Compliance-Management im UnternehmenWas die NIS-2-Richtlinie fordert und wer betroffen ist

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine erweiterte und aktualisierte Version der ursprünglichen NIS-Richtlinie der Europäischen Union. Sie zielt darauf ab, die Anforderungen zur Cybersicherheit für bestimmte Sektoren zu verschärfen und die Cybersicherheitsregelungen in der EU zu harmonisieren.

Die NIS-2-Richtlinie soll bis Oktober 2024 in deutsches Recht umgesetzt werden.

Was ändert sich durch NIS-2?

Die Regeln hinsichtlich der Cybersicherheit werden strenger:

• Geltungsbereiche werden erweitert.
• Anwendungsbereiche werden ausgeweitet; auch kleine und mittlere Unternehmen sind jetzt betroffen.
• Viele Akteure (auch Kleinunternehmen) innerhalb der Lieferkette werden einbezogen.
• Sicherheitsanforderungen werden strenger.
• Die Meldepflichten werden ausgeweitet.
• Bußgelder bei Nichteinhaltung werden höher und schneller verhängt.
• Unternehmen müssen proaktiv vorgehen, um Sicherheitsprotokolle laufend zu überwachen und ihre Maßnahmen zur Abwehr von Cyberkriminalität weiter zu verbessern.

Für wen gilt die NIS-2-Richtlinie?

Ob Ihr Unternehmen von der Richtlinie betroffen ist, hängt von dessen Größe und der Zugehörigkeit zu bestimmten Sektoren ab.

Hinsichtlich der Größe sind Unternehmen betroffen, die:

• mindestens 50 Mitarbeitende beschäftigen oder
• einen Jahresumsatz von mehr als 10 Millionen EUR haben.

Kleine Unternehmen sind in der Pflicht, wenn sie kritische Tätigkeiten ausüben, die wesentliche Auswirkungen auf die öffentliche Sicherheit haben. Ist das Unternehmen Akteur in einer kritischen Lieferkette, kann es ebenfalls den Regeln der NIS-2-Richtlinie unterliegen.

Betroffene Sektoren sind:

• Energie
• Transport
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasserversorgung
• Abwasserentsorgung
• Digitale Infrastruktur
• Öffentliche Verwaltung
• Raumfahrt
• Lebensmittelproduktion und -verteilung
• Digitale Dienste (zum Beispiel: Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Hersteller bestimmter Produkte (zum Beispiel: Medizinprodukte, Chemikalien, elektronische Geräte)
• Anbieter von IKT-Diensten (zum Beispiel: Cloud-Computing, Rechenzentren)

NIS-2 teilt diese Sektoren in zwei Gruppen ein: wesentliche Sektoren und wichtige Sektoren.

Was sind wesentliche und wichtige Sektoren?

Die Umsetzung der Sicherheitsmaßnahmen wird für beide Kategorien gleichermaßen gefordert. Allerdings unterscheiden sie sich hinsichtlich der Überprüfung und der Sanktionen erheblich:

Bei wesentlichen Einrichtungen erfolgen regelmäßige und gezielte Sicherheitsprüfungen („ex-ante“) sowie Stichprobenkontrollen. Der Bußgeldrahmen liegt bei maximal 10 Millionen EUR oder 2 Prozent des weltweiten Umsatzes, je nachdem welcher Betrag höher ist.

Wichtige Einrichtungen werden nur bei begründetem Verdacht („ex-post“) überprüft und vor Ort kontrolliert. Hier liegt der Bußgeldrahmen bei maximal 7 Millionen EUR oder 1,4 Prozent des weltweiten Umsatzes, je nachdem welcher Betrag höher ist.

Wesentliche Einrichtungen

Eine Einrichtung gilt als wesentlich, wenn:

• Sie eine erhebliche wirtschaftliche Bedeutung hat, etwa durch hohe Umsätze oder eine große Anzahl an Beschäftigten,
• die Einrichtung in einem Sektor tätig ist, der als kritisch für die nationale und europäische Wirtschaft und Gesellschaft angesehen wird oder
• Auswirkungen eines Ausfalls oder einer Sicherheitsverletzung in der Einrichtung erhebliche Folgen für die öffentliche Sicherheit oder den nationalen Wohlstand haben können.

Wichtige Einrichtungen

Eine Einrichtung gilt als wichtig, wenn:

• sie zwar von geringerer Größe oder wirtschaftlicher Bedeutung ist als wesentliche Einrichtungen, aber dennoch eine signifikante Rolle in ihrem Sektor spielt,
• die Einrichtung in einem Sektor tätig ist, der von hoher Bedeutung für die Aufrechterhaltung kritischer sozialer oder wirtschaftlicher Aktivitäten ist, jedoch nicht zwingend als kritisch im Sinne der wesentlichen Einrichtungen eingestuft wird oder
• die Auswirkungen eines Ausfalls oder einer Sicherheitsverletzung in der Einrichtung merkliche, aber nicht unbedingt erhebliche Folgen für die öffentliche Sicherheit oder den nationalen Wohlstand haben können.

Wesentliche Einrichtungen unterliegen strengeren regulatorischen Anforderungen und Meldepflichten als wichtige Einrichtungen. Trotzdem: Sowohl wesentliche als auch wichtige Einrichtungen sollen eng mit den nationalen Behörden zusammenarbeiten und von ihnen Unterstützung erhalten, um ihre Cyberabwehr und Cybersicherheit zu stärken.

Die genauen Klassifizierungen variieren je nach Mitgliedstaat und dessen jeweiligen gesetzlichen Bestimmungen.

Gibt es Ausnahmen?

Zwei Arten von Ausnahmen sind vorgesehen: Einerseits können Unternehmen von der NIS-2-Richtlinie betroffen sein, obwohl sie nicht zu den genannten relevanten Sektoren gehören. Andererseits können Unternehmen ausnahmsweise ausgenommen sein.

Ausgenommen sind Einrichtungen, die in den Bereichen Verteidigung, nationale oder öffentliche Sicherheit und Strafverfolgung tätig sind. Auch Zentralbanken, die Justiz und Parlamente müssen sich nicht an die Regelungen gemäß NIS-2 halten.

Von der NIS-2 betroffen, unabhängig von der Unternehmensgröße, können sein:

• Unternehmen, die „kritische Tätigkeiten“ ausführen oder
• Unternehmen, deren Tätigkeiten sich auf die öffentliche Ordnung auswirken oder
• wenn Systemrisiken bestehen.

Was unterscheidet KRITIS und NIS?

Sowohl KRITIS (Kritische Infrastrukturen) als auch NIS (Netz- und Informationssicherheit) sind Konzepte, die sich auf den Schutz von wesentlichen Infrastrukturen und die Sicherheit von Netz- und Informationssystemen konzentrieren. Sie sind eng miteinander verbunden, da viele kritische Infrastrukturen auf Netz- und Informationssysteme angewiesen sind.

Während KRITIS einen breiteren Ansatz verfolgt, der sowohl physische als auch digitale Sicherheitsaspekte umfasst, konzentriert sich NIS auf die Sicherheit von IT-Systemen und Netzwerken. Beide Ansätze ergänzen sich und tragen dazu bei, die Resilienz und Sicherheit wichtiger Dienste und Infrastrukturen zu gewährleisten.

In Deutschland ist das IT-Sicherheitsgesetz ein zentrales Gesetz für KRITIS, während die NIS-Richtlinie (EU-Richtlinie über Netz- und Informationssicherheit) den Rahmen für NIS bildet.

Die betroffenen Sektoren überschneiden sich oft. Kritische Infrastrukturen umfassen Sektoren wie Energie, Wasser, Gesundheit, Finanzen, Transport und Kommunikation, die alle auch Netz- und Informationssysteme nutzen.

Betrifft NIS-2 auch KRITIS-regulierte Unternehmen?

Wenn Ihr Unternehmen bereits KRITIS-reguliert ist, ist die NIS-2-Richtlinie dennoch relevant für Sie. Betreiber kritischer Infrastrukturen müssen nun laut NIS-2 etwa kritische Sicherheitsvorfälle an Stakeholder kommunizieren – auch an Kundinnen und Kunden, Lieferanten und die Öffentlichkeit. Neben der Meldepflicht wurde auch die Schulungspflicht erweitert.

Kurzum: Es kommen verschärfte oder zusätzliche Maßnahmen auf Sie zu, die nicht durch KRITIS abgedeckt sind.

Was unterscheidet NIS und NIS-2 ?

Das NIS-2-Umsetzungsgesetz gilt für Deutschland und wird mit leichten Abweichungen des Ist-Standes und Anpassungen, die speziell für Deutschland gelten, wahrscheinlich ab Oktober 2024 in Kraft treten. Im Vergleich zum Vorgänger (NIS-Direktive aus 2016) gibt es mehr Verpflichtungen für mehr betroffene Unternehmen, die von der EU beaufsichtigt werden.

Außerdem neu: Cybersicherheit muss laut NIS-2 auch in Lieferketten bedacht und gewahrt werden. Verstöße gegen die Richtlinie werden vergleichsweise früher und härter geahndet.

Was fordert NIS-2 von Unternehmen?

Das sind die wichtigsten Forderungen der Richtlinie NIS-2:

Mehr und strengere Sicherheitsmaßnahmen

• Unternehmen müssen umfassende Cybersicherheitsmaßnahmen implementieren, einschließlich Risikomanagement, Zugangskontrollen, Netzwerksicherheit und Verschlüsselung.
• Es müssen Vorkehrungen zur Vermeidung und Minimierung von Schäden durch Cyberangriffe getroffen werden.
• Die Cybersicherheit muss nicht nur innerhalb des Unternehmens, sondern innerhalb der gesamten Lieferkette gewährleistet sein.

Meldepflichten

• Die Registrierung beim Bundesamt für Sicherheit und Informationstechnik (BSI) ist obligatorisch.
• Unternehmen sind verpflichtet, Sicherheitsvorfälle an die zuständigen Behörden zu melden. Dies beinhaltet eine vierstufige Meldepflicht von der ersten Meldung bis zur Abschlussmeldung
• Wird ein erheblicher Sicherheitsvorfall erkannt, muss er innerhalb von 24 Stunden gemeldet werden.
• Kritische Sicherheitsvorfälle müssen außerdem relevanten Stakeholdern mitgeteilt werden; auch Kunden, Lieferanten und der Öffentlichkeit.

Risikomanagement und Kontinuitätsplanung

Unternehmen müssen Systeme zur Wiederherstellung und Notfallpläne implementieren, um den Geschäftsbetrieb im Falle eines Cybervorfalls sicherzustellen.

Schulung

Es besteht eine Schulungspflicht zum Thema Cybersicherheit.

Alle wesentlichen Stakeholder müssen in das Sicherheitstraining sowie in die Planung und Umsetzung der Maßnahmen zur Cybersicherheit einbezogen werden.

Zuständigkeiten und Verantwortlichkeiten

Die Geschäftsleitung der Unternehmen ist direkt für die Einhaltung der Richtlinie verantwortlich und muss sicherstellen, dass alle Maßnahmen zur Cybersicherheit umgesetzt und überwacht werden.

Gibt es Fristen und Übergangszeiten?

Die NIS-2-Richtlinie der Europäischen Union ist am 16. Januar 2023 in Kraft getreten und muss von den Mitgliedstaaten bis spätestens Oktober 2024 in nationales Recht umgesetzt werden.

Welche Konsequenzen drohen bei Nichteinhaltung?

Unternehmen können mit erheblichen Geldstrafen belegt werden, wenn sie die Anforderungen nicht erfüllen. Diese Bußgelder richten sich nach Größe und Umsatz des Unternehmens.

Handelt es sich um eine Einrichtung aus dem wesentlichen Sektor, können Bußgelder in Millionenhöhe fällig werden. Die genaue Höhe der Strafe hängt in vielen Fällen auch vom Jahresumsatz des Unternehmens ab.

Zusätzlich können Behörden Maßnahmen ergreifen, indem sie etwa anordnen, dass die Cybersicherheitsmaßnahmen des Unternehmens verbessert oder ergänzt werden.

Die Geschäftsleitung haftet bei Verstößen oder Nichteinhaltung.

Unternehmen sollten aber auch aus eigenem Interesse für die Sicherheit ihrer IT-Systeme sorgen. Denn Angriffe können dem Geschäft erhebliche wirtschaftliche Schäden verursachen. Unternehmen sollten deshalb geeignete Sicherheitsmaßnahmen umsetzen und kontinuierliches Risikomanagement betreiben.

Kommt es zu einem Vorfall, kann das den Ruf eines Unternehmens erheblich schädigen und das Vertrauen der Kunden und Partner negativ beeinträchtigen.