Die Europäische Union hat im Jahr 2016 mit der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 1) Vorschriften zur Cybersicherheit eingeführt. NIS 1 verpflichtete die EU-Mitgliedsstaaten, Betreiber „kritischer Dienste“ zu ermitteln und für diese bestimmte Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle einzuführen. Die Richtlinie wurde zeitnah in nationale Regelungen überführt.
Die nationalen Umsetzungen erfolgten jedoch uneinheitlich und sehr unterschiedlich, sodass vergleichbare Unternehmen in manchen der 27 EU-Staaten als kritische Dienste oder Betreiber eingestuft wurden, in anderen dagegen nicht. Mit der Neufassung der NIS-Richtlinie (NIS 2) schafft die EU nun Klarheit und legt genau fest, welche Unternehmen zu den kritischen Diensten gehören und welche Anforderungen für sie gelten. Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten.
Deutliche Ausweitung des Geltungsbereichs
Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS 2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden:
Wesentliche Einrichtungen (Essential Entities) sind demnach Unternehmen, die in den Bereichen Energie; Straßen-, Schienen, Luft- und Schiffsverkehr; Wasser; Digitale Infrastruktur und ITDienste; Bank- und Finanzwesen; Gesundheit; Öffentliche Verwaltung oder Raumfahrt tätig sind.
Zu den wichtigen Einrichtungen (Important Entities) werden Unternehmen folgender Bereiche gezählt: Abfallwirtschaft; Post und Kurierdienste; Chemische Erzeugnisse; Lebensmittel; Hersteller; Digitale Anbieter und Forschungseinrichtungen.
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen: Mittlere Unternehmen haben 50 bis 250 Mitarbeiter, 10 bis 50 Millionen Euro Umsatz und eine Bilanzsumme kleiner als 43 Millionen Euro. Große Unternehmen haben mehr als 250 Mitarbeiter, mehr als 50 Millionen Euro Umsatz und eine Bilanzsumme größer als 43 Millionen Euro.
Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, massiv erhöht. NIS 2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden. Allein in Deutschland werden etwa 30.000 Unternehmen von NIS 2 betroffen sein.