IHK-Ratgeber

NIS-2: EU-Richtlinie zur Verbesserung der Cyber-Sicherheit

Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe in Europa auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie verabschiedet. NIS steht dabei für „Network and Information Security“. Sie erweitert den Anwendungsbereich der ersten NIS-Richtlinie von 2016 erheblich. Während die ursprüngliche Richtlinie vor allem Betreiber wesentlicher Dienste und Anbieter digitaler Dienste betraf, gilt NIS-2 nun für viele weitere Sektoren und Unternehmen. Ziel ist es, die Resilienz und die Reaktionsfähigkeit auf Cyberbedrohungen in der gesamten EU zu verbessern.

Welche Unternehmen sind betroffen?

Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Es wird bundesweit knapp 30.000 betroffenen Unternehmen gerechnet. Dabei erfolgt eine Kategorisierung in „wichtige“ und „besonders wichtige“ Einrichtungen, die in den Fokus der Richtlinie rücken.
EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)
NIS-2 umfasst nun auch mittlere und große Unternehmen in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung. Somit müssen mehr Unternehmen Maßnahmen zur Cybersicherheit ergreifen, um den neuen Anforderungen zu entsprechen. Ob Unternehmen gemäß §28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.
Zur NIS-2-Betroffenheitsprüfung des BSI
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.
Ein Unternehmen ist betroffen, wenn es Schwellwerte für die Mitarbeitenden-Anzahl oder den Jahresumsatz/die Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.
Schwellwerte
  • Als "besonders wichtige Einrichtungen" gelten:
    • Betreiber kritischer Anlagen ("KRITIS-Betreiber")
    • Spezielle Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationanbieter
    • Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 genannten Sektoren tätig sind.
  • Als "wichtige Einrichtungen" gelten:
    • Spezielle Einrichtungen z. B. für Vertrauensdienste, kleinere Telekommunikationanbieter
    • Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 genannten Sektoren tätig sind.
Sektoren
In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.

Was müssen betroffene Unternehmen tun?

Der Entwurf des NIS2UmsuCG listet in Kapitel 2 ab §30 erforderliche Maßnahmen zu ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf. Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird. Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
  • Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
    Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
  • Meldepflichten (§32)
  • Registrierungspflicht (§§ 34, 34)
  • Unterrichtungspflichten (§35)
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)

Welche Folgen drohen bei Nichtbeachtung?

Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen. Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsleiter.

Zusammenarbeit von Wirtschaft und Staat

Ein wichtiger Aspekt von NIS2 ist die Betonung der Zusammenarbeit und des Informationsaustauschs zwischen Unternehmen und nationalen Behörden. Dies soll helfen, Bedrohungen frühzeitig zu erkennen und abzuwehren. Zudem sind regelmäßige Sicherheitsübungen und Schulungen vorgesehen, um die Bereitschaft zu erhöhen.

Fazit

NIS-2 erweitert die Cybersicherheitsanforderungen in Europa erheblich und wird das Sicherheitsniveau erhöhen. NIS-2 verlangt keine Cybersicherheit um jeden Preis. Das Gesetz erfordert Maßnahmen, die an die aktuelle Bedrohungslage angepasst sind. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen und Maßnahmen ergreifen, um die Compliance sicherzustellen.

Status zum deutschen Gesetzgebungsverfahren

Den Gesetzentwurf zur Umsetzung in deutsches Recht hat das Bundeskabinett am 24. Juli verabschiedet. Für die Wirtschaft wird es zukünftig darum gehen, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) des Bundes einzuhalten. Eine Umsetzung der Richtlinie bis zum 18. Oktober 2024 – wie von der EU vorgesehen – ist nach Angaben des Bundesinnenministeriums allerdings sehr unwahrscheinlich.

Zum finalen Regierungsentwurf
Stellungnahme der IHK-Organisation über die DIHK
Hinweis:
Die Informationen und Auskünfte der IHK Nord Westfalen sind ein ‎Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und ‎erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher ‎Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht ‎übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen ‎Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.‎