NIS 2.0 – Neue Compliance-Vorgaben für Unternehmen
11. Juli 2023
Angesichts der zunehmenden Digitalisierung wächst seit Jahren die Bedrohung durch Cyberangriffe. Um dieser Gefahr entgegenzuwirken, sah sich die EU-Kommission veranlasst, eine Überarbeitung der sog. NIS 1.0-Richtlinie (NIS = Netzwerk und Informationssicherheit) vorzunehmen. Seit dem 16. Januar 2023 ist die NIS 2.0-Richtlinie in Kraft. Was sich dadurch ändert, zeigen wir im nachfolgendem.
Status quo – NIS 1.0
Die erste EU-weite Richtlinie (NIS 1.0) trat im Jahr 2016 in Kraft. Mit NIS 1.0 verabschiedete die EU-Kommission erstmals umfassende Regelungen zur Cybersicherheit im Bereich der sog. kritischen Infrastruktur.
NIS 1.0 konzentrierte sich dabei im Wesentlichen auf zwei Gruppen von Organisationen:
- Betreiber wesentlicher Dienste wie Gesundheit, Verkehr, Energie usw.
- Anbieter digitaler Dienste, einschließlich Online-Suchmaschinen, Online-Marktplätze und Cloud-Dienste.
Von NIS 1.0 erfasste Sektoren wesentlicher Dienste sind zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen verpflichtet. In Deutschland erfolgte die Umsetzung der NIS 1.0-Richtlinie über eine Anpassung des IT-Sicherheitsgesetzes.
Was ändert sich durch NIS 2.0?
Eine wichtige Änderung liegt in der höheren Anforderung an die IT-Sicherheit für betroffene Unternehmen. Außerdem umfasst der Anwendungsbereich deutlich mehr Unternehmen als bisher und der Rahmen für Bußgelder wurde signifikant angehoben: Bußgelder belaufen sich – ähnlich wie nach der Datenschutz-Grundverordnung (DSGVO) – auf bis zu 10 Millionen Euro bzw. 2% des weltweiten Jahresumsatzes.
Änderungen im Anwendungsbereich
Eine essenzielle Neuerung ist die Unterscheidung zwischen wesentlichen und wichtigen Sektoren („Einrichtungen“), für die teilweise unterschiedliche Vorschriften gelten. Daneben wurde die Liste der bestehenden Sektoren der Kritischen Infrastrukturen ergänzt, welche sich teilweise mit den deutschen sog. KRITIS-Sektoren überschneiden.
- „Wesentliche“ Einrichtungen: u. a. die in Anhang I der Richtlinie genannten Sektoren wie Energie, Verkehr, Trinkwasser und Abwasser, Gesundheitswesen, Banken und Finanzmärkte, Digitale Infrastruktur, Raumfahrt, öffentliche Verwaltung
- „Wichtige“ Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Industrie, Digitale Dienste, Forschung
Darüber hinaus können weitere wesentliche und wichtige Einrichtungen/Sektoren durch die Mitgliedstaaten benannt werden.
Zur Vermeidung von zu großen Unterschieden zwischen den Mitgliedstaaten, werden die genauen Schwellenwerte für die genannten Sektoren nicht mehr durch die Mitgliedstaaten festgelegt, sondern direkt durch NIS 2.0 bestimmt.
Der Anwendungsbereich der Richtlinie umfasst alle mittleren (50-249 Beschäftigte und bis 50 Mio. € Jahresumsatz) und großen Unternehmen (ab 250 Beschäftigte oder 50 Mio. € Jahresumsatz) in den wesentlichen und wichtigen Sektoren.
Kleinere Unternehmen (weniger als 50 Mitarbeiter und bis 10 Mio. € Jahresumsatz) sind vom Anwendungsbereich der NIS 2.0 grundsätzlich ausgenommen.
Für besonders kritische Dienste, z. B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen, gilt jedoch eine Rückausnahme: Diese Dienste fallen in den Anwendungsbereich unabhängig von deren Größe.
Maßnahmen
NIS 2.0 sieht für die betroffenen Unternehmen einheitliche und – im Vergleich zu NIS 1.0 – umfangreichere Maßnahmen vor. Hierzu gehören u.a.:
- Erstellung von Risikoanalyse- und Informationssicherheitskonzepten,
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
- Maßnahmen zur Aufrechterhaltung des Betriebs (z. B. Back-up-Management und Wiederherstellung),
- Sicherheit in der Beschaffung von IT- und Netzwerk-Systemen,
- Sicherheit in der Lieferkette,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherte Kommunikation etc.
Die Risikomanagementmaßnahmen sind nach einem risikobasierten Vorgehen wirksam zu etablieren und liegen in der Verantwortung der Unternehmensleitung.
Meldepflichten
Signifikante Vorfälle und Bedrohungen sind den Behörden entsprechend den vorgeschriebenen Meldepflichten zu melden. Die Richtlinie enthält genaue Vorgaben über den Ablauf, Inhalt und Zeitraum solcher Meldungen.
Im Falle eines Cybervorfalls müssen Unternehmen drei konkrete Schritte innerhalb eines straffen Zeitplans erfüllen:
- Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahmen eines Vorfalls muss eine erste Warnung an die zuständige Behöre erfolgen.
- Innerhalb von 72 Stunden müssen weitere Informationen über den Vorfall geliefert werden.
Innerhalb eines Monats muss schließlich ein finaler Bericht zum Vorfall vorliegen.
Aufsichts- und Durchsetzungsmaßnahmen
Haftung und Sanktionen
NIS 2.0 birgt für die Unternehmensleitung ein erhebliches Haftungsrisiko, denn diese kann für Verstöße gegen die Umsetzung und Überwachung der Risikomanagementmaßnahmen verantwortlich gemacht werden. Die Ausgestaltung der Haftung obliegt den Mitgliedstaaten in den nationalen Umsetzungsgesetzen.
Daneben sieht NIS 2.0 den folgenden Bußgeldrahmen vor:
- Wesentliche Sektoren: Höchstbetrag von mind. 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist),
- Wichtige Sektoren: Höchstbetrag von mind. 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
- Für den Fall, dass ein Verstoß zu einer Geldbuße nach der DSGVO führt, wird nach NIS 2.0 keine Geldbuße verhängt.
Wie geht es weiter?
Die Mitgliedstaaten haben nach dem Inkrafttreten der Richtlinie 21 Monate Zeit, d. h. bis zum 17. Oktober 2024, die europäischen Vorgaben in nationales Recht zu gießen.
In Deutschland liegt seit Frühjahr 2023 ein erster Referentenentwurf des Gesetzes zur NIS 2.0 vor. Der Referentenentwurf muss nach Abstimmung in der Bundesverwaltung jedoch noch die Gesetzgebung auf Bundesebene durchlaufen. Das sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird eine umfassende Überarbeitung und Erweiterung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) mit sich bringen und einige der gerade erst durch das IT-Sicherheitsgesetz 2.0 eingeführte Neuerungen wieder rückgängig machen. Der Referentenentwurf geht davon aus, dass das NIS2UmsuCG bereits im Frühjahr 2024 verabschiedet wird.
Fazit
IT-Sicherheit der betroffenen Unternehmen wird spätestens mit NIS 2.0 zur Chefsache. Auch wenn der deutsche Gesetzgeber noch etwas Zeit hat, um die europäischen Vorgaben in nationales Recht zu gießen, besteht für betroffene Unternehmen bereits heute Handlungsbedarf. Unternehmen sollten die verbleibende Zeit bis zum Inkrafttreten der nationalen Regelungen nutzen und auf Basis der vorliegenden NIS 2.0-Richtlinie die (voraussichtliche) Betroffenheit und eventuelle Umsetzungslücken bewerten.
Ansprechpartner
Thomas Altendorfer
Diplom-Volkswirt
Rechtsanwalt
Steuerberater
Partner
Til Ammermann
Diplom-Kaufmann
Wirtschaftsprüfer
Steuerberater
Partner
Thomas Baransky
Diplom-Betriebswirt (FH)
Steuerberater
Sozius
Lars Bellmer
Steuerberater
Dr. Christian Bereska
Rechtsanwalt
Partner
Fachanwalt für Handels- und Gesellschaftsrecht
Fachanwalt für Bau- und Architektenrecht
Zertifizierter Testamentsvollstrecker (AGT)
Philipp M. v. Bismarck
Rechtsanwalt, Notar a. D.
Dr. Björn Bogner, LL.M.
Rechtsanwalt
Partner
Fachanwalt für Arbeitsrecht
Fachanwalt für gewerblichen Rechtsschutz
Zertifizierter Compliance Officer (School GRC)
Frederik Brandes
Master of Science (M.Sc.)
Steuerberater
Fachberater für Restrukturierung und Unternehmensplanung (DStV e.V.)
Isabelle Bulenda, LL.M.
Rechtsanwältin
Assoziierte Partnerin
Fachanwältin für Informationstechnologierecht
Christian Ceyp
Rechtsanwalt
Josie Charwat
Rechtsanwältin
Assoziierte Partnerin
Danine von der Decken
Rechtsanwältin
Frank Deppenkemper
Diplom-Kaufmann
Wirtschaftsprüfer
Steuerberater
Sozius
Anna Dietrich
Rechtsanwältin
Mathias Dietrich
Diplom-Finanzwirt (FH)
Rechtsanwalt
Steuerberater
Partner
Rolf Dittmar
Diplom-Ingenieur
Wirtschaftsprüfer
Steuerberater
Johannes Dörrie
Rechtsanwalt
Sozius
Fachanwalt für Arbeitsrecht
Zertifizierter Mediator (DAA)
Jan Ellwanger
Diplom Ökonom
Steuerberater
Dr. Lea Frey
Rechtsanwältin
Sozia
Hans G. Fritsche
Rechtsanwalt
Sozius
Fachanwalt für Insolvenzrecht und Sanierungsrecht
Dr. Martin Gerigk
Rechtsanwalt
Sozius
Fachanwalt für Versicherungsrecht
Sascha Halbe, LL.M.
Diplom-Kaufmann
Rechtsanwalt, Notar m. d. Amtssitz in Hannover
Partner
Bianca Hein, LL.M
Wirtschaftsjuristin/Paralegal
Julia Elisabeth Heine
Rechtsanwältin
Fachanwältin für gewerblichen Rechtsschutz
Maren Helm
Steuerberaterin
Stiftungsberaterin (DSA)
Miriam Henschel
Diplom-Finanzwirtin (FH)
Rechtsanwältin
Steuerberaterin
Partnerin
Fachanwältin für Steuerrecht
Dr. Sabine Jehner, LL.M.
Rechtsanwältin, Attorney at Law (New York)
Sozia
Christian Knoke
Rechtsanwalt
Wirtschaftsprüfer
Steuerberater
Björn Knuth, LL.M.
Rechtsanwalt
Assoziierter Partner
Fachanwalt für Arbeitsrecht
Kirstin Krüger
Rechtsanwältin
Sozia
Fachanwältin für Bau- und Architektenrecht
Norman Kühn, LL.M.
Rechtsanwalt
Dr. Michael Kunst
Diplom-Volkswirt
Rechtsanwalt, Notar m.d. Amtssitz in Hannover
Wirtschaftsprüfer
Partner
Fachanwalt für Steuerrecht
Tobias Lerch
Rechtsanwalt, Notar m. d. Amtssitz in Celle
Partner
Fachanwalt für Handels- und Gesellschaftsrecht
Dr. Christoph Lohmann
Rechtsanwalt
Steuerberater
Monika Martyniak
Diplom-Ökonomin
Wirtschaftsprüferin
Steuerberaterin
Assoziierte Partnerin
Stefanie Meinen
B.Sc. Wirtschaftswissenschaft
Charlotte Merkel
Dipl.-Finanzwirtin (Steuerakademie)
Rechtsanwältin
Sozia
Jan-Christoph Metzler
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Zertifizierter Mediator (DAA)
Zertifizierter Datenschutzbeauftragter (TÜV)
Marie Meyer
Rechtsanwältin
Dr. Kristin Mütze
Rechtsanwältin
Friedrich Graf zu Ortenburg, LL.M.
Rechtsanwalt, Notar m. d. Amtssitz in Hannover
Partner
Dr. Nicolas Penner
Diplom-Finanzwirt (FH)
Rechtsanwalt, Notar m. d. Amtssitz in Hannover
Steuerberater
Partner
Fachanwalt für Steuerrecht
Antje Pietrek
Rechtsanwältin
Fachanwältin für Familienrecht
Mediatorin
Sascha Priebe, MLE
Rechtsanwältin
Natalie Remel
Rechtsanwältin
Sozia
Fachanwältin für Vergaberecht
Dr. Stefan Rieger
Rechtsanwalt
Assoziierter Partner
Dr. Stephan Rose
Rechtsanwalt, Notar m. d. Amtssitz in Hannover
Partner
Fachanwalt für Arbeitsrecht
Fachanwalt für Handels- und Gesellschaftsrecht
Fachanwalt für Erbrecht
Zertifizierter Testamentsvollstrecker (AGT)
Michael Rudolph
Diplom-Ökonom
Steuerberater
Sozius
Jan Schätzel
Rechtsanwalt
Assoziierter Partner
Dr. Ralf Schlottau
Rechtsanwalt, Notar m. d. Amtssitz in Celle
Partner
Fachanwalt für Agrarrecht
Fachanwalt für Handels- und Gesellschaftsrecht
Zertifizierter Stiftungsmanager (DSA)
Zertifizierter Testamentsvollstrecker (AGT)
Dr. Stephan Schmack
Rechtsanwalt
Sozius
Dr. Philipp Schulz
Rechtsanwalt
Partner
Fachanwalt für Versicherungsrecht
Dr. Hermann Schünemann
Rechtsanwalt, Notar a. D.
Fachanwalt für Versicherungsrecht
Fachanwalt für Medizinrecht
Valentin R. Seidenfus
Rechtsanwalt
Steuerberater
Partner
Fachanwalt für Steuerrecht
Zertifizierter Testamentsvollstrecker (AGT)
Dr. Caroline Charlotte Sohns
Rechtsanwältin
Sozia
Fachanwältin für Arbeitsrecht
Konrad Solf
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Thomas Stillahn
Rechtsanwalt
Partner
Fachanwalt für Arbeitsrecht
Mediator
Coach der Wirtschaft (IHK)
Benjamin Tapkenhinrichs
Bachelor of Arts (B. A.)
Rechtsanwalt
Christiane Thomys
Rechtsanwältin
Rudolf Tschense
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Zertifizierter Datenschutzbeauftragter (TÜV)
Dr. Karl-Heinz Vehling
Executive MBA HSG
Rechtsanwalt
Partner
Zertifizierter Compliance Officer
Zertifizierter Compliance Auditor
Dr. Jan-W. Vesting
Rechtsanwalt
Partner
Georg Wagner
Diplom Kaufmann
Steuerberater
Fachberater für Unternehmensnachfolge (DStV e.V.)
Katharina Wegmann
Steuerberaterin
Christiane Wehe
Diplom-Kauffrau (FH)
Steuerberaterin
Dr. Marc Wendt
Rechtsanwalt, Notar m. d. Amtssitz in Hannover
Partner
Fachanwalt für Handels- und Gesellschaftsrecht
Dr. Tim Wittwer, LL.M.
Rechtsanwalt
Assoziierter Partner
Fachanwalt für gewerblichen Rechtsschutz