Was NIS-2 für Ihr Unternehmen bedeutet
Als Reaktion auf die zunehmenden Bedrohungen durch Cyberkriminalität hat die Europäische Union die NIS-2-Richtlinie für einheitliche Vorschriften zur Stärkung der Cyber-Resilienz auf den Weg gebracht. Das Bundesinnenministerium hat ein entsprechendes Umsetzungsgesetz, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, erarbeitet. Doch welche Unternehmen betrifft das? Und was müssen sie tun?
EU-Hintergrund zur NIS-2-Richtlinie
NIS ist die Abkürzung für Network Information Security (NIS). Die am 16. Januar 2023 in Kraft getretene EU-Richtlinie NIS-2 ist eine Weiterentwicklung der EU-Richtlinie NIS-1 aus dem Jahr 2016 (EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union). Ziel der aktuellen Richtlinie ist es, verbindliche Maßnahmen für die Verwaltung und Wirtschaft einzuführen. Damit soll ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union gewährleistet werden. Richtlinien entfalten keine unmittelbare Wirkung. Daher sind die Mitgliedstaaten verpflichtet, die NIS-2-Richtlinie in nationales Recht umzusetzen, damit sie wirksam wird. In Deutschland geschieht dies durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG).
Stand des NIS-2-Umsetzungsgesetzes
Die NIS-2-Richtlinie und das entsprechende Umsetzungsgesetz sind Rechtsakte im Bereich der Cybersicherheit. Innerhalb der deutschen Bundesregierung ist das Bundesministerium des Innern und für Heimat (BMI) zuständig. Das BMI hat daher auch einen Entwurf für ein Umsetzungsgesetz, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2), erarbeitet. Am 24. Juli 2024 hat das Bundeskabinett das NIS-2-Gesetz beschlossen (BMI - Gesetzgebungsverfahren - NIS2). Der Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie wurde am 11. Oktober in erster Lesung im Bundestag behandelt und anschließend zur Beratung an den Innenausschuss überwiesen. Es wird nach abschließender Beratung und Beschlussfassung im Bundestag zu dem im Gesetz genannten Termin in Kraft treten. Ein Termin kann heute noch nicht genannt werden.
NIS-2 Anwendungsbereich
Die Zahl der Unternehmen, die von NIS-2 betroffen sind, nimmt zu. Dies ist auf die Ausweitung der Sektoren zurückzuführen. Schätzungsweise 30.000 Unternehmen in Deutschland können in den Anwendungsbereich der NIS-2 fallen. Welche Unternehmen betroffen sind, hängt von verschiedenen Faktoren ab. Dazu gehören die Branche, die Unternehmensgröße, der Jahresumsatz und die Jahresbilanzsumme.
Grundsätzlich gilt: Unternehmen, die Waren oder Dienstleistungen gegen Entgelt in einem „gesellschaftlich oder wirtschaftlich relevanten Sektor“ anbieten UND mindestens 50 Mitarbeiter beschäftigen ODER einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mehr als 10 Mio. EUR aufweisen, sind von NIS-2 betroffen. In besonderen Fällen können auch kleinere Unternehmen von NIS-2 betroffen sein, z.B. wenn ihr Ausfall erhebliche Auswirkungen auf die Wirtschaft oder die öffentliche Verwaltung hätte oder wenn sie Zulieferer der betroffenen Unternehmen sind.
Grundsätzlich gilt: Unternehmen, die Waren oder Dienstleistungen gegen Entgelt in einem „gesellschaftlich oder wirtschaftlich relevanten Sektor“ anbieten UND mindestens 50 Mitarbeiter beschäftigen ODER einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mehr als 10 Mio. EUR aufweisen, sind von NIS-2 betroffen. In besonderen Fällen können auch kleinere Unternehmen von NIS-2 betroffen sein, z.B. wenn ihr Ausfall erhebliche Auswirkungen auf die Wirtschaft oder die öffentliche Verwaltung hätte oder wenn sie Zulieferer der betroffenen Unternehmen sind.
Das erste Kriterium zur Bestimmung der Betroffenheit ist die Zugehörigkeit zu einem bestimmten Sektor. Der Gesetzgeber unterscheidet zwischen “Sektoren besonders wichtiger Einrichtungen” sowie “Sektoren wichtiger Einrichtungen”.
| Sektoren besonders wichtiger Einrichtungen | Sektoren wichtiger Einrichtungen |
| 1. Energie 2. Transport und Verkehr 3. Finanzwesen 4. Gesundheit 5. Wasser 6. Digitale Infrastruktur 7. Weltraum |
1. Post- und Kurierdienste 2. Abfallbewirtschaftung 3. Produktion, Herstellung und Handel mit chemischen Stoffen 4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln 5. Verarbeitendes Gewerbe/Herstellung von Waren 6. Anbieter digitaler Dienste 7. Forschung |
Als zweites Kriterium werden wirtschaftliche Kennzahlen und die Unternehmensgröße herangezogen. Von Bedeutung sind die Anzahl der Beschäftigten, der Jahresumsatz und die Jahresbilanz. Diese Kennzahlen bilden die Grundlage für die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“. Unabhängig von der Unternehmensgröße können auch Betriebe wie Betreiber kritischer Anlagen oder qualifizierte Vertrauensdiensteanbieter in den Anwendungsbereich von NIS-2 fallen. Die folgende Tabelle zeigt, welche Einrichtungen unter NIS-2 fallen.
|
Mitarbeitende
|
|
Jahresumsatz
|
|
Bilanzsumme
|
Einrichtungskategorie
|
|
|
≥ 50
|
ODER
|
> 10 Mio. €
|
UND
|
> 10 Mio. €
|
= |
Wichtige Einrichtungen
|
|
≥ 250
|
ODER
|
> 50 Mio. €
|
UND
|
> 43 Mio. €
|
= |
Besonders wichtige Einrichtungen
|
Welche Auswirkungen hat es für ein Unternehmen, wenn es einerseits besonders wichtig oder andererseits nur wichtig ist? Für die zu erfüllenden Sicherheitsanforderungen (vgl. § 30 BSIG-E) macht es keinen Unterschied, ob das Unternehmen eine besonders wichtige oder eine wichtige Einrichtung im Sinne des § 28 BSIG-E ist. Hinsichtlich der Aufsicht und der Sanktionen hat die Zuordnung zu den verschiedenen Einrichtungskategorien jedoch Auswirkungen.
Hinweis: Für die Überprüfung der Betroffenheit im Sinne von NIS-2 sind die Unternehmen selbst verantwortlich. Die oben genannten Sektoren und Größenschwellen dienen als Einordnungshilfen.
NIS-2 Kernanforderungen
Betroffene Unternehmen müssen eine Reihe von Pflichten erfüllen:
- Risikomanagementmaßnahmen: Grundsätzlich gilt: „Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, [...], zu ergreifen“ (§ 30 Abs. 1 BSIG-E), um Risiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu minimieren. Außerdem sind bei der Bewertung der Verhältnismäßigkeit der Maßnahmen folgende Kriterien zu berücksichtigen: Ausmaß der Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen und gesellschaftliche und wirtschaftliche Auswirkungen. Die Risikomanagementmaßnahmen sollen den Stand der Technik einhalten und müssen mindestens folgendes umfassen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Pläne zur Betriebsaufrechterhaltung und zum Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierung
- Dokumentationspflicht: Die Einhaltung der Maßnahmen ist durch die Einrichtung zu dokumentieren.
- Meldepflicht: Betroffene Unternehmen sind verpflichtet, Sicherheitsvorfälle bei einer zuständigen Behörde zu melden.
- Registrierungspflicht: Betroffene Einrichtungen müssen sich binnen 3 Monaten, nachdem sie als besonders wichtige oder wichtige Einrichtungen gelten, registrieren.
- Unterrichtungspflicht: Die Kunden der betroffenen Unternehmen müssen über den Sicherheitsvorfall informiert werden.
- Die Leitungsorgane (Geschäftsführer/in bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaften) haben die Umsetzung der Risikomanagementmaßnahmen sicherzustellen und zu überwachen, haften der Einrichtung für einen schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.
Hinweis: Für Betreiber kritischer Anlagen gelten erweiterte Risikomanagementmaßnahmen und Nachweispflichten.
Frist für die Umsetzung der Anforderungen
Ursprünglich sollte das Umsetzungsgesetz am 18. Oktober 2024 in Kraft treten. Dies wird sich jedoch verzögern. Ein neuer Termin kann heute noch nicht genannt werden. Das heißt aber nicht, dass betroffene Unternehmen nicht aktiv werden sollten. Denn der aktuelle Gesetzentwurf des BMI sieht keine Übergangsfristen für die Umsetzung der Anforderungen vor. Betroffene Einrichtungen müssen die Sicherheitsmaßnahmen ab Inkrafttreten des Gesetzes erfüllen.
Sanktionen
Unternehmen, die sich nicht an die NIS-2 Anforderungen halten, müssen mit hohen Geldstrafen rechnen.
| Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
|
Geldbuße bis zu 10 Mio. EUR
oder
2% des Jahresumsatzes
|
Geldbuße bis zu 7 Mio. EUR
oder
1,4% des Jahresumsatzes
|
Tipps zur Betroffenheit und Umsetzung
- NIS-2-Betroffenheitsprüfung des BSI
- "CyberSicherheitsCheck" – Einstiegsberatung zur Cybersicherheit für KMU
Aktuelle Veranstaltungen
2. Präsenz-Treffen des Cyber-Sicherheitsnetzwerks Südlicher Oberrhein
Datum: 22. November 2024
Uhrzeit: 13:00 Uhr bis 17:00 Uhr
Ort: Haufe Group, Munzinger Straße 9, 79111 Freiburg
Schwerpunkt des Netzwerktreffens: NIS2 Umsetzungsgesetz & Workshop zur Umsetzung der NIS2-Vorgaben.
Anmeldung über die IHK Südlicher Oberrhein hier.
Datum: 22. November 2024
Uhrzeit: 13:00 Uhr bis 17:00 Uhr
Ort: Haufe Group, Munzinger Straße 9, 79111 Freiburg
Schwerpunkt des Netzwerktreffens: NIS2 Umsetzungsgesetz & Workshop zur Umsetzung der NIS2-Vorgaben.
Anmeldung über die IHK Südlicher Oberrhein hier.
Dieser Fachartikel wird laufend aktualisiert und enthält immer alle aktuellen Informationen (Stand: 29.10.2024)!