NIS 2.0 – Neue Compliance-Vorgaben für Unternehmen
11. Juli 2023
Angesichts der zunehmenden Digitalisierung wächst seit Jahren die Bedrohung durch Cyberangriffe. Um dieser Gefahr entgegenzuwirken, sah sich die EU-Kommission veranlasst, eine Überarbeitung der sog. NIS 1.0-Richtlinie (NIS = Netzwerk und Informationssicherheit) vorzunehmen. Seit dem 16. Januar 2023 ist die NIS 2.0-Richtlinie in Kraft. Was sich dadurch ändert, zeigen wir im nachfolgendem.
Status quo – NIS 1.0
Die erste EU-weite Richtlinie (NIS 1.0) trat im Jahr 2016 in Kraft. Mit NIS 1.0 verabschiedete die EU-Kommission erstmals umfassende Regelungen zur Cybersicherheit im Bereich der sog. kritischen Infrastruktur.
NIS 1.0 konzentrierte sich dabei im Wesentlichen auf zwei Gruppen von Organisationen:
- Betreiber wesentlicher Dienste wie Gesundheit, Verkehr, Energie usw.
- Anbieter digitaler Dienste, einschließlich Online-Suchmaschinen, Online-Marktplätze und Cloud-Dienste.
Von NIS 1.0 erfasste Sektoren wesentlicher Dienste sind zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen verpflichtet. In Deutschland erfolgte die Umsetzung der NIS 1.0-Richtlinie über eine Anpassung des IT-Sicherheitsgesetzes.
Was ändert sich durch NIS 2.0?
Eine wichtige Änderung liegt in der höheren Anforderung an die IT-Sicherheit für betroffene Unternehmen. Außerdem umfasst der Anwendungsbereich deutlich mehr Unternehmen als bisher und der Rahmen für Bußgelder wurde signifikant angehoben: Bußgelder belaufen sich – ähnlich wie nach der Datenschutz-Grundverordnung (DSGVO) – auf bis zu 10 Millionen Euro bzw. 2% des weltweiten Jahresumsatzes.
Änderungen im Anwendungsbereich
Eine essenzielle Neuerung ist die Unterscheidung zwischen wesentlichen und wichtigen Sektoren („Einrichtungen“), für die teilweise unterschiedliche Vorschriften gelten. Daneben wurde die Liste der bestehenden Sektoren der Kritischen Infrastrukturen ergänzt, welche sich teilweise mit den deutschen sog. KRITIS-Sektoren überschneiden.
- „Wesentliche“ Einrichtungen: u. a. die in Anhang I der Richtlinie genannten Sektoren wie Energie, Verkehr, Trinkwasser und Abwasser, Gesundheitswesen, Banken und Finanzmärkte, Digitale Infrastruktur, Raumfahrt, öffentliche Verwaltung
- „Wichtige“ Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Industrie, Digitale Dienste, Forschung
Darüber hinaus können weitere wesentliche und wichtige Einrichtungen/Sektoren durch die Mitgliedstaaten benannt werden.
Zur Vermeidung von zu großen Unterschieden zwischen den Mitgliedstaaten, werden die genauen Schwellenwerte für die genannten Sektoren nicht mehr durch die Mitgliedstaaten festgelegt, sondern direkt durch NIS 2.0 bestimmt.
Der Anwendungsbereich der Richtlinie umfasst alle mittleren (50-249 Beschäftigte und bis 50 Mio. € Jahresumsatz) und großen Unternehmen (ab 250 Beschäftigte oder 50 Mio. € Jahresumsatz) in den wesentlichen und wichtigen Sektoren.
Kleinere Unternehmen (weniger als 50 Mitarbeiter und bis 10 Mio. € Jahresumsatz) sind vom Anwendungsbereich der NIS 2.0 grundsätzlich ausgenommen.
Für besonders kritische Dienste, z. B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen, gilt jedoch eine Rückausnahme: Diese Dienste fallen in den Anwendungsbereich unabhängig von deren Größe.
Maßnahmen
NIS 2.0 sieht für die betroffenen Unternehmen einheitliche und – im Vergleich zu NIS 1.0 – umfangreichere Maßnahmen vor. Hierzu gehören u.a.:
- Erstellung von Risikoanalyse- und Informationssicherheitskonzepten,
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
- Maßnahmen zur Aufrechterhaltung des Betriebs (z. B. Back-up-Management und Wiederherstellung),
- Sicherheit in der Beschaffung von IT- und Netzwerk-Systemen,
- Sicherheit in der Lieferkette,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherte Kommunikation etc.
Die Risikomanagementmaßnahmen sind nach einem risikobasierten Vorgehen wirksam zu etablieren und liegen in der Verantwortung der Unternehmensleitung.
Meldepflichten
Signifikante Vorfälle und Bedrohungen sind den Behörden entsprechend den vorgeschriebenen Meldepflichten zu melden. Die Richtlinie enthält genaue Vorgaben über den Ablauf, Inhalt und Zeitraum solcher Meldungen.
Im Falle eines Cybervorfalls müssen Unternehmen drei konkrete Schritte innerhalb eines straffen Zeitplans erfüllen:
- Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahmen eines Vorfalls muss eine erste Warnung an die zuständige Behöre erfolgen.
- Innerhalb von 72 Stunden müssen weitere Informationen über den Vorfall geliefert werden.
Innerhalb eines Monats muss schließlich ein finaler Bericht zum Vorfall vorliegen.
Aufsichts- und Durchsetzungsmaßnahmen
Haftung und Sanktionen
NIS 2.0 birgt für die Unternehmensleitung ein erhebliches Haftungsrisiko, denn diese kann für Verstöße gegen die Umsetzung und Überwachung der Risikomanagementmaßnahmen verantwortlich gemacht werden. Die Ausgestaltung der Haftung obliegt den Mitgliedstaaten in den nationalen Umsetzungsgesetzen.
Daneben sieht NIS 2.0 den folgenden Bußgeldrahmen vor:
- Wesentliche Sektoren: Höchstbetrag von mind. 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist),
- Wichtige Sektoren: Höchstbetrag von mind. 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
- Für den Fall, dass ein Verstoß zu einer Geldbuße nach der DSGVO führt, wird nach NIS 2.0 keine Geldbuße verhängt.
Wie geht es weiter?
Die Mitgliedstaaten haben nach dem Inkrafttreten der Richtlinie 21 Monate Zeit, d. h. bis zum 17. Oktober 2024, die europäischen Vorgaben in nationales Recht zu gießen.
In Deutschland liegt seit Frühjahr 2023 ein erster Referentenentwurf des Gesetzes zur NIS 2.0 vor. Der Referentenentwurf muss nach Abstimmung in der Bundesverwaltung jedoch noch die Gesetzgebung auf Bundesebene durchlaufen. Das sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird eine umfassende Überarbeitung und Erweiterung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) mit sich bringen und einige der gerade erst durch das IT-Sicherheitsgesetz 2.0 eingeführte Neuerungen wieder rückgängig machen. Der Referentenentwurf geht davon aus, dass das NIS2UmsuCG bereits im Frühjahr 2024 verabschiedet wird.
Fazit
IT-Sicherheit der betroffenen Unternehmen wird spätestens mit NIS 2.0 zur Chefsache. Auch wenn der deutsche Gesetzgeber noch etwas Zeit hat, um die europäischen Vorgaben in nationales Recht zu gießen, besteht für betroffene Unternehmen bereits heute Handlungsbedarf. Unternehmen sollten die verbleibende Zeit bis zum Inkrafttreten der nationalen Regelungen nutzen und auf Basis der vorliegenden NIS 2.0-Richtlinie die (voraussichtliche) Betroffenheit und eventuelle Umsetzungslücken bewerten.