NIS 2.0 – Neue Compliance-Vorgaben für Unternehmen

11. Juli 2023

Angesichts der zunehmenden Digitalisierung wächst seit Jahren die Bedrohung durch Cyberangriffe. Um dieser Gefahr entgegenzuwirken, sah sich die EU-Kommission veranlasst, eine Überarbeitung der sog. NIS 1.0-Richtlinie (NIS = Netzwerk und Informationssicherheit) vorzunehmen. Seit dem 16. Januar 2023 ist die NIS 2.0-Richtlinie in Kraft. Was sich dadurch ändert, zeigen wir im nachfolgendem.

Status quo – NIS 1.0

Die erste EU-weite Richtlinie (NIS 1.0) trat im Jahr 2016 in Kraft. Mit NIS 1.0 verabschiedete die EU-Kommission erstmals umfassende Regelungen zur Cybersicherheit im Bereich der sog. kritischen Infrastruktur.

NIS 1.0 konzentrierte sich dabei im Wesentlichen auf zwei Gruppen von Organisationen:

  • Betreiber wesentlicher Dienste wie Gesundheit, Verkehr, Energie usw.
  • Anbieter digitaler Dienste, einschließlich Online-Suchmaschinen, Online-Marktplätze und Cloud-Dienste.

Von NIS 1.0 erfasste Sektoren wesentlicher Dienste sind zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen verpflichtet. In Deutschland erfolgte die Umsetzung der NIS 1.0-Richtlinie über eine Anpassung des IT-Sicherheitsgesetzes.

Was ändert sich durch NIS 2.0?

Eine wichtige Änderung liegt in der höheren Anforderung an die IT-Sicherheit für betroffene Unternehmen. Außerdem umfasst der Anwendungsbereich deutlich mehr Unternehmen als bisher und der Rahmen für Bußgelder wurde signifikant angehoben: Bußgelder belaufen sich – ähnlich wie nach der Datenschutz-Grundverordnung (DSGVO) – auf bis zu 10 Millionen Euro bzw. 2% des weltweiten Jahresumsatzes.

Änderungen im Anwendungsbereich

Eine essenzielle Neuerung ist die Unterscheidung zwischen wesentlichen und wichtigen Sektoren („Einrichtungen“), für die teilweise unterschiedliche Vorschriften gelten. Daneben wurde die Liste der bestehenden Sektoren der Kritischen Infrastrukturen ergänzt, welche sich teilweise mit den deutschen sog. KRITIS-Sektoren überschneiden.

  • „Wesentliche“ Einrichtungen: u. a. die in Anhang I der Richtlinie genannten Sektoren wie Energie, Verkehr, Trinkwasser und Abwasser, Gesundheitswesen, Banken und Finanzmärkte, Digitale Infrastruktur, Raumfahrt, öffentliche Verwaltung
     
  • „Wichtige“ Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Industrie, Digitale Dienste, Forschung

Darüber hinaus können weitere wesentliche und wichtige Einrichtungen/Sektoren durch die Mitgliedstaaten benannt werden.

Zur Vermeidung von zu großen Unterschieden zwischen den Mitgliedstaaten, werden die genauen Schwellenwerte für die genannten Sektoren nicht mehr durch die Mitgliedstaaten festgelegt, sondern direkt durch NIS 2.0 bestimmt.

Der Anwendungsbereich der Richtlinie umfasst alle mittleren (50-249 Beschäftigte und bis 50 Mio. € Jahresumsatz) und großen Unternehmen (ab 250 Beschäftigte oder 50 Mio. € Jahresumsatz) in den wesentlichen und wichtigen Sektoren.

Kleinere Unternehmen (weniger als 50 Mitarbeiter und bis 10 Mio. € Jahresumsatz) sind vom Anwendungsbereich der NIS 2.0 grundsätzlich ausgenommen.

Für besonders kritische Dienste, z. B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen, gilt jedoch eine Rückausnahme: Diese Dienste fallen in den Anwendungsbereich unabhängig von deren Größe.

Maßnahmen

NIS 2.0 sieht für die betroffenen Unternehmen einheitliche und – im Vergleich zu NIS 1.0 – umfangreichere Maßnahmen vor. Hierzu gehören u.a.:

  • Erstellung von Risikoanalyse- und Informationssicherheitskonzepten,
  • Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
  • Maßnahmen zur Aufrechterhaltung des Betriebs (z. B. Back-up-Management und Wiederherstellung),
  • Sicherheit in der Beschaffung von IT- und Netzwerk-Systemen,
  • Sicherheit in der Lieferkette,
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherte Kommunikation etc.

Die Risikomanagementmaßnahmen sind nach einem risikobasierten Vorgehen wirksam zu etablieren und liegen in der Verantwortung der Unternehmensleitung.

Meldepflichten

Signifikante Vorfälle und Bedrohungen sind den Behörden entsprechend den vorgeschriebenen Meldepflichten zu melden. Die Richtlinie enthält genaue Vorgaben über den Ablauf, Inhalt und Zeitraum solcher Meldungen.

Im Falle eines Cybervorfalls müssen Unternehmen drei konkrete Schritte innerhalb eines straffen Zeitplans erfüllen:

  1. Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahmen eines Vorfalls muss eine erste Warnung an die zuständige Behöre erfolgen.
     
  2. Innerhalb von 72 Stunden müssen weitere Informationen über den Vorfall geliefert werden.

Innerhalb eines Monats muss schließlich ein finaler Bericht zum Vorfall vorliegen.

Aufsichts- und Durchsetzungsmaßnahmen

NIS 2.0 sieht strengere Aufsichts- und Durchsetzungsmaßnahmen, wie z. B. Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen oder anlassbezogene Ad-hoc-Prüfungen vor.

Haftung und Sanktionen

NIS 2.0 birgt für die Unternehmensleitung ein erhebliches Haftungsrisiko, denn diese kann für Verstöße gegen die Umsetzung und Überwachung der Risikomanagementmaßnahmen verantwortlich gemacht werden. Die Ausgestaltung der Haftung obliegt den Mitgliedstaaten in den nationalen Umsetzungsgesetzen.

Daneben sieht NIS 2.0 den folgenden Bußgeldrahmen vor:

  • Wesentliche Sektoren: Höchstbetrag von mind. 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist),
     
  • Wichtige Sektoren: Höchstbetrag von mind. 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
     
  • Für den Fall, dass ein Verstoß zu einer Geldbuße nach der DSGVO führt, wird nach NIS 2.0 keine Geldbuße verhängt.

Wie geht es weiter?

Die Mitgliedstaaten haben nach dem Inkrafttreten der Richtlinie 21 Monate Zeit, d. h. bis zum 17. Oktober 2024, die europäischen Vorgaben in nationales Recht zu gießen.

In Deutschland liegt seit Frühjahr 2023 ein erster Referentenentwurf des Gesetzes zur NIS 2.0 vor. Der Referentenentwurf muss nach Abstimmung in der Bundesverwaltung jedoch noch die Gesetzgebung auf Bundesebene durchlaufen. Das sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird eine umfassende Überarbeitung und Erweiterung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) mit sich bringen und einige der gerade erst durch das IT-Sicherheitsgesetz 2.0 eingeführte Neuerungen wieder rückgängig machen. Der Referentenentwurf geht davon aus, dass das NIS2UmsuCG bereits im Frühjahr 2024 verabschiedet wird.

Fazit

IT-Sicherheit der betroffenen Unternehmen wird spätestens mit NIS 2.0 zur Chefsache. Auch wenn der deutsche Gesetzgeber noch etwas Zeit hat, um die europäischen Vorgaben in nationales Recht zu gießen, besteht für betroffene Unternehmen bereits heute Handlungsbedarf. Unternehmen sollten die verbleibende Zeit bis zum Inkrafttreten der nationalen Regelungen nutzen und auf Basis der vorliegenden NIS 2.0-Richtlinie die (voraussichtliche) Betroffenheit und eventuelle Umsetzungslücken bewerten.


Ansprechpartner

Thomas Altendorfer

Diplom-Volkswirt

Rechtsanwalt

Steuerberater

Partner

Til Ammermann

Diplom-Kaufmann

Wirtschaftsprüfer

Steuerberater

Partner

Thomas Baransky

Diplom-Betriebswirt (FH)

Steuerberater

Sozius

Lars Bellmer

Steuerberater

Dr. Christian Bereska

Rechtsanwalt

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Bau- und Architektenrecht

Zertifizierter Testamentsvollstrecker (AGT)

Philipp M. v. Bismarck

Rechtsanwalt, Notar a. D.

Dr. Björn Bogner, LL.M.

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Fachanwalt für gewerblichen Rechtsschutz

Zertifizierter Compliance Officer (School GRC)

Isabelle Bulenda, LL.M.

Rechtsanwältin

Assoziierte Partnerin

Fachanwältin für Informationstechnologierecht

Christian Ceyp

Rechtsanwalt

Josie Charwat

Rechtsanwältin

Assoziierte Partnerin

Danine von der Decken

Rechtsanwältin

Frank Deppenkemper

Diplom-Kaufmann

Wirtschaftsprüfer

Steuerberater

Sozius

Anna Dietrich

Rechtsanwältin

Mathias Dietrich

Diplom-Finanzwirt (FH)

Rechtsanwalt

Steuerberater

Partner

Rolf Dittmar

Diplom-Ingenieur

Wirtschaftsprüfer

Steuerberater

Johannes Dörrie

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Zertifizierter Mediator (DAA)

Jan Ellwanger

Diplom Ökonom

Steuerberater

Dr. Lea Frey

Rechtsanwältin

Sozia

Dr. Martin Gerigk

Rechtsanwalt

Sozius

Fachanwalt für Versicherungsrecht

Fachanwalt für Verwaltungsrecht

Sascha Halbe, LL.M.

Diplom-Kaufmann

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Bianca Hein, LL.M

Wirtschaftsjuristin/Paralegal

Maren Helm

Steuerberaterin

Stiftungsberaterin (DSA)

Miriam Henschel

Diplom-Finanzwirtin (FH)

Rechtsanwältin

Steuerberaterin

Partnerin

Fachanwältin für Steuerrecht

Dr. Sabine Jehner, LL.M.

Rechtsanwältin, Attorney at Law (New York)

Sozia

Christian Knoke

Rechtsanwalt

Wirtschaftsprüfer

Steuerberater

Björn Knuth, LL.M.

Rechtsanwalt

Assoziierter Partner

Fachanwalt für Arbeitsrecht

Anika Kraas

Rechtsanwältin

Kirstin Krüger

Rechtsanwältin

Sozia

Fachanwältin für Bau- und Architektenrecht

Dr. Michael Kunst

Diplom-Volkswirt

Rechtsanwalt, Notar m.d. Amtssitz in Hannover

Wirtschaftsprüfer

Partner

Fachanwalt für Steuerrecht

Tobias Lerch

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Dr. Christoph Lohmann

Rechtsanwalt

Steuerberater

Monika Martyniak

Diplom-Ökonomin

Wirtschaftsprüferin

Steuerberaterin

Assoziierte Partnerin

Stefanie Meinen

B.Sc. Wirtschaftswissenschaft

Charlotte Merkel

Dipl.-Finanzwirtin (Steuerakademie)

Rechtsanwältin

Sozia

Jan-Christoph Metzler

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Zertifizierter Mediator (DAA)

Zertifizierter Datenschutzbeauftragter (TÜV)

Marie Meyer

Rechtsanwältin

Friedrich Graf zu Ortenburg, LL.M.

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Dr. Nicolas Penner

Diplom-Finanzwirt (FH)

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Steuerberater

Partner

Fachanwalt für Steuerrecht

Antje Pietrek

Rechtsanwältin

Fachanwältin für Familienrecht

Mediatorin

Sascha Priebe, MLE

Rechtsanwältin

Natalie Remel

Rechtsanwältin

Sozia

Fachanwältin für Vergaberecht

Dr. Stefan Rieger

Rechtsanwalt

Assoziierter Partner

Dr. Stephan Rose

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Fachanwalt für Arbeitsrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Erbrecht

Zertifizierter Testamentsvollstrecker (AGT)

Michael Rudolph

Diplom-Ökonom

Steuerberater

Sozius

Jan Schätzel

Rechtsanwalt

Assoziierter Partner

Dr. Ralf Schlottau

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Partner

Fachanwalt für Agrarrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Zertifizierter Stiftungsmanager (DSA)

Zertifizierter Testamentsvollstrecker (AGT)

Dr. Stephan Schmack

Rechtsanwalt

Sozius

Sarah Schrader

Rechtsanwältin

Dr. Philipp Schulz

Rechtsanwalt

Partner

Fachanwalt für Versicherungsrecht

Dr. Hermann Schünemann

Rechtsanwalt, Notar a. D.

Fachanwalt für Versicherungsrecht

Fachanwalt für Medizinrecht

Valentin R. Seidenfus

Rechtsanwalt

Steuerberater

Partner

Fachanwalt für Steuerrecht

Zertifizierter Testamentsvollstrecker (AGT)

Dr. Caroline Charlotte Sohns

Rechtsanwältin

Sozia

Fachanwältin für Arbeitsrecht

Zertifizierte Datenschutzbeauftragte (TÜV)

Konrad Solf

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Thomas Stillahn

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Mediator

Coach der Wirtschaft (IHK)

Benjamin Tapkenhinrichs

Bachelor of Arts (B. A.)

Rechtsanwalt

Christiane Thomys

Rechtsanwältin

Dr. Karl-Heinz Vehling

Executive MBA HSG

Rechtsanwalt

Partner

Zertifizierter Compliance Officer

Zertifizierter Compliance Auditor

Dr. Jan-W. Vesting

Rechtsanwalt

Partner

Georg Wagner

Diplom Kaufmann

Steuerberater

Fachberater für Unternehmensnachfolge (DStV e.V.)

Katharina Wegmann

Steuerberaterin

Sozia

Christiane Wehe

Diplom-Kauffrau (FH)

Steuerberaterin

Dr. Marc Wendt

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Dr. Tim Wittwer, LL.M.

Rechtsanwalt

Assoziierter Partner

Fachanwalt für gewerblichen Rechtsschutz