Was ist die NIS2-Richtline?

Die NIS2-Richtlinie¹ ist eine neue EU-Richtline im Bereich Cybersicherheit, welche Anfang 2023 in Kraft getreten ist. Ziel der Richtlinie ist es, auf europäischer Ebene ein hohes gemeinsames Cybersicherheitsniveau sicherzustellen. Bis zum Oktober 2024 muss die Richtlinie in nationales, d.h. auch in deutsches Recht überführt werden. Die Arbeiten an einem nationalen Gesetz, bekannt als „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsucG), laufen. Da keine Übergangsfrist zur Umsetzung vorgesehen ist, müssen betroffene Betriebe ab Einführung des Gesetzes die geforderten Sicherheitsanforderungen sicherstellen, Vorfälle anzeigen und sich ggf. bei zuständigen Behörden melden.

Kurz und knapp: was bedeutet die Richtlinie?

Die NIS2-Richtlinie erweitert den Kreis der Unternehmen und Verantwortlichen, die rechtlich zu umfassenden Sicherheitsmaßnahmen verpflichtet werden, deutlich – insbesondere auch über den KRITIS-Sektor hinaus. Mit ihr werden eine Vielzahl von Einrichtungen zur Umsetzung von umfassenden technischen und organisatorischen Maßnahmen (sog. TOM) im Bereich der Informations- und Cybersicherheit verpflichtet. Darüber hinaus müssen diese Unternehmen im Falle eines Cyberangriffs Melde- und Berichtspflichten erfüllen. Auch die Haftungsregelungen, gerade für die Geschäftsleitungen der betroffenen Organisationen, werden verschärft. Sollten die von der Gesetzgebung erfassten Unternehmen die entsprechenden Verpflichtungen nicht, nicht rechtzeitig oder nicht vollständig erfüllen, drohen hohe Bußgelder.

Wer ist betroffen?

NIS2 richtet sich an Unternehmen in gesellschaftlich relevanten Sektoren. Anhand der Sektoren, aber auch der Unternehmensgröße, werden die Unternehmen nochmals in sogenannte wichtige und besonders wichtige Einrichtungen unterteilt. Unternehmen, die in einem der u.g. Sektoren tätig sind und die mindestens 50 Mitarbeitende haben oder einen Jahresumsatz von über 10 Millionen Euro aufweisen, können in den Anwendungsbereich der NIS-2-Richtlinie fallen. Allerdings können auch kleinere Betriebe von der Richtlinie betroffen sein (s. Abschnitt „Bin ich bzw. ist mein Unternehmen betroffen“)!

Sowohl besonders wichtige als auch wichtige Einrichtungen müssen gemäß NIS2 umfangreiche Sicherheitsanforderungen umsetzen. Die Richtlinie fordert dabei jedoch, dass diese sog. Risikomanagementmaßnahmen hinsichtlich der Größe einer Einrichtung, der Wahrscheinlichkeit eines Vorfalls und dessen potenziellen Auswirkungen, z.B. für Wirtschaft und Gesellschaft, verhältnismäßig sind. Ein weiterer Unterschied besteht in der behördlichen Aufsicht: für wichtige Einrichtungen ist eine reaktive Aufsicht nach einem Sicherheitsvorfall vorgesehen, für besonders wichtige Einrichtungen erfolgen Kontrollen regelmäßig und proaktiv.

Zudem soll im Rahmen der Umsetzung der NIS2-Richtlinie in DEU Recht weiterhin auch die Kategorie der kritischen Infrastrukturen erhalten bleiben. KRITIS-Betreiber mit identifizierten kritischen Anlagen bleiben entsprechend reguliert und erhalten aus der NIS2-Richtlinie weitere Anforderungen.

Bin ich bzw. ist mein Unternehmen betroffen?

Es ist vorgesehen, dass Unternehmen eigenständig überprüfen müssen, ob sie in den Anwendungsbereich der Richtlinie fallen. Die o.g. Sektoren und Mitarbeitenden- bzw. Umsatzgrenzen dienen als Einstufungshilfen um festzustellen, ob ein Unternehmen direkt betroffen ist.

Allerdings gibt es weitere Voraussetzungen, unter denen auch Unternehmen direkt oder indirekt betroffen sein können. So können auch Betriebe mit weniger als 50 Mitarbeitenden unter die NIS2-Richtlinie fallen, beispielsweise falls

• ihr Ausfall erhebliche Konsequenzen für die Wirtschaft oder öffentliche Verwaltung hätte.
• es sich um Unternehmen in der Lieferkette handelt, welche Dienstleistungen oder Produkte im Zusammenhang mit bzw. für kritische Sektoren erbringt,
• es sich um Partnerunternehmen und Dienstleister von durch NIS2 regulierte Unternehmen handelt. Denn diese sind angehalten, neben der Sicherung der eigenen Informationssysteme auch die Zusammenarbeit mit weiteren Unternehmen angemessen abzusichern, sodass ein gewisser Kaskadeneffekt zu erwarten ist.

Es ist daher wichtig, sorgfältig und unternehmensspezifisch zu prüfen, ob die NIS2-Richtlinie für das jeweilige Unternehmen gilt. Hierzu können online verfügbare Clicktools eine erste Einschätzung geben, sind jedoch nicht als rechtsverbindliche Analyse zu betrachten. Zu einer selbstständig vorgenommenen Prüfung, ggf. gemeinsam mit Experten, wird dringend geraten.

Zudem gilt der Grundsatz: auch wenn Ihr Unternehmen nicht zum direkten Adressatenkreis der NIS2-Richtlinie zählt, kann es von deren Umsetzung und einem erhöhten Cybersicherheitsniveau profitieren – denn auch die Täter unterscheiden nicht, ob ein Unternehmen von NIS2 erfasst ist oder nicht.

Welche Anforderungen gibt es? Welche Maßnahmen müssen umgesetzt werden?

Grundsätzlich schreibt die Richtlinie vor, „geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen“ zu ergreifen, um Risiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu minimieren. Relevante Bereiche werden in Artikel 21 der NIS2-Richtline weiter konkretisiert:

1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung des Betriebs (Backup-Management, Notfallwiederherstellung, Krisenmanagement)
4. Sicherheit der Lieferkette (Beziehungen zwischen Einrichtungen und Anbietern)
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen in der Cybersicherheit
7. Grundlegende Verfahren der Cyberhygiene und Cybersicherheitsschulungen
8. Einsatz von Kryptografie und Verschlüsselung
9. Sicherheit des Personals, Zugriffskontrolle und Anlagenmanagement
10. Verwendung von Multi-Faktor-Authentifizierung, sichere Kommunikation und Notfallkommunikationssysteme

Dabei müssen die umgesetzten Maßnahmen an das jeweilige Unternehmen sowie an den Stand der Technik angepasst werden. Auch hier gilt es somit, unternehmensindividuell zu analysieren, welche konkreten Maßnahmen es umzusetzen gilt. Des Weiteren sollten Unternehmen insbesondere auch die umfangreichen Berichtspflichten und Haftung der Geschäftsleitung prüfen.

¹ Offizieller Titel: „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148“.

² Weitere Informationen zu den einzelnen Sektoren finden sich in Anlage 1 (besonders wichtige Einrichtungen) und Anlage 2 (wichtige Einrichtungen) der NIS2-Richtlinie.