NIS-2: Was Unternehmen jetzt wissen müssen

Mit der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. Viele sind zudem als Lieferanten möglicherweise indirekt betroffen.

Hintergrund

NIS-2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS-2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen drohen hohe Geldstrafen.
In Deutschland erfolgt momentan noch die Umsetzung in nationales Recht mit dem “NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz” oder auch kurz NIS2UmsuCG. Bislang gibt es einen Gesetzesentwurf, der bereits aufzeigt, wie die Richtlinie in Deutschland umgesetzt werden wird. Das Gesetz hat am 24.07.2024 das Bundeskabinett passiert. Ein Beschluss des Deutschen Bundestages steht noch aus.

Betroffenheit

Ob ein Unternehmen betroffen ist, muss dieses eigenständig prüfen. Es wird hierzu nicht automatisch informiert. Betroffen ist ein Unternehmen dann, wenn es Schwellenwerte für die Anzahl der Mitarbeiter oder des Jahresumsatzes und der Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.
  • Von dem Gesetz werden zum einen „besonders wichtige Einrichtungen“ erfasst. Hierunter fallen neben den Betreibern kritischer Anlagen (sog. KRITIS-Unternehmen) auch Unternehmen mit mindestens 250 Mitarbeiter oder über 50 Mio. € Jahresumsatz und zudem einer Jahresbilanzsumme von über 43 Mio. € aus beispielsweise folgenden Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswirtschaft, Gesundheit, Wasser, Digitale Infrastruktur.
  • Zum anderen fallen auch „wichtige Einrichtungen“ in den Anwendungsbereich des Gesetzes. Hierzu zählen Unternehmen aus den o.g. Sektoren sowie beispielsweise Post- und Kurierdienste, Unternehmen aus Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe und Herstellung von Waren, die mindestens 50 Mitarbeiter beschäftigten oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. € aufweisen.

Maßnahmen

Der Gesetzesentwurf listet eine Reihe von Maßnahmen auf, die die betroffenen Unternehmen erfüllen müssen. Die Anforderungen variieren allerdings danach, ob es sich um eine besonders wichtige Einrichtung, eine wichtige Einrichtung oder um einen Betreiber kritischer Anlagen handelt.
  • Registrierungspflicht für alle betroffenen Unternehmen beim Bundesamt
  • Meldepflicht von Sicherheitsvorfällen an eine Meldestelle innerhalb eines vorgegebenen Zeitraums
  • bei erheblichen Sicherheitsvorfällen: unverzügliche Unterrichtung der Empfänger der Dienste über den Sicherheitsvorfall (kann Bundesamt anordnen)
  • Einrichtung von Informationssicherheitsmanagementsystemen (ISMS)
  • Durchführung von Risikoanalysen
  • Ergreifung von technischen und organisatorischen Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten
  • Ergreifung von Risikomanagementmaßnahmen (z. B. Konzepte für die Zugriffskontrollen, Einsatz von Kryptografie, Verschlüsselung oder Multi-Faktor-Authentifizierung).
All diese Maßnahmen sind vom Geschäftsführer umzusetzen und auch zu überwachen.
Für Betreiber kritischer Anlagen gelten zusätzlich spezifische Anforderungen.

Folgen

Im Falle der Nichteinhaltung der oben genannten Sorgfalts- und Meldepflichten drohen Bußgelder für alle genannten Einrichtungen. Der Gesetzesentwurf sieht Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes des Unternehmens vor. Die Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Überwachung und Bewertung bzw. Erkennung von Risiken zu haben.

Angebote des BSI

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) wird eine zentrale Rolle bei der Umsetzung von NIS-2 in Deutschland erhalten, z.B. als Registrierungs- und Meldestelle. Um potenziell von neuen gesetzlichen Pflichten betroffene Unternehmen schon während des laufenden Gesetzgebungsverfahrens zu informieren, hat das BSI Unterstützungsangebote veröffentlicht:
  • Eine Betroffenheitsprüfung enthält konkrete, an der NIS-2-Richtlinie orientierte Ja/Nein-Fragen, um Unternehmen in vier Kategorien einzuordnen: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen. Sobald das geänderte BSI-Gesetz verabschiedet wurde, wird das BSI die Prüfung aktualisieren. Dann wird es für die nach der neuen Gesetzeslage zur Registrierung verpflichteten Unternehmen möglich sein, sich beim BSI zu registrieren.
  • Ein FAQ-Katalog umfasst Fragen und Antworten zu den wichtigsten Themen von NIS-2, etwa zur Betroffenheit, zu Ansprechstellen und gesetzlichen Pflichten.
  • Ein Maßnahmenkatalog informiert darüber, was jetzt schon unternommen werden kann, um gut vorbereitet zu sein.
Am 22.08.2024 findet in der SIHK ab 16 Uhr eine Informationsveranstaltung zu Cybersicherheit und NIS-2 statt.
Weitere Informationen zur Veranstaltung
Anmeldung zur Veranstaltung