EU-Richtlinie NIS-2: Verbesserung der Cyber-Sicherheit
Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe in Europa auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie (Verlinkung am Ende dieses Textes) verabschiedet. NIS steht dabei für „Network and Information Security“. Sie erweitert den Anwendungsbereich der ersten NIS-Richtlinie von 2016 erheblich.
Während die ursprüngliche Richtlinie vor allem Betreiber wesentlicher Dienste und Anbieter digitaler Dienste betraf, gilt NIS-2 nun für viele weitere Sektoren und Unternehmen. Ziel ist es, die Resilienz und die Reaktionsfähigkeit auf Cyberbedrohungen in der gesamten EU zu verbessern.
Welche Unternehmen sind ab wann betroffen?
Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Es wird bundesweit mit knapp 30.000 betroffenen Unternehmen gerechnet. Dabei erfolgt eine Kategorisierung in „wichtige“ und „besonders wichtige“ Einrichtungen, die in den Fokus der Richtlinie rücken.
NIS-2 umfasst nun auch mittlere und große Unternehmen in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung. Somit müssen mehr Unternehmen Maßnahmen zur Cybersicherheit ergreifen, um den neuen Anforderungen zu entsprechen.
Der deutsche Gesetzgeber muss die EU-Richtlinie bis zum 18. Oktober 2024 umsetzen. Hierzu hat das Bundeskabinett am 24. Juli 2024 das sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) (vgl. unter „Weitere Informationen“) verabschiedet. Ob dieses noch rechtzeitig beschlossen wird, ist sehr fraglich.
Achtung: Unternehmen müssen selbstständig prüfen, ob sie nach § 28 NIS2UmsuCG betroffen sind. Sie werden nicht automatisch dazu informiert.
Registrierungspflicht bei Betroffenheit
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.
Ein Unternehmen ist betroffen, wenn es Schwellwerte für die Mitarbeitenden-Anzahl oder den Jahresumsatz/die Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.
Betroffenheit aufgrund von Schwellenwert:
Als "besonders wichtige Einrichtungen" gelten:
- Betreiber kritischer Anlagen ("KRITIS-Betreiber")
- Spezielle Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationsanbieter
- Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 des NIS2UmsuCG genannten Sektoren tätig sind.
Als "wichtige Einrichtungen" gelten:
- Spezielle Einrichtungen z. B. für Vertrauensdienste, kleinere Telekommunikationsanbieter
- Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 NIS2UmsuCG genannten Sektoren tätig sind.
Betroffenheit aufgrund von Sektor:
In den Anhängen I und II der EU-Richtlinie (Verlinkung am Ende dieses Textes) sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.
Was müssen betroffene Unternehmen tun?
Der Entwurf des NIS2UmsuCG listet in Kapitel 2 ab § 30 erforderliche Maßnahmen zu ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf. Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird. Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
- Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung - Meldepflichten (§ 32)
- Registrierungspflicht (§§ 33, 34)
- Unterrichtungspflichten (§ 35)
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§ 38)
Welche Folgen drohen bei Nichtbeachtung?
Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen. Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsleiter.
Zusammenarbeit von Wirtschaft und Staat
Ein wichtiger Aspekt von NIS2 ist die Betonung der Zusammenarbeit und des Informationsaustauschs zwischen Unternehmen und nationalen Behörden. Dies soll helfen, Bedrohungen frühzeitig zu erkennen und abzuwehren. Zudem sind regelmäßige Sicherheitsübungen und Schulungen vorgesehen, um die Bereitschaft zu erhöhen.
Fazit
NIS-2 erweitert die Cybersicherheitsanforderungen in Europa erheblich und wird das Sicherheitsniveau erhöhen. NIS-2 verlangt keine Cybersicherheit um jeden Preis. Das Gesetz erfordert Maßnahmen, die an die aktuelle Bedrohungslage angepasst sind. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen und Maßnahmen ergreifen, um die Compliance sicherzustellen.