KRITIS & NIS2: Neue gesetzliche Anforderungen zur IT-Sicherheit

Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union die NIS2-Richtlinie eingeführt. Ab spätestens 18. Oktober 2024 müssen betroffene Unternehmen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.

Was ist KRITIS, was ist NIS2?

Kritische Infrastrukturen, kurz “KRITIS”, sind Organisationen und Einrichtungen, die für das Funktionieren einer Volkswirtschaft von zentraler Bedeutung sind. Ihr Ausfall oder ihre Beeinträchtigung könnte zu langfristigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen gravierenden Konsequenzen führen. Mehr zu KRITIS.
“NIS” steht für Netzwerk und Informationssicherheit bzw. Network and Information Security. Die NIS2-Richtlinie ist eine überarbeitete Version der NIS-Richtlinie der Europäischen Union. Sie wurde am Ende 2022 veröffentlicht und soll die Cybersicherheitsanforderungen in der EU stärken und harmonisieren, um besser auf die wachsenden Bedrohungen und Herausforderungen im Bereich der Cybersicherheit reagieren zu können. Die Richtlinie steht nun vor der Umsetzung in nationales Recht zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz “NIS2UmsuCG“.

Welche Unternehmen sind von NIS2 (NIS2UmsuCG) betroffen?

Sektoren im Überblick

Ein Unternehmen ist betroffen, wenn es
In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" beziehungsweise "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" untergliedert sind. Konkret wird bei NIS2 zwischen “besonders wichtigen Einrichtungen” und “wichtigen Einrichtungen” unterschieden.
Betroffenheitsgrad Unternehmensgröße Sektoren
besonders wichtige Einrichtungen
  • Mindestens 250 Beschäftigte oder
  • Jahresumsatz > 50 Mio. Euro und Jahresbilanz > 43 Mio. Euro
  • Energie
  • Transport
  • Trinkwasser
  • Digitale Infrastruktur inkl. IT-Dienste & Telekommunikation
  • Bankwesen
  • Finanzmärkte
  • Gesundheit
  • Öffentliche Verwaltung
  • Weltraum
wichtige Einrichtungen
  • Mindestens 50 Beschäftigte oder
  • Jahresumsatz und Jahresbilanz jeweils > 10 Mio. Euro
  • Post und Kurier
  • Abfall
  • Chemikalien
  • Lebensmittel
  • Industrie (Herstellung): Medizinprodukte und In-vitro, DV (Computer), Elektronik, Optik, Elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau
  • Digitale Dienste
  • Forschung

Betroffenheit konkret prüfen

Ob Ihr Unternehmen von der NIS2-Umsetzung betroffen ist, können Sie beispielsweise mit Hilfe der "NIS2 Betroffenheitsprüfung" vom Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfen. Folgende Schritte sind darin beschrieben:
  1. Eingabe von Unternehmensdaten: Unternehmen müssen ihre eigenen Daten zu Mitarbeiteranzahl, dem Jahresumsatz und der Jahresbilanzsumme eingeben.
  2. Überprüfung der Brancheneinstufung: Der ermittelte Sektor sollte gegengeprüft werden.
  3. Regelmäßige Wiederholung: Die Prüfung der Betroffenheit sollte regelmäßig wiederholt werden, um Veränderungen durch Wachstum oder Änderung der Tätigkeitsbereiche zu berücksichtigen.
Achtung: Unternehmen werden nicht automatisch informiert, ob sie betroffen sind. Sie sind verpflichtet, dies eigenständig zu prüfen! Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das BSI eine Betroffenheit anordnen.

Was müssen betroffene Unternehmen tun?

Das NIS2UmsuCG listet erforderliche Maßnahmen unter den Abschnitten “Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten” auf.
Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als “Betreiber kritischer Anlagen”, “besonders wichtige Einrichtung” oder “wichtige Einrichtung” eingestuft wird.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
  • Risikomanagementmaßnahmen
  • Business Continuity Management
  • Meldepflichten
  • Registrierungspflicht
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
  • Einsatz technischer Maßnahmen wie zum Beispiel Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
Für “Betreiber kritischer Anlagen” gelten zusätzlich spezifische Anforderungen.
Wichtig: Alle umgesetzten Sicherheitsmaßnahmen müssen durch eine umfassende und nachvollziehbare Dokumentation nachweisbar sein. Der Schwerpunkt liegt dabei auf der fortlaufenden Überprüfung und Optimierung, um das Schutzniveau zu gewährleisten und den Anforderungen gerecht zu werden.
Zahlreiche Fragen zu NIS2 beantwortet das BSI in einem Fragenkatalog.

Welche Sanktionen drohen bei Nichtbeachtung?

Außer der Meldepflicht für Vorfälle verschärft NIS2 auch die Sanktionen.
  • Sollten die geforderten Vorgaben nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen.
  • Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung.
  • Zudem existiert eine persönliche Haftung der Geschäftsleiter.
Bei besonders wichtigen Einrichtungen können die Bußgelder bis zu zehn Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
Bei wichtigen Einrichtungen ist das maximale Bußgeld auf sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Die NIS2-Richtlinie sieht auch vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der IT-Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal zwei Prozent des weltweiten Jahresumsatzes betragen.
IHK-Newsletter
Bleiben Sie up to date zum Thema Digitale Wirtschaft! Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik “Digitale Wirtschaft” abonnieren.