisiert haben.
Die meisten Unternehmen geraten in Eile, wenn der Zeitplan knapp wird; die Führungskräfte planen die Bereitschaft lange bevor die Uhr zu laufen beginnt.
Sechs-Schritte-Reise eines delegierten Rechtsakts:
| Praktikum | Ihre Überwachungsaktion | Ausgang/Trigger | Werkzeuge / Beweise |
|---|---|---|---|
| Entwurf eines Kommissionsgesetzes | Aktivieren Sie E-Mail-Benachrichtigungen der ENISA/Kommission | Frühzeitiges Compliance-Signal (verfolgbar) | Regulatorischer Feed, internes Warnprotokoll |
| Konsultation von Experten der Mitgliedstaaten | Teilnahme an/Überwachung von Sektorgruppen | Hinweis Beratungsfenster, Vorbereitungsposition | Protokoll, Tagesordnung |
| Veröffentlichung im Amtsblatt | Zeitstempel, Stakeholder aktualisieren | Der Compliance-Countdown beginnt | Benachrichtigung, ISMS.online ändern sich |
| Einspruchsfrist (2–4 Monate) | Veto-Fenster verfolgen, bei Bedarf Einfrieren anweisen | Bedingte Sperre für Aktualisierung | Kalender, Zeitplan ändern |
| Inkrafttreten | Workflow starten, Änderungsaufgaben zuweisen | Aktualisierung der Richtlinien/Kontrollen, Schulung des Personals, Audit | Projektplan, Richtlinienversionierung |
| Widerruf oder Erlöschen | Überwachung über die Kommunikation zwischen der Europäischen Kommission, ENISA und dem Parlament | Richtlinien-/Archivumkehr, Kontroll-Rollback | Richtlinienablage, Versions-Rollback-Protokoll |
Betrachten wir das Beispiel eines Cloud-Anbieters, der nach einer delegierten Handlung, die eine verbesserte Kryptografie erforderte, den Benachrichtigungs-Workflow von ISMS.online nutzte, um sensible Projektänderungen sofort zu pausieren, die Gefahrenregisterund die Weiterleitung von Beweisaufgaben an verteilte Teams. Dadurch gelang es dem Unternehmen, vom reaktiven Chaos zur überprüfbaren, reibungslosen Ausführung zu gelangen.
Wie riskant ist eine Verzögerung? Die tatsächlichen Risiken, wenn das Compliance-Fenster verpasst wird
Delegierte Rechtsakte sind nicht hypothetisch. Verpassen Sie ein Datum, riskieren Sie ein Scheitern der Prüfung. Vorfallsberichting, Lieferkettenverletzungen und öffentliche Geldstrafen. Da die Regulierungstaktfrequenz steigt – was sich in Rahmenwerken wie DORA für Finanzdienstleistungen widerspiegelt – kann selbst eine kurze Verzögerung bei der Anpassung von Kontrollen oder Nachweisen lukrative Handelsverträge platzen lassen (KPMG).
Wenn die Einhaltung der Vorschriften ein Wettlauf ist, ist es nicht anders, wenn man zu spät fertig wird, als wenn man gar nicht fertig wird.
Risikotabelle: Auslöser delegierter Rechtsakte und was zu protokollieren ist
| Auslösendes Ereignis | Risiko-Update | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Delegierter Rechtsakt veröffentlicht | Risiko der Nichteinhaltung | ISMS-Richtlinie/-Kontrolle aktualisieren | Versionsdatum, Bestätigung des Eigentümers |
| Einspruch im Fenster erhoben | Update angehalten | Umsetzung pausieren | Registernotiz, Benachrichtigungsprotokoll |
| Delegierter Rechtsakt widerrufen/abgelaufen | Rückgängigmachen der Aktion erforderlich | Frühere SoA/Steuerelemente wiederherstellen | Rollback-Protokoll, revisionssicher |
Ein typisches Beispiel: Ein Transportunternehmen musste mit Strafen rechnen, weil aufgrund einer verspäteten rechtlichen Überprüfung ein Sicherheitsupdate für die Lieferkette verpasst wurde. Nach dem Verstoß integrierte das Unternehmen eine automatisierte Zuordnung jedes einzelnen Verstoßes zu Änderungsprotokolle und Aufgabeninhaber, wodurch Nacharbeit reduziert und das Vertrauen der Regulierungsbehörde wiederhergestellt wird.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Wer hält die Bremse? Verstehen Sie die Aufsicht, die Sie vor regulatorischen Schleudertrauma schützt
Artikel 38 beschleunigt nicht nur den Wandel, sondern beinhaltet auch Notbremsen. Sowohl das Europäische Parlament als auch der Rat können delegierte Befugnisse blockieren oder widerrufen und so die Durchsetzung mit sofortiger Wirkung aussetzen. Für Compliance-Architekten bedeutet dies, dass das Änderungsmanagement nicht nur Maßnahmen, sondern auch Rücknahmen erfordert – und eine überprüfbare Aufbewahrungsmöglichkeit für pausierte oder auslaufende Kontrollen.
Führungskräfte verfolgen nicht nur Veränderungen, sie erfassen auch Rückschläge und gewährleisten eine kontinuierliche Überwachung.
Adoptiere a Wechselregal: ein indiziertes Archiv ruhender oder rückgängig gemachter Kontrollen mit Zeitstempeln und Beweisprotokollen. Durch eine rechtliche Anfechtung unterbrochen? Stellen Sie Ihre vorherige SoA und Kontrollen in Sekundenschnelle wieder her. Widerrufene Handlung? Belegen Sie Kunden und Prüfern sofort den Rollback oder das sichere Haltemuster Ihrer Richtlinie. Dies macht Compliance-Rückabwicklungen Von Panik zu einer beweissichernden Geschäftsdynamik, selbst wenn sich der rechtliche Wind dreht.
ISMS.online und ähnliche Plattformen automatisieren dies jetzt und halten Kontrollen, Dokumentation und Schulung sowohl vorwärts als auch rückwärts synchron.
Kann es ein „ein Europa“ geben? Warum die duale Zuordnung zur Realität für die multinationale Kontrolle wird
Das Modell der delegierten Rechtsakte zielt auf Einheitlichkeit ab; in der Praxis führt es jedoch zu einem Spektrum, das von Harmonisierung bis hin zu Flickwerk reicht. Nationale Übersetzungen, legislative Überschneidungen und sektorale Zeitpläne erschweren den Traum von einer Plattform, einem Update, insbesondere für multinationale Unternehmen, die in unterschiedlichen regulatorischen Umgebungen tätig sind.
Tabelle: Harmonisierte vs. Patchwork-Compliance in der Praxis
| Compliance-Element | Harmonisiert (Ideal) | Patchwork (Realität) |
|---|---|---|
| Richtlinienaktualisierung | Einheitliche Einführung in der gesamten EU | Länderspezifische Anpassungen |
| Lieferantenmanagement | Einheitliche Anforderungen | Lokale Anpassung erforderlich |
| Audit-Trail | Ein Beweisregister | Mehrere, miteinander verknüpfte Protokolle |
| Vorfallbehandlung | Einheitlicher Plan | Aufteilung nach Sektor, Gerichtsbarkeit |
Bereiten Sie sich auf ein „Dual Mapping“ vor: Behalten Sie sowohl die Masterversion der EG als auch alle lokalen Overlays. Das bedeutet parallele Richtlinien, abgebildete SoAs und die Nachverfolgung von Beweisen über eine Matrix von Rechtsräumen hinweg. Eine frühzeitige Beteiligung an Konsultationen sowohl auf Brüsseler als auch auf lokaler Ebene kann einen Großteil dieser Komplexität vermeiden und eine Vereinheitlichung auch in einer fragmentierten Landschaft ermöglichen.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Wie verwandelt Artikel 38 Recht in gelebte Kontrolle? Die Mechanismen der Verankerung von Veränderungen
In der modernen Compliance bedeutet „Gesetz“ nichts, wenn es nicht eng mit Plattform-Workflows, verantwortlichen Eigentümern und Lebende Beweise Protokolle.
Ein delegierter Rechtsakt, der Ihr ISMS nicht innerhalb von 7 Tagen erreicht, stellt bereits bei Ihrem nächsten Audit ein Risiko dar.
Automatisierte Änderungskette:
- Starten Sie den Workflow mit dem EC-Act-Trigger, weisen Sie einen eindeutigen Eigentümer zu und ändern Sie den Zeitstempel.
- Aktualisieren Sie die Erklärung zur Anwendbarkeit (SoA) und geben Sie die Begründung der Klausel und einen Querverweis auf das Gesetz an.
- Fügen Sie Nachweise bei: E-Mails, Schulungsprotokolle, Lieferantenvereinbarungen, Richtlinienaktualisierungen, alles mit Querverweisen und Versionsangaben für die Prüfung.
- Verwenden Sie Plattform-Dashboards, damit alle Beteiligten (IT, Recht, Beschaffung) synchron handeln und aufgrund isolierter Kommunikation nichts übersehen wird.
ISMS.online ermöglicht eine Live-Abstimmung: Ein delegierter Rechtsakt geht am Freitag ein, Benachrichtigungen und Entwurfsaktualisierungen werden am Montag ausgelöst und Beweisprotokolle verknüpfen Maßnahmen mit Fristen, wodurch ein Prüfpfad entsteht, der sowohl nahezu in Echtzeit als auch auf Regulierungsniveau (ISMS.online Audit DB) erfolgt.
Was nun? Nächste Schritte zum Aufbau eines robusten Systems zur Reaktion auf delegierte Rechtsakte
Das Compliance-Rennen wird nicht von denen gewonnen, die das Gesetz am schnellsten lesen, sondern von denen, die die Lücke zwischen Veränderung und prüfungsfähige Nachweise mit Klarheit und Automatisierung.
Maßnahmen zum Mitnehmen:
- Weisen Sie die Überwachung delegierter Handlungen einer im Kalender festgelegten Rolle zu – täglich oder wöchentlich, nicht jährlich.
- Ordnen Sie jede Änderung einer bestimmten versionierten Richtlinie, einem Prozess, einer Kontrolle und einer SoA-Klausel zu – protokollieren Sie, wer wann handelt.
- Integrieren Sie Meldepflichten in Lieferanten-/Verkäuferverträge und stellen Sie sicher, dass auch Ihre Partner die Einhaltung dieser Pflichten nachprüfbar machen.
- Wählen Sie ein ISMS, das Warnmeldungen, Versionskontrolle, Beweissammlung und teamübergreifende Synchronisierung automatisiert, damit keine Aktion, Pause oder Umkehrung übersehen wird.
Compliance-Experten werden heute nicht nur an der Geschwindigkeit ihrer Aktualisierungen gemessen, sondern auch an der Klarheit und Zuverlässigkeit ihrer Spuren. Im Zeitalter des dynamischen Rechts sollte Ihr Prüfpfad schneller sein als der juristische Kalender, und Ihre Plattform sollte delegierte Handlungen vom Risiko zum Wettbewerbsnachweis machen.
Die Zukunft der europäischen Cyber-Compliance liegt nicht in der Einrichtung und Vernachlässigung von Kontrollen – sie liegt in belastbaren Teams, überprüfbaren Veränderungen und dem Nachweis von Anpassungsfähigkeit an jeder Ecke.
Häufig gestellte Fragen (FAQ)
Wer übt letztendlich die delegierten Befugnisse gemäß Artikel 38 von NIS 2 aus, überwacht sie und kann sie widerrufen?
Artikel 38 der NIS 2 überträgt der Europäischen Kommission die Befugnis, delegierte Rechtsakte zu erlassen, unterstellt diese Befugnis jedoch der direkten und laufenden Aufsicht sowohl des Europäischen Parlaments als auch des Rates. Die Aufgabe der Kommission besteht darin, delegierte Rechtsakte zu erlassen, die eine schnelle Anpassung technischer Details der Richtlinie – wie Sicherheitsanforderungen oder sektorspezifische Klarstellungen – ermöglichen. Die Kommission kann jedoch nicht einseitig handeln. Jeder Entwurf muss einer formellen Konsultation mit technischen Experten aus allen EU-Mitgliedstaaten unterzogen werden. Diese Konsultation erfolgt in der Regel über die ENISA oder sektorale Expertengruppen. So wird sichergestellt, dass nationale Prioritäten und technische Gegebenheiten berücksichtigt werden.
Sobald ein delegierter Rechtsakt verabschiedet ist, werden sowohl das Parlament als auch der Rat unverzüglich unterrichtet. Jede Institution – nicht nur eine – kann Einspruch erheben und so die Rechtskraft des Rechtsakts verhindern. Darüber hinaus können beide Institutionen die Befugnis der Kommission zum Erlass delegierter Rechtsakte jederzeit widerrufen, die am Tag nach der Bekanntgabe ihrer Entscheidung in Kraft treten. Dieses „doppelte Veto“ stellt sicher, dass technische Flexibilität die demokratische Kontrolle niemals beeinträchtigt.
Tabelle zur delegierten Leistungsüberwachung
| Phase | Rolle der Kommission | Aufsicht durch Parlament/Rat | Experten-Input über ENISA/Sectoral |
|---|---|---|---|
| Entwurf eines delegierten Rechtsakts | Entwurf/Adoption | Sofortige Benachrichtigung | Obligatorisches technisches Feedback |
| Nach der Adoption | 2 (+2) Monate Einspruchsfrist | ||
| Widerruf der übertragenen Vollmacht | Jederzeit, wirkt sofort |
References:
Welche strengen Fristen und Mitteilungen gelten für die Ausübung oder den Widerruf delegierter Befugnisse gemäß Artikel 38?
Die delegierten Befugnisse gemäß Artikel 38 gelten für einen festen Fünfjahreszyklus und werden automatisch verlängert, sofern das Parlament oder der Rat nicht eingreift. Erlässt die Europäische Kommission einen delegierten Rechtsakt, muss sie Parlament und Rat unverzüglich darüber informieren. Daraufhin eröffnet sich eine zweimonatige Einspruchsfrist (die auf formellen Antrag um weitere zwei Monate verlängert werden kann). Ein delegierter Rechtsakt tritt erst in Kraft, wenn beide Institutionen diese Frist ohne Einwände verstreichen lassen. Der Widerruf der Befugnisse der Kommission – falls Parlament oder Rat einen Missbrauch feststellen – tritt, sofern nicht anders angegeben, am Tag nach der öffentlichen Bekanntgabe in Kraft.
Neun Monate vor Ablauf des Fünfjahreszeitraums muss die Kommission über die Nutzung der ihr übertragenen Befugnisse Bericht erstatten. Parlament und Rat haben so genügend Zeit, die Befugnisse zu überprüfen, Einwände zu erheben oder eine automatische Verlängerung zuzulassen. Rechtsakte, die zum Zeitpunkt des Widerrufs bereits in Kraft sind, bleiben grundsätzlich wirksam, sofern sie nicht ausdrücklich aufgehoben werden.
Artikel 38 Zeitleiste – Schnellansicht
| Schlüsselereignis | Zeitleiste/Fenster | Verantwortlicher Stakeholder |
|---|---|---|
| Übertragene Befugnisse | Fünf Jahre (ab Januar 2023) | Kommission, Parlament, Rat |
| Mitteilung über die Verabschiedung eines neuen Gesetzes | Unmittelbar | Kommission an beide Institutionen |
| Standard-Einspruchsfenster | 2 (+2) Monate | Parlament oder Rat |
| Vor der Erneuerung melden | 9 Monate vor Ablauf | Kommission |
| Widerrufsklage | Jederzeit; am nächsten Tag | Parlament oder Rat |
References:
Wie verändert das delegierte Machtregime von Artikel 38 das alltägliche Compliance-Management für regulierte Organisationen?
Artikel 38 verlagert die Einhaltung von Vorschriften von gelegentlichen Checklistenübungen auf eine behördliche Überwachung in Echtzeit. Jede delegierte technische Verpflichtung kann sich nun – mit einer Frist von nur zwei bis vier Monaten – ändern, wenn die Kommission ein neues Gesetz erlässt. Für Unternehmen bedeutet dies sowohl Flexibilität als auch Risiken. Compliance-Leiter (oder ISMS-Plattformbesitzer) müssen:
- Überwachung neuer delegierter Rechtsakte (Amtsblatt, ENISA-Mitteilungen, Pressemitteilungen der Europäischen Kommission)
- Aktualisieren Sie Risiko- und Kontrollregister sofort, wenn ein delegierter Rechtsakt in Kraft tritt – oder wenn ein Einspruch eine Änderung blockiert oder aufhebt.
- Benachrichtigen Sie die relevanten Teams und Lieferkettenpartner über Änderungen oder Rücknahmen, insbesondere wenn ein Gesetz widerrufen oder beanstandet wird, nachdem die lokale Umsetzung begonnen hat.
- Prüfnachweis Häufige Verzögerungen, da fehlende oder veraltete Kontrollen im Zusammenhang mit einem neu in Kraft getretenen (oder widerrufenen) delegierten Rechtsakt die Organisation Prüfungslücken, Vertragsrisiken oder sogar regulatorischen Maßnahmen aussetzen
Moderne Compliance wird nicht an der Anerkennung des Gesetzes gemessen, sondern an der Geschwindigkeit und Zuversicht, mit der Ihr Team von Richtlinienänderungen zu prüfungsfähigen Beweisen übergeht.
Unternehmen, die automatisierte Compliance-Plattformen mit Rückverfolgbarkeitsfunktionen (wie ISMS.online) können die Zuordnung delegierter Rechtsakte zentralisieren, die manuelle Überwachung minimieren und Prüfern nachweisen, dass sie Regulierungslücken schnell schließen.
References:
- AuditBoard: Rückverfolgbarkeit der NIS2-Konformität
- ISMS.online: Delegierte Rechtsakte-Mapping
Welche Konsultationen und Verfahren müssen stattfinden, bevor ein delegierter Rechtsakt von der Kommission angenommen wird?
Vor der Fertigstellung eines delegierten Rechtsakts ist eine technische Konsultation durch Experten zwingend erforderlich. Die Kommission konsultiert benannte Experten aus jedem Mitgliedstaat, in der Regel durch von der ENISA organisierte Fachgruppen oder sektorspezifische Gremien. Diese Konsultationen erhöhen die technische Genauigkeit und stellen sicher, dass die Prioritäten der Mitgliedstaaten berücksichtigt werden. Eine umfassendere Einbindung von Industrie, Zivilgesellschaft oder Aufsichtsbehörden ist gesetzlich nicht vorgeschrieben, wird aber zunehmend gewünscht. Organisationen, die Input suchen, können Entscheidungsträger oft über die ENISA oder nationale Arbeitsgruppen erreichen. Nach der technischen Prüfung wird der Entwurf veröffentlicht und Parlament und Rat werden aufgefordert, ihre zwei(+2)-monatige Einspruchsfrist zu öffnen.
Tabelle zur Annahme delegierter Rechtsakte
| Phase | Koordinationsleitung | Erforderliche Beratung |
|---|---|---|
| Abfassung | Kommission | ENISA + technische Vertreter der Mitgliedstaaten |
| Expertenbewertung | Nominierte Mitgliedstaaten | Protokollführung; Ergebnisse oft öffentlich |
| Nicht-fachmännischer Input | Optional (Industrie/NGO) | Nicht erforderlich, aber empfohlen |
| Benachrichtigung | Kommission | Parlament, Rat, Amtsblatt |
References:
- Zentrum für Cyber-Sicherheitspolitik-Koalition
Welche Protokolle sollten Organisationen aktivieren, wenn das Parlament oder der Rat einen delegierten Rechtsakt oder die Befugnisse der Kommission blockieren oder widerrufen?
Wird ein Einspruch erhoben, müssen die Organisationen die Compliance-Aktivitäten im Zusammenhang mit der beanstandeten Handlung einstellen und – falls erforderlich – rückgängig machen. Dies bedeutet, die Umsetzung einzufrieren, Audit- und Lieferantenunterlagen zu aktualisieren und die Gründe für Änderungen in allen Nachweis- und Kontrollprotokollen zu dokumentieren („Einspruch eingelegt“ oder „Delegation widerrufen“). Wenn Parlament oder Rat die Befugnisse der Kommission vollständig widerrufen, können keine neuen delegierten Rechtsakte erlassen werden. Bestehende Rechtsakte bleiben jedoch in der Regel in Kraft, sofern sie nicht formell aufgehoben werden. Ausgereifte Compliance-Teams „frieren“ die Kontrollen in ihrem letzten gültigen Zustand ein, halten die Kommunikation mit internen und externen Partnern aufrecht und erstellen eine transparente Beweiskette für spätere Audits oder rechtliche Überprüfungen.
Erfolgreiche Compliance-Leiter behandeln jeden regulatorischen Einwand nicht als Chaos, sondern als Routine – als einen Test ihrer Vorbereitung, nicht als ihren Hektikreflex.
Compliance-Antworttabelle
| Auslösendes Ereignis | Organisatorisches Handeln | Dokumentation erforderlich |
|---|---|---|
| Einspruch des Parlaments/Rates | Kontrollen pausieren/umkehren; Mitarbeiter/Lieferanten informieren | Aufzeichnung in Beweis-/Auditprotokollen |
| Gesamtentzug der Macht | Hören Sie auf, sich auf neue Acts vorzubereiten | Registrierungs-/Protokollaktualisierung; Alarmteams |
| Bestehende Gesetze bleiben | Auf Änderungen prüfen; Ausrichtung beibehalten | Kontrollprotokolle aufbewahren, Status notieren |
References:
- Pinsent Masons – Umsetzung des NIS2-Gesetzes
Wie unterscheiden sich die delegierten Befugnisse gemäß Artikel 38 von DORA oder DSGVO und was müssen übergreifend regulierte Organisationen tun?
NIS 2 Artikel 38 verfolgt einen einzigartig umfassenden und schnelllebigen Ansatz, der sowohl dem Parlament als auch dem Rat die Möglichkeit bietet, Maßnahmen zu blockieren oder aufzuheben, und über ein klares Mandat für technische Konsultationen verfügt. DORA (Finanzsektor) und die DSGVO (Datenschutz) haben engere Verfahren: DORA beschränkt Einwände an das Parlament, schreibt öffentliche Konsultationen vor und schließt die Einspruchsfrist früher; die Umsetzung der DSGVO ist in den Mitgliedstaaten unterschiedlich und manchmal weniger transparent oder langsamer.
Organisationen, die einer bereichsübergreifenden Regulierung unterliegen, müssen:
- Verfolgen Sie mehrere Einspruchsfenster (NIS2 = 2+2 Monate, DORA = 1–2 Monate, Datenschutz = sehr variabel)
- Führen Sie klare, separate Compliance-Karten/Protokolle für die delegierten Rechtsakte jedes Regimes, verfolgen Sie Überschneidungen und reagieren Sie in jedem System unabhängig auf Widerrufe.
- Achten Sie auf Widersprüche durch nationale „Goldplating“-Regelungen, bei denen lokale Vorschriften über die EU-Standards hinausgehen oder von diesen abweichen.
- Stellen Sie sicher, dass die Compliance-/Rechtsteams für ein fortlaufendes, rahmenübergreifendes Horizon Scanning gerüstet sind und sich nicht auf einen einzigen „Compliance-Kalender“ für alles verlassen.
Die EU-Vorschriften versprechen eine Harmonisierung, doch die Einhaltung der Vorschriften in der Praxis ist ein sich ständig verändernder Flickenteppich. Unternehmen überleben nicht, indem sie jede Handlung vorhersagen, sondern indem sie jede für sie bedeutsame Änderung verfolgen.
Delegierte Befugnisse: Vergleich der EU-Regime
| Regime | Wer kann blockieren? | Beratungstyp | Einspruch/Zeitrahmen | Auswirkungen auf das Geschäft |
|---|---|---|---|---|
| NIS 2 | Parlament/Rat | ENISA + MS-Experten | 2 (+2) Monate | Sektorübergreifende, umfassende Verpflichtungen |
| DORA | Parlament | Öffentliches, kürzeres Zeitfenster | 1 + Monate | Nur Finanzsektor, technisch |
| Datenschutz | Parlament (Haupt) | Variiert, meist lokal | Variable | Fragmentiert nach Mitgliedstaaten |
References:
- Offizieller ENISA NIS2-Leitfaden (PDF)
- Briefing des britischen Parlaments: DORA/DSGVO
