NIS-2-Richtlinie muss bis Oktober 2024 umgesetzt werden
Daraus geht hervor, dass nicht nur die Zahl der betroffenen Unternehmen massiv ansteigen, sondern es zusätzlich auch noch wesentlich höhere Anforderungen geben wird.
NIS 2: Klarere Vorgaben für die Cybersicherheit
Die Europäische Union hat im Jahr 2016 mit der Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS 1) Vorschriften zur Cybersicherheit eingeführt. NIS 1 verpflichtete die EU-Mitgliedsstaaten Betreiber „kritischer Dienste“ zu ermitteln und für diese bestimmte Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle einzuführen. Die Richtlinie wurde zeitnah in nationale Regelungen überführt: In Frankreich z. B. wurden Unternehmen zu Operateurs de Services Essentiels (OSE) erklärt, in Deutschland zu KRITIS-Betreibern (KRITIS = Kritische Infrastrukturen – mehr Details -).
Die nationalen Umsetzungen erfolgten jedoch uneinheitlich und sehr unterschiedlich, sodass vergleichbare Unternehmen in manchen der 27 EU-Staaten als kritische Dienste oder Betreiber eingestuft wurden, in anderen dagegen nicht: Je nach EU-Mitgliedsstaat lag die Zahl der kritischen Dienste daher zwischen 12 und 87 und die der Betreiber zwischen 20 und 10.897. Mit der Neufassung der NIS-Richtlinie (NIS 2) schafft die EU nun Klarheit und legt genau fest, welche Unternehmen zu den kritischen Diensten gehören und welche Anforderungen für sie gelten. Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten.
Deutliche Ausweitung des Geltungsbereichs
Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS 2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.
Wesentliche Einrichtungen (Essential Entities) sind demnach Unternehmen, die in folgenden Bereichen tätig sind:
- Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
- Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
- Wasser – Trink- und Abwasserversorgungsunternehmen
- Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
- Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
- Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
- Öffentliche Verwaltung
- Raumfahrt
Zu den wichtigen Einrichtungen (Important Entities) werden Unternehmen folgender Bereiche gezählt:
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse – Produktion und Vertrieb
- Lebensmittel – Produktion und Vertrieb
- Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
- Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
- Forschungseinrichtungen
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
- Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
- Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, massiv erhöht. NIS 2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden. Allein in Deutschland werden etwa 30.000 Unternehmen von NIS 2 betroffen sein.
Betroffenheit muss selbst ermittelt werden Unternehmen, für die NIS 2 gilt, müssen ein Risikomanagement einführen und technische sowie organisatorische Vorkehrungen treffen, um die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten zu erhöhen und abzusichern. Das Besondere dabei ist, dass die Unternehmen anhand der genannten Kriterien selbst ermitteln müssen, ob NIS 2 für sie zutrifft. Ihnen wird von behördlicher Seite nicht mitgeteilt, dass für sie die NIS-2-Vorgaben gelten. |
Verschärfung der Meldepflicht
Unternehmen müssen ihrer nationalen Cyber Security Authority unverzüglich signifikante Störungen, Vorfälle und Cyber Threads melden. In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI). Vorgesehen ist dafür ein dreistufiger Prozess:
- Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
- Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
- Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.
Verschärfung der Sanktionsmaßnahmen
Außer der Meldepflicht für Vorfälle verschärft NIS 2 auch die Sanktionen für die Missachtung der Vorgaben. Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Der Referentenentwurf des Bundesinnenministeriums sieht außerdem vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.
Links:
NIS-2-Richtlinie (PDF, deutsche Fassung aus dem Amtsblatt der Europäischen Union)
Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes NIS2UmsuCG
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5182
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.465
-
Gerichtliche Ladungen richtig lesen und verstehen
1.442
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.364
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.354
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.084
-
Wie kann die Verjährung verhindert werden?
1.032
-
Klagerücknahme oder Erledigungserklärung?
1.013
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0001
-
Welche Maßnahmen drohen beim Ausbleiben der Partei?
992
-
Rechtliche Aspekte beim KI-Einsatz in Unternehmen
10.10.2024
-
Doch kein Monster: Ein Jahr Hinweisgeberschutzgesetz
09.10.2024
-
Einreichung der ursprünglichen Gesellschafterliste im einstweiligen Rechtsschutz
08.10.2024
-
Strategische Amnestie im Compliance-Management
08.10.2024
-
GmbH-Gesellschafterliste: Kein Datenschutz für die GmbH-Gesellschafter
01.10.2024
-
Cyber-Sicherheit und KRITIS im Fokus – CoCoGo-Podcast
26.09.2024
-
KI-Kompetenz ist Pflicht ab 2025
24.09.2024
-
KI und Datenschutz
19.09.2024
-
Willensbildung und Innenrecht
18.09.2024
-
Verhältnis der Gesellschafter zu Dritten
18.09.2024