Cybersicherheit wird Pflicht

NIS-2: Neue Pflichten für Unternehmen

Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit. Zur Stärkung von Unternehmen und kritischen Infrastrukturen gegenüber Cyberattacken und IT-Störungen gibt es neue Vorgaben und Pflichten - NIS-2 setzt gewissermaßen einen Mindeststandard. Bundesweit werden rund 30.000 Unternehmen IT-Sicherheitsmaßnamen umsetzen und Vorfälle melden müssen.

Was ist die NIS-2-Richtlinie und ab wann gilt sie?

Die NIS-2-Richtlinie (Network and Information Security) ist eine seit 2023 gültige EU-weite Regelung zur Cyber- und Informationssicherheit von Unternehmen und Instituten.
Für Unternehmen ist die EU-Regelung bereits verbindlich, für die konkrete Ausgestaltung wird der deutsche Gesetzentwurf “NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (kurz NIS2UmsuCG)” allerdings erst noch dem Bundestag vorgelegt: Informationen zum aktuellen Stand bis zur Verkündung und Gültigkeit finden Sie auf der Webpräsenz des Bundesministerium des Innern und für Heimat.

Wie wirkt sich NIS-2 auf Unternehmen aus?

Je nach Einstufung der Unternehmen müssen Maßnahmen, Registrierungs-, Dokumentations- oder Unterrichtungspflichten für mehr IT-Sicherheit erfüllt werden. Dabei müssen besonders wichtige Einrichtungen (Hohe Kritikalität) mehr erfüllen, als sogenannte wichtige Einrichtungen (Sonstige Kritikalität).

Welche Unternehmen sind von NIS-2 betroffen?

Alle Unternehmen müssen eigenständig prüfen, ob Sie von den Regelungen betroffen sind. Eine behördliche Information erfolgt nicht. Hilfe und Orientierung bietet dabei die neue NIS-2-Betroffenheitsprüfung auf der Website der zuständigen Aufsichtsbehörde BSI.
Wird eine Betroffenheit vom Unternehmen selbst festgestellt, besteht eine Registrierungspflicht des Unternehmens beim Bundesamt für Sicherheit in der Informationstechnik (BSI). In bestimmten Fällen kann das BSI eine Betroffenheit auch anordnen.
Ein Unternehmen ist betroffen, wenn es
  • die Schwellenwerte (Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme) überschreitet und
  • in einem bestimmten Sektor tätig ist
Aus den nachfolgenden Sektoren sind auch Einrichtungen unabhängig von ihrer Größe von der Richtlinie betroffen. Hierzu zählen zum Beispiel Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Vertrauensdiensteanbieter, alleinige Anbieter, die essenziell für Gesellschaft und Wirtschaft sind sowie Einrichtungen, deren Ausfall einen großen Effekt für die öffentliche Ordnung, Sicherheit oder Gesundheit hätte.

Einstufungen, Schwellenwerte und Sektoren

  • Hohe Kritikalität (besonders wichtige Einrichtungen):
    • Schwellenwert: Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme in den Bereichen:
    • Sektoren
      • Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
      • Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
      • Wasser – Trink- und Abwasserversorgungsunternehmen
      • Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
      • Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
      • Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
      • Öffentliche Verwaltung
      • Raumfahrt
  • Sonstige Kritikalität (wichtige Einrichtung)
    • Schwellenwert: Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme
    • Sektoren:
      • Abfallwirtschaft
      • Post- und Kurierdienste
      • Chemische Erzeugnisse – Produktion und Vertrieb
      • Lebensmittel – Produktion und Vertrieb
      • Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
      • Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
      • Forschungseinrichtungen

Was muss ein betroffenes Unternehmen konkret tun?

  • Betroffene Unternehmen müssen sich eigenständig bei einer Behörde melden. (Details zum Meldevorgang sind aktuell noch nicht veröffentlicht) – (§§ 34, 34)
  • Einhaltung von Melde- und Dokumentationspflichten für erhebliche Sicherheitsvorfälle (zum Beispiel 24 Stunden nach Kenntnis, ausführlicher Bericht 72 Stunden nach Kenntnis.) – (§ 32)
  • Ergreifung von operativen Maßnahmen und Anforderungen ab Oktober 2024. Diese variieren je nachdem, ob ein Unternehmen als “Betreiber kritischer Anlagen”, “Besonders wichtige Einrichtung” oder “wichtige Einrichtung” eingestuft wird. Daher ist unerlässlich, dass NIS2UmsuCG als betroffenes Unternehmen sorgfältig zu analysieren und die erforderlichen Maßnahmen für sich herauszuarbeiten.

Pflichten für alle betroffenen Unternehmen sind unter anderem:

  • Risikomanagementmaßnahmen, Business Continuity Management, dazu gehört zum Beispiel der Einsatz technischer Maßnahmen wie Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
  • Maßnahmen zur Aufrechterhaltung und Wiederherstellung, Back-up-Management, Krisenmanagement
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter

Welche Folgen drohen bei Nichtbeachtung?

Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen von einer Aufsichtsbehörde. Diese verfügen über Kontroll- und Weisungsrecht bei der Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsführer bzw. Leitungsorgane.
Wo finde ich weitere Hilfestellungen?
Infoblatt NIS-2 Mittelstand-Digital Zentrum Handel

“NIS2UmsuCG”-Referentenentwurf liegt vor

Mit der von der EU im Jahr 2023 beschlossenen NIS-2-Richtlinie wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (davon ca. 2.000 KRITIS-Unternehmen).
Deutschland muss die NIS-2 Richtlinie bis zum 17. Oktober 2024 umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“. Am 7. Mai 2024 hat das Bundesministerium des Inneren und für Heimat einen Referentenentwurf für das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes" vorgelegt.
Hinweis:
Die Informationen und Auskünfte der IHK Aachen sind ein ‎Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und ‎erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher ‎Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht ‎übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen ‎Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.‎