Jetzt handeln: Viel mehr Unternehmen von NIS-2-Richtlinie betroffen als bisher
Vor gut einem Jahr ist die NIS-2-Richtlinie in Kraft getreten. Mit der zweite Richtlinie zur Netzwerk- und Informationssicherheit soll die Cybersicherheit in der Europäischen Union gestärkt werden. Für die Umsetzung in nationales Recht bleibt den EU-Staaten noch bis Oktober 2024 Zeit. Für Unternehmen bedeutet das: Sie müssen im Zuge ihres Compliance Managements bis dahin umfangreiche Vorsorge treffen, um Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen so klein wie möglich zu halten.
Bereits die NIS-1-Richtlinie aus dem Jahr 2016 sah vor, dass EU-Länder die Betreiber „kritischer Dienste“ ermitteln und für sie Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle etablieren mussten. In den Folgejahren entstand allerdings ein europaweiter „Flickenteppich“, weil EU-Staaten die kritischen Dienste unterschiedlich interpretierten. NIS-2 regelt nun klar, welche Unternehmen die Richtlinie betrifft. Die müssen ihre Maßnahmen zum Schutz vor Cyberangriffen erhöhen, IT-Systeme durchgehend aktuell halten und strengere Sicherheitsstandards einführen.
Kernelemente der NIS-2-Richtlinie
Die Europäische Kommission schreibt dazu: „Die NIS-2-Richtlinie zielt darauf ab, die Mängel der bisherigen Vorschriften zu beheben, sie an den aktuellen Bedarf anzupassen und zukunftssicher zu machen. Zu diesem Zweck erweitert die Richtlinie den Anwendungsbereich der bisherigen Vorschriften, indem neue Sektoren auf der Grundlage ihres Digitalisierungsgrads und ihrer Vernetzung und ihrer Bedeutung für Wirtschaft und Gesellschaft hinzugefügt werden, indem eine klare Größenschwellenregel eingeführt wird.“
Das bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil können ebenfalls unter die Verpflichtungen der neuen Richtlinie fallen. Mit der neuen Richtlinie wird auch die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste beseitigt. Unternehmen werden nach ihrer Bedeutung klassifiziert und in zwei Kategorien unterteilt: wesentliche und wichtige Einrichtungen, die unterschiedlichen Aufsichtsregelungen unterliegen.
Die überarbeitete Richtlinie stärkt und rationalisiert die Sicherheits- und Berichtspflichten für Unternehmen, indem sie einen Risikomanagementansatz vorschreibt, der eine Mindestliste grundlegender Sicherheitselemente enthält, die angewendet werden müssen. Mit der neuen Richtlinie werden genauere Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen eingeführt. Darüber hinaus befasst sich NIS-2 mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, indem einzelne Unternehmen aufgefordert werden, Cybersicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen anzugehen. Auf europäischer Ebene stärkt die Richtlinie die Cybersicherheit in der Lieferkette für wichtige Informations- und Kommunikationstechnologien.
„Wesentliche“ und „wichtige“ Einrichtungen
Die NIS-2-Richtlinie umfasst „wesentliche” und „wichtige” Einrichtungen. Zu den wesentlichen gehören große Unternehmen: ab 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz, Bilanzsumme > 43 Mio. Euro
- Energie (Strom, Fernwärme und Fernkälte, Öl, Gas und Wasserstoff);
- Verkehr (Luft, Schiene, Wasser und Straße);
- Banken; Finanzmarktinfrastrukturen;
- Gesundheit einschließlich Herstellung von Arzneimitteln, einschließlich Impfstoffen;
- Trinkwasser;
- Abwasser;
- digitale Infrastruktur (Internet-Austauschstellen; DNS-Dienstleister; TLDNamensregister; Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Netze für die Bereitstellung von Inhalten; Vertrauensdiensteanbietern; Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste);
- IKT-Dienstleistungsmanagement (verwaltete Dienstleister und Anbieter von Managed Security-Diensten),
- öffentliche Verwaltung und Raum.
Unabhängig von ihrer Größe können Einrichtungen wesentlich sein, die der Staat so einstuft.
Wichtige Einrichtungen sind große und mittlere Unternehmen: ab 50 Mitarbeiter oder 10 bis 50 Mio. Euro Umsatz, Bilanzsumme < 43 Mio. Euro
- Post- und Kurierdienste;
- Abfallbewirtschaftung;
- Chemikalien;
- Lebensmittel;
- Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten;
- digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und SocialNetworking-Service-Plattformen) und Forschungseinrichtungen.
Umsetzung der NIS-2-Richtlinie in deutsches Recht
Aktuell wird die NIS-2-Richtlinie in deutsches Recht umgesetzt, etwa im März ist mehr Klarheit zu rechnen. Sicher ist aber schon jetzt, dass deutlich mehr Unternehmen als bisher davon betroffen sein werden: Schätzungsweise 30.000 Organisationen müssen in ihrer Cybersicherheit investieren und sie ausbauen. Dazu zählen die Einführung eines Risikomanagements ebenso wie technische und organisatorische Präventions-maßnahmen, damit Anlagensicherheit, IT-Systeme, Lieferketten und Netzwerke abgesichert werden.
Was Unternehmen tun sollten
Wer künftig gegen die NIS-2-Richtlinie verstößt, muss mit erheblichen Strafen rechnen. Im Amtsblatt der Europäischen Union heißt es dazu: „Die Mitgliedstaaten stellen sicher, dass gegen wesentliche Einrichtungen […] Geldbußen mit einem Höchstbetrag von mindestens 10 000 000 EUR oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist. Die Mitgliedstaaten stellen sicher, dass gegen wichtige Einrichtungen […] Geldbußen mit einem Höchstbetrag von mindestens 7 000 000 EUR oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist.
Wichtig für Unternehmen: Keine Behörde wird sie darauf hinweisen, ob die NIS-2-Richtlinie sie betrifft oder nicht. Das müssen sie anhand der vorgegebenen Kriterien selber ermitteln und entsprechende Maßnahmen ergreifen.
Wir empfehlen Ihnen, sich mit der Thematik bereits jetzt auseinanderzusetzen und bei Fragen auch mit Blick auf Ihr Compliance Management System auf uns zuzukommen.