Der lange Weg von NIS zu NIS2
Im Jahre 2016 trat die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (kurz: NIS-Richtlinie) in Kraft. Sie sollte ein hohes Sicherheitsniveau für Netzwerke und Informationssysteme kritischer und sensibler Infrastrukturen in den EU-Mitgliedsländern gewährleisten, also bei Sicherheitsvorfällen zum Tragen kommen. Die Regulierung stellt somit den europäischen Rechtsrahmen für IT-Sicherheit (Cybersecurity) in Kritischen Infrastrukturen (KRITIS) dar. Dieses Regelwerk hat inzwischen ein „Update“ erhalten.
Info
Wofür steht NIS2?
Die Abkürzung NIS2 steht für „The Network and Information Security (NIS) Directive“. Es handelt sich um eine überarbeitete Version der aktuellen Richtlinie für Netz- und Informationssicherheit (NIS1-Richtlinie), daher die Nummer 2.
Im Jahr 2021 wurde damit begonnen, die NIS-Richtlinie zu überarbeiten. Das Europaparlament hat im November 2022 die überarbeitete Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148 (kurz: NIS2) beschlossen. Sie soll den bestehenden Geltungsbereich angesichts der zunehmenden Digitalisierung und stetig wachsender Bedrohungen für die Cybersicherheit modernisieren.
Tipp
CER-Richtlinie und KRITIS-Dachgesetz sollen physische Sicherheit und Resilienz von KRITIS verbessern
Ergänzend regelt die sog. CER-Richtlinie Vorgaben im Hinblick auf die physische Sicherheit und Resilienz von Kritischen Infrastrukturen u. a. wichtigen Einrichtungen. In Deutschland soll diese EU-Richtlinie durch das sog. KRITIS-Dachgesetz umgesetzt werden.
Die NIS-2-Richtlinie (engl. NIS2 Directive) ist am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht worden und am 16. Januar 2023 in Kraft getreten. ENISA (European Agency for Cybersecurity) ist sich sicher, mit NIS2 den vorhandenen Status der Cybersicherheit in der gesamten EU auf unterschiedliche Weise zu verbessern. Diese Richtlinie enthält unter anderem folgende Informationen:
- Hintergründe: Warum sollen NIS2-Maßnahmen umgesetzt werden?
- Intention: Welche Absichten sind mit den NIS2-Änderungen verbunden?
- Branchen: Welche Wirtschaftszweige sind von der NIS2-Richtlinie betroffen?
- Vorgehen: Wie können Unternehmen die NIS2-Vorkehrungen umsetzen?
- Maßnahmen: Was müssen Unternehmen im Rahmen der NIS-Umsetzung tun?
- Firmenausmaße: Wie verläuft die Einteilung von Unternehmensgrößen nach der NIS2-Richtlinie?
- Sanktionen: Was passiert mit Unternehmen, die die NIS2-Regelungen nicht einhalten?
Info
Ab wann gilt die NIS2-Richtlinie für Unternehmen?
Bis zum 18. Oktober 2024 hätte NIS2 in deutsches Recht umgesetzt werden müssen. Aktuell läuft das Gesetzgebungsverfahren aber noch. Angestrebt ist nun eine Umsetzung zum Ende des ersten Quartals 2025.
Was kommt mit diesem Sicherheitsgesetz auf deutsche Unternehmen zu?
Das Ziel von NIS2: mehr Cybersicherheit
In der NIS2-Richtlinie werden Maßnahmen festgelegt, mit denen auf dem Gebiet der gesamten EU (Europäische Union) ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts zu verbessern. Doch welche Ziele verfolgen die NIS2-Sicherheitsanforderungen? Nach Inkrafttreten der NIS2-Richtlinie werden u. a. folgende Aspekte geregelt:
- Die Pflicht für alle EU-Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige nationale Behörden, Behörden für das Cyberkrisenmanagement, zentrale Anlaufstellen für Cybersicherheit und Computer-Notfallteams (CSIRT) zu benennen oder einzurichten
- Pflichten in Bezug auf das Risikomangement der Cybersicherheit sowie Berichtspflichten für bestimmte kritische Einrichtungen
- Vorgaben zum Austausch von Cybersicherheitsinformationen
- Aufsichts- und Durchsetzungspflichten für die EU-Mitgliedstaaten
Auf alle von NIS2 erfassten Unternehmen kommen daher vielfältige Anforderungen zu. Die entscheidende Frage lautet also: Welche Unternehmen werden denn eigentlich erfasst?
Anwendungsbereich von NIS2: Welche Unternehmen sind betroffen?
Im Vergleich zur alten NIS-Richtlinie hat NIS2 einen deutlich erweiterten Anwendungsbereich. Es sollen bereits Einrichtungen (Unternehmen sowie Behörden) erfasst werden, die die folgenden Kriterien erfüllen:
- Fachbereich: Zugehörigkeit zu jedenfalls einem von 18 Sektoren (Branchen), unterteilt in „wesentliche Einrichtungen“ (engl.: „essential entities“) und „wichtige Einrichtungen“ (engl.: „important entities“)
- Unternehmensgröße: Einordnung als mittlere oder große Institution
- Ausnahmen: Einstufung als „Sonderfall“
Wesentliche Einrichtungen nach NIS2: Welche Betriebe sind hiervon erfasst?
Wer als wesentliche Einrichtung im Sinne von NIS2 zählt, der muss die gesetzlichen Vorgaben umsetzen, und zwar unabhängig von Beschäftigtenanzahl oder Umsatz- bzw. Bilanzsumme. Wesentliche Einrichtungen werden in den folgenden Bereichen angesiedelt:
- Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
- Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankenwesen (Kreditinstitute)
- Finanzmärkte (Handelsplätze, Zentrale Gegenpartien)
- Gesundheit (Gesundheitsdienstleister, EU-Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
- Trinkwasser (Wasserversorgung)
- Abwasserwirtschaft (Abwasserentsorgung)
- digitale Infrastrukturen (Internet-Knoten (IXP), DNS-Anbieter, Top-Level-Domain-Registrare (z.B. die Denic für DE-Domains), Cloud-Provider, Rechenzentren, Content Delivery Networks (CDN), Vertrauensdienste (TSP), Elektronische Kommunikation)
- ICT Service Management (IT-Service-Anbieter)
- öffentliche Verwaltung (Zentralregierung, regionale Regierung)
- Weltraum (Bodeninfrastruktur).
Wichtige Einrichtungen nach NIS2: Welche Institutionen zählen dazu?
Was gilt nach NIS2 als wichtige Einrichtung? In diesem Fall gilt es zwischen mittleren und großen Unternehmen sowie bestimmten Sonderfällen zu unterscheiden. Generell fallen folgende Bereiche unter den NIS2-Begriff der wichtigen Einrichtungen:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemikalien (Produktion, Herstellung und Handel)
- Lebensmittel (Produktion, Herstellung und Handel)
- Herstellung bestimmter industrieller Produkte (Medizinprodukte und In-vitro, Datenverarbeitung / Computer, Elektronik, Optik, elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau)
- digitale Dienste (Marktplätze, Suchmaschinen, Soziale Netzwerke)
- Forschung (Forschungsinstitute)
Einordnung als mittlere oder große Einrichtung
Die Größenordnungen für mittlere bzw. große Unternehmen unterteilen sich wie folgt:
- mittlere Unternehmen: 50 bis 250 Mitarbeiter, 10 bis 50 Mio. Euro Umsatz, Bilanzsumme kleiner als 43 Mio. Euro
- große Unternehmen: mehr als 250 Mitarbeiter, mehr als 50 Mio. Euro Umsatz, Bilanzsumme größer als 43 Mio. Euro
Nach Ansinnen der EU sollen Klein- und Kleinstunternehmen von den NIS2-Vorgaben ausgeschlossen sein:
- kleine Unternehmen: weniger als 49 Beschäftigte und weniger 10 Mio. Euro Umsatz bzw. Bilanzsumme
- Kleinstunternehmen: weniger als 9 Beschäftigte und weniger als 2 Mio. Euro Umsatz bzw. Bilanzsumme
Tipp
NIS2-Checker helfen bei der Betroffenheitsprüfung
Die Prüfung, ob das eigene Unternehmen nun die Voraussetzungen für ein mittleres bzw. großes Unternehmen erfüllt und ob es zu den wesentlichen bzw. wichtigen Einrichtungen zählt, muss jedes Unternehmen selbst prüfen. Als Hilfestellungen können sog. NIS2-Checker dienen, die auf verschiedenen Internetseiten zu finden sind. Eine Auswahl:
- „NIS2 Quick-Check“ der Kanzlei Reusch Law
- „NIS-2-Check“ der Kanzlei Oppenhoff
- „NIS2-Betroffenheitsanalyse“ von PricewaterhouseCoopers
- „NIS2-Betroffenheitsanalyse“ beim NIS2-Navigator
Einstufung als „Sonderfall“
Hinzu kommen noch bestimmte „Sonderfälle“, die in den einzelnen EU-Mitgliedstaaten als „wichtig“ eingestuft werden. Dies kann anhand folgender Kriterien geschehen:
- einzelne Betreiber, die national essenziell für Gesellschaft und Wirtschaft sind
- Betreiber, deren Ausfall einen signifikanten Effekt auf die öffentliche Sicherheit oder Gesundheit hätte
- Betreiber, deren Ausfall ein signifikantes systemisches Risiko für Sektoren und grenzüberschreitende Abhängigkeiten darstellt
- Betreiber, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
Tipp
Betroffene Unternehmen unterliegen einer Meldepflicht
Wer unter NIS2 bzw. die nationalen Regelungen fällt, der muss sich bei der zuständigen nationalen Behörde melden und u. a. die Unternehmensbezeichnung nebst Anschrift und Kontaktdaten sowie die Liste aller EU-Mitgliedstaaten einreichen, in denen eine Tätigkeit erfolgt. In Deutschland wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür zuständig sein.
Hier gilt es abzuwarten, welche Betreiber nach der NIS2-Umsetzung ins deutsche Recht als solche „Sonderfälle“ eingestuft werden.
Tipp
NIS2-Umsetzungsgesetz (NIS2UmsuCG) setzt NIS2-Richtlinie in deutsches Recht um
Das deutsche NIS2-Umsetzungsgesetz ist auf dem Weg, es besteht bereits ein Referentenentwurf. Bis spätestens zum 17. Oktober 2024 muss die NIS2-Richtlinie in nationales Recht umgesetzt werden. Der deutsche Gesetzgeber wird die Formulierungen wohl etwas ändern und spricht z. B. von „wichtigen“ und „besonders wichtigen“ Einrichtungen sowie zusätzlich von kritischen Anlagen (dem sog. KRITIS-Bereich, der hierzulande schon besteht und z. B. durch das BSI-Gesetz oder auch die KRITIS-Verordnung reguliert ist). Da NIS2 als EU-Richtlinie lediglich den Rahmen absteckt, wird es im deutschen Recht noch andere Abweichungen in einzelnen Details geben. Hier bleibt die finale Fassung des NIS2-Umsetzungsgesetzes abzuwarten.
Diese Neuerungen bringt NIS2 mit sich
Neben dem im Vergleich zur ursprünglichen NIS1-Richtlinie stark ausgeweiteten Anwendungsbereich hat NIS2 noch weitere Auswirkungen. So wird insbesondere der Bereich Cybersecurity zukünftig nicht nur im eigenen Unternehmen, sondern auch in der gesamten Lieferkette zu berücksichtigen sein. Außerdem werden die Aufsicht und Zusammenarbeit innerhalb der Europäischen Union zwischen Behörden und Betreibern vertieft.
Diese Cybersecurity-Maßnahmen müssen ergriffen werden
Die von NIS2 erfassten Einrichtungen müssen u. a. folgende Maßnahmen für die Cybersecurity ergreifen:
- Richtlinien für Risiken und Informationssicherheit erstellen und umsetzen
- Prävention, Detektion und Bewältigung von Cybersecurity-Vorfällen (Sicherheitspannen)
- Betrieb eines Business Continuity Managements (BCM) inkl. Backup- bzw. Krisen-Management
- Gewährleistung der Sicherheit bei der Beschaffung von IT- und Netzwerk-Systemen
- Beachtung von Vorgaben für Kryptographie bzw. Verschlüsselung
- Umsetzung angemessener Maßnahmen zur Zugangskontrolle
- Einsatz sicherer Sprach-, Video- und Text-Kommunikation
- Einsatz gesicherter Notfall-Kommunikations-Systeme
- Überprüfung der Sicherheit in der gesamten Lieferkette
- Schulung und Sensibilisierung von Beschäftigten
Die „Hausaufgaben“, die auf von NIS2 erfasste Einrichtungen zukommen, sind also mit hohem Aufwand verbunden. Hier gilt es, frühzeitig zu prüfen, ob man unter NIS2 bzw. die entsprechenden deutschen Regelungen fällt und – falls ja – welche Maßnahmen zu treffen sind. Es gilt insbesondere, frühzeitig ausreichende Ressourcen in finanzieller, personeller und zeitlicher Hinsicht einzuplanen.
Tipp
ISO-Norm 27001 hilft bei der Vorbereitung auf die NIS2
Da es einige Überschneidungen der Anforderungen in der NIS2-Richtlinie und der ISO-Norm 27001 gibt, kann man sich bei der Vorbereitung auf NIS2 an den ISO-Regelungen orientieren. Gut aufgestellt sind daher solche Einrichtungen, die nach ISO 27001 bereits zertifiziert sind.
Sanktionen bei Verstößen gegen NIS2-Vorgaben
Die Sanktionen bei etwaigen Verstößen gegen die NIS2-Vorgaben sollen durch die einzelnen Mitgliedsstaaten geregelt werden. Allerdings sieht das Gesetz vor, dass diese „wirksam, verhältnismäßig und abschreckend“ sein müssen. Gegen kritische Einrichtungen sollen bei Verstößen Geldbußen von bis zu 10 Mio. Euro oder 2 % des gesamten weltweit im vorangegangenen Geschäftsjahr getätigten Umsatzes verhängt werden können. Wichtige Einrichtungen können bis zu 7 Mio. Euro oder 1,4 % des Jahresumsatzes des gesamten Vorjahres als Bußgeld aufgebrummt bekommen.
Achtung
Geschäftsführer haften gegebenenfalls auch persönlich
Geschäftsführer und auch Leitungspersonen können gemäß NIS2 für etwaige Schäden, die durch Missachtung ihrer Pflicht zum Cyberrisikomanagement entstehen, ggf. auch persönlich, d. h. mit ihrem Privatvermögen haften. Ein evtl. vertraglich vereinbarter Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung oder ein Vergleich über diese Ansprüche ist unwirksam. Ausnahme: Es liegt Zahlungsunfähigkeit der betreffenden Leitungsperson vor oder die Ersatzpflicht wird in einem Insolvenzplan geregelt.