NIS2 Richtlinie: Alles, was Unternehmen jetzt wissen müssen

Cybersicherheit ist zu einem immer dringenderen Thema auf der politischen Agenda der Europäischen Union (EU) und ihrer Mitgliedstaaten geworden, so auch Deutschland. Schließlich ist die Verwundbarkeit von Infrastrukturen in den vergangenen Jahren durch Hackerangriffe deutlich zutage getreten.

‍

Daher veröffentlicht und überarbeitet die EU aktiv eine Vielzahl von Rechtsvorschriften.

‍

Die neueste Ergänzung ist die NIS2 Richtlinie, welche zusätzliche Maßnahmen enthält, um ein hohes gemeinsames Niveau der Cybersicherheit in der Union zu gewährleisten. Das Bestreben danach, ein einheitliches Informationssicherheitsniveau für Netz- und Informationssysteme zu schaffen, ist jedoch keinesfalls neu, sondern schon ein längerem ein wichtiges Anliegen der EU.

‍

In diesem Artikel erklären wir:

‍

• welche Anforderungen die neue NIS2-Richtlinie an Unternehmen stellt
• unter welchen Voraussetzungen Unternehmen von der NIS2 betroffen sein können und welche Sektoren besonders zu schützen sind
• Wie sich die Anforderungen umsetzen lassen und mit welchen Kosten dabei zu rechnen ist

‍

‍

Was ist NIS2 und welche Ziele verfolgt Sie – Die Hintergründe erklärt

‍

Bereits im Jahr 2016 führte die EU die erste Cybersecurity-Richtlinie ein – die aktuell noch gültige NIS-Richtlinie, auch NIS1 genannt.

Diese wurde als Reaktion auf die zunehmende Bedrohungslage und die gestiegenen Anforderungen an die IT-Sicherheit in Europa geschaffen. Die Richtlinie enthält auch verbindliche Vorgaben zum Schutz der Systeme von sogenannten KRITIS-Unternehmen, also Unternehmen, welche als „Betreiber kritischer Infrastrukturen“ agieren.

‍

Für die Gesellschaft sind diese Institutionen von besonderer Wichtigkeit, da sie etwa in den Bereichen Energieversorgung, Gesundheit und Transport Dienstleistungen erbringen.

‍

Die NIS-Richtlinie ist Teil der europäischen Cybersecurity-Strategie, um die Cyberresilienz in der EU zu stärken, und gilt mittlerweile als eine der wichtigsten europäischen Rechtsvorschriften in Sachen Cybersicherheit. KRITIS-Unternehmen sind durch die Richtlinie zur Einhaltung festgelegter Mindeststandards verpflichtet, mit dem Ziel, den Schutz ihrer Systeme und Netzwerke aufrechtzuerhalten.

‍

Im Zuge dessen sind umfangreiche Anforderungen an die Informationssicherheit zu erfüllen, weshalb für Unternehmen ein Informationssicherheits-Managementsystem (ISMS) notwendig und sinnvoll ist.

‍

NIS2 Richtlinie – stärkere Cyberresilienz für viel mehr Unternehmen

‍

Im Jahr 2021 folgten dann die ersten Lesungen und Debatten über den Entwurf der NIS2 Richtlinie. In dieser Phase hatten Vertreter aus verschiedenen europäischen Ländern die Möglichkeit, den Entwurf zu analysieren und ihre Standpunkte zu diskutieren. Diese Debatten waren von großer Bedeutung, da sie dazu beitrugen, die Richtung und den Inhalt der endgültigen Richtlinie zu formen.

‍

Im Juni 2022 kam es zu einer vorläufigen Einigung zwischen dem Europäischen Parlament und dem Rat der Europäischen Union. In diesem Kompromissvorschlag wurden die verschiedenen Standpunkte und Interessen berücksichtigt, um zu einer gemeinsamen Lösung zu gelangen. Diese Einigung markierte einen wichtigen Meilenstein auf dem Weg zur Umsetzung der NIS2 Richtlinie.

‍

Schließlich wurde am 14. Dezember 2022 die NIS2 Richtlinie offiziell unterzeichnet. Dies war ein bedeutsamer Schritt, der die Verbindlichkeit der Richtlinie festigte und den Weg für ihre Umsetzung in den Mitgliedstaaten der Europäischen Union ebnete. Nur wenige Tage später, am 27. Dezember 2022, wurde die NIS2 Richtlinie veröffentlicht, wodurch sie für die Öffentlichkeit zugänglich gemacht wurde.

‍

Die Veröffentlichung der NIS2 Richtlinie stellt einen wichtigen Meilenstein in der Entwicklung der Cybersicherheit in Europa dar. Mit ihren umfassenden Bestimmungen und Maßnahmen zielt die Richtlinie darauf ab, die Widerstandsfähigkeit und den Schutz kritischer Infrastrukturen und digitaler Dienste in der EU zu stärken.

Sie legt Anforderungen für Unternehmen und Behörden fest, um Risiken zu bewerten, angemessene Sicherheitsvorkehrungen zu treffen und auf Sicherheitsvorfälle zu reagieren.

‍

NIS2 Umsetzung in Deutschland, so ist der aktuelle Stand.

‍

Seit dem 16. Januar 2023 hatten Deutschland und andere EU-Mitgliedsstaaten 21 Monate Zeit, um die neuen Regelungen in nationales Recht umzusetzen. Das bedeutet, dass bestehende Gesetze entweder an die neue Rechtslage anzupassen oder aber neue Gesetze zu erlassen sind. Der Entwurf für die deutsche Umsetzung der NIS2 Richtlinie, das NIS2UmsuCG der Ampelregierung ist gescheitert. Damit verzögert sich die Implementierung voraussichtlich bis Herbst 2025. Experten schätzen weiterhin, dass Deutschland die Vorgaben der EU weitestgehend übernehmen wird und darüber hinaus um folgende Punkte ergränzt:

1. § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen: Besonders wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOMs) zur Einhaltung des Stands der Technik zu ergreifen. Diese Maßnahmen müssen einschlägige europäische und internationale Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen. Neu hinzugekommen ist die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherter Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung.

2. § 31 Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen: Betreiber kritischer Anlagen (KRITIS) sind verpflichtet, Systeme zur Angriffserkennung gemäß Stand der Technik einzusetzen.  

3. § 32 Meldepflicht von Sicherheitsvorfällen: Zusätzlich müssen NIS2-Betriebe, die einen erheblichen Sicherheitsvorfall erleiden, eine Meldung innerhalb von 24 Stunden an die zuständigen Behörden und Computer Security Incident Response Teams (CSIRTs) erstatten. Eine zweite Meldung ist binnen 72 Stunden erforderlich, gefolgt von einem Abschlussbericht nach einem Monat.

4. § 33 Registrierungspflicht: Besonders wichtige Einrichtungen müssen sich einmalig über eine Registrierungsmöglichkeit eines Bundesamtes (z.B. Name, Anschrift, relevanter Sektor) registrieren. Zudem dürfen besonders wichtige Einrichtungen bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen (z.B. ISO).

5. § 38 Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen: Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen. Dies dient dazu, die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.

‍

‍

Große Konzerne, die über eigene Compliance-Abteilungen verfügen, haben bereits längst damit begonnen, sich intensiv mit der NIS2 Richtlinie zu befassen und ihre Informationssicherheit im Hinblick auf das festgelegte Datum umfassend zu überprüfen. Im Gegensatz dazu sind sich viele Unternehmen im Mittelstand häufig noch nicht bewusst, dass sie in den Geltungsbereich der Richtlinie fallen.

‍

‍

Das ist das Ziel der NIS2

‍

Die NIS2 Richtlinie bringt somit eine Reihe von bedeutenden Neuerungen mit sich, die darauf abzielen, die Cybersicherheit in der Europäischen Union zu verbessern. Durch die Harmonisierung der Standards, die Stärkung des Risikomanagements, die Einführung von Meldepflichten und die Verschärfung der Bußgelder schafft die NIS2 Richtlinie einen umfassenderen und effektiveren Rahmen für den Schutz kritischer Infrastrukturen und digitaler Dienste.

‍

Das Ziel von NIS2 ist es, innerhalb der gesamten EU die Cybersicherheit für kritische Infrastruktur weiter zu verbessern. Dies soll sämtliche Infrastrukturen innerhalb der EU gegen Bedrohungen wie etwa Hackerangriffe schützen. Die NIS2 zielt somit darauf ab, die gegenwärtigen Herausforderungen der Cybersicherheit zu bewältigen, wobei die Richtlinie hier besonders die zunehmende Digitalisierung von Diensten und die Verbreitung von IoT-Geräten (Internet der Dinge) berücksichtigt.

‍

Angestrebt wird die Verbesserung der Resilienz und Reaktionsfähigkeit im Bereich der Cybersicherheit zum Schutz der kritischen Infrastrukturen und digitalen Dienste in öffentlichen und privaten Sektoren sowie der EU insgesamt. Das soll sicherstellen, dass systemrelevante Infrastrukturen auch in Krisen funktionieren.

‍

Welche Anforderungen stellt NIS2 an betroffene Unternehmen?

‍

Im Vergleich zur NIS1 bringt die NIS2 eine Reihe von Neuerungen mit, die ambitionierte Anforderungen an Unternehmen stellen.

‍

1. Selbsteinordnung: Sie müssen sich anhand der vorgegebenen Kriterien definieren als „besonders wichtige Einrichtung“ (beziehungsweise KRITIS) oder „wichtige Einrichtung“.
   ‍
2. Registrierung bei zuständigen Behörden: Wenn ein Unternehmen in mehreren Mitgliedsstaaten der EU tätig ist, muss es sich in jedem Mitgliedsstaat bei der zuständigen Behörde registrieren und die jeweiligen Vorschriften einhalten.  In Deutschland müssen sich Unternehmen innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
   ‍
3. Einrichtung von Meldestellen und Prozessen für Sicherheitsvorfälle
   ‍
4. Teilnahme am Informationsaustausch: Unternehmen, die als „besonders wichtige“ Einrichtungen eingestuft sind, müssen aktiv am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen. Dies gewährleistet eine effektive Kommunikation bei Sicherheitsvorfällen.  
   ‍
5. Einhaltung der Sicherheitsanforderungen

‍

Diese Sicherheitsanforderungen umfassen primär die folgenden Maßnahmen:

‍

Cybersicherheits-Risikomanagement: Ein wichtiger Aspekt der NIS2 Richtlinie ist das Cybersicherheits-Risikomanagement. Dies beinhaltet die Umsetzung von Risikoanalyse- und Sicherheitskonzepten, Vorfallmanagement sowie die Gewährleistung von Sicherheit in den Lieferketten.

Durch diese Maßnahmen sollen Unternehmen und Behörden in der Lage sein, Risiken frühzeitig zu erkennen, angemessene Sicherheitsvorkehrungen zu treffen und effektiv auf Sicherheitsvorfälle zu reagieren.
‍

TOM gemäß dem Stand der Technik: Die NIS2 Richtlinie fordert auch technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik. Dies bedeutet, dass Unternehmen und Behörden die aktuellen technologischen Entwicklungen berücksichtigen und angemessene Sicherheitsvorkehrungen treffen müssen, um den Schutz ihrer digitalen Infrastrukturen und Dienste zu gewährleisten.
‍

Meldepflichten: Ein weiterer wichtiger Aspekt sind die Meldepflichten. Gemäß der NIS2 Richtlinie müssen Vorfälle innerhalb von 24 Stunden nach Bekanntwerden gemeldet werden. Innerhalb von 72 Stunden nach der Meldung erfolgt gegebenenfalls eine Aktualisierung und erste Bewertung.

Abschließende Berichte müssen spätestens einen Monat nach Bekanntwerden des Vorfalls vorgelegt werden. Diese Meldepflichten sollen eine verbesserte Transparenz und Koordination bei der Bekämpfung von Cybersicherheitsvorfällen gewährleisten.

‍

Welche Unternehmen sind von NIS2 betroffen?

‍

Im Zuge der NIS2 hat sich die Zahl der betroffenen Branchen und Sektoren erweitert. Hierbei unterscheidet NIS2 zwischen „wesentlichen“ („Essential“) und „wichtigen“ („Important“) Sektoren. Dadurch istes nicht auf den ersten Blick ersichtlich, für wen NIS2 wirklich gilt.

‍

NIS2 führt erstmals die „wichtigen Einrichtungen“ ein, die den Umfang der Kritischen Infrastruktur erweitern. Daher fallen nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS2 Richtlinie. In Deutschland geht der Gesetzgeber von etwa 30.000 Unternehmen aus, die von NIS betroffen sind. Auf die „wichtigen Einrichtungen“ entfallen dabei mehr als 20.000 Unternehmen.

‍

Zu den wesentlichen Einrichtungen zählen in Deutschland mehr als 8.000, darunter etwa 4.700 digitale Dienste und Betreiber Kritischer Infrastrukturen (KRITIS) und rund 3.400 neue wesentliche Einrichtungen.

‍

Mit der NIS2 wird außerdem eine „size-cap“-Regel eingeführt, die besagt, dass Unternehmen, die mindestens mittelgroße Unternehmen sind und unter die speziellen Sektoren fallen, jetzt der NIS2 unterliegen. Demnach ist die Anzahl an Unternehmen gestiegen, welche die Richtlinie und die nachfolgenden nationalen Vorschriften, die in diesem und im kommenden Jahr veröffentlicht werden, einzuhalten haben.

‍

‍

1. Kriterium: Die Unternehmensgröße

‍

• min. 50 Mitarbeiter und
• Jahresumsatz/Jahresbilanz übersteigt 10 Mio. EUR
  ‍

können unter den Anwendungsbereich der NIS2 Richtlinie fallen.

‍

2. Kriterium: Der Unternehmenssektor

‍

Der zweite wesentliche Punkt ist der Sektor, in welchem ein Unternehmen tätig ist. In der NIS2 gibt es nun elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren. Erfüllt Ihr Unternehmen die Kriterien der Unternehmensgröße und ist in den folgenden Sektoren tätig, so unterliegt es der NIS2:

‍

1. Energie
2. Transport
3. Bankwesen
4. Finanzmarktinfrastruktur
5. Gesundheit
6. Trinkwasser
7. Abwässer
8. Digitale Infrastruktur
9. IKT-Dienstleistungsmanagement (B2B)
10. Öffentliche Verwaltungen
11. Weltraum
12. Post- und Kurierdienste
13. Abfallwirtschaft
14. Herstellung, Produktion und Vertrieb von Chemikalien
15. Lebensmittelproduktion, -verarbeitung und -vertrieb
16. Herstellung
17. Digitale Anbieter
18. Forschung
    
    ‍

Die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft sind dabei neue Sektoren im Bereich der „wesentlichen Einrichtungen“. Der Postsektor, die Abfallwirtschaft, die Chemie, die Lebensmittelwirtschaft, das produzierende Gewerbe sowie Digitalanbieter zählen nun zu den „wichtigen Einrichtungen“.

‍

Für „wichtige Einrichtungen“ sind dabei geringere Geldstrafen vorgesehen, und sie unterliegen einer reaktiven Aufsicht durch die Behörden. Im Gegensatz zur proaktiven Aufsicht, welche den „wesentlichen Einrichtungen“ vorbehalten ist.
‍

‍

‍

Via Lieferkette: Auch kleine Unternehmen können betroffen sein

‍

Für Unternehmen mit weniger als 50 Mitarbeitenden oder zehn Millionen Euro Jahresumsatz greift NIS2 eigentlich nicht. Allerdings gibt es Ausnahmen, etwa wenn ein Unternehmen kritische Tätigkeiten ausübt, die Auswirkungen auf die öffentliche Ordnung nehmen oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen.

Außerdem könnten von NIS2 betroffene Organisationen aufgrund ihrer Kritikalität gezwungen sein in der gesamten Lieferkette strenge Sicherheitsvorkehrungen durchzusetzen und so auch kleinste Lieferanten zu entsprechenden Maßnahmen verdonnern.

‍

‍

Wie lassen sich die Anforderungen umsetzen und mit welchen Kosten ist zu rechnen?

‍

Sofern Ihr Unternehmen die genannten Kriterien erfüllt, gelten bald verschärfte Anforderungen an Ihre Informationssicherheit.

‍

Der effektivste Weg, die Vorgaben umzusetzen, ist die Implementierung eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS) nach dem internationalen Goldstandard für Informationssicherheit, der ISO 27001.

‍

Selbst ohne offizielle ISO 27001 Zertifizierung durch einen akkreditierten Auditor, sind die Kosten für Aufbau und Betreiben eines ISMS deutlich fünfstellig. Je nach Komplexität des Unternehmens ist von einer initialen Projektdauer von sechs bis 18 Monaten zum Aufbau des ISMS auszugehen.

‍

Das Statistische Bundesamt schätzt in einer Folgekostenabschätzung zur Einführung der NIS2 Richtlinie die Kosten für die Wirtschaft auf 1,65 Milliarden Euro jährlich. Für die Einführung von neuen Prozessen im Zuge der NIS2 Konformität rechnet das Statistische Bundesamt mit einem einmaligen Aufwand von 1,37 Milliarden Euro, wovon allein 120 Millionen Euro zu den Bürokratiekosten zählen.

‍

‍

„Vieles von dem, was die NIS2 fordert, ist bereits aus der ISO 27001, dem global anerkannten Standard für Informationssicherheit, bekannt. Ein ISMS nach ISO 27001 gibt eine starke Sicherheitsstruktur für Unternehmen, Betriebe und Organisationen. Die vielschichtige und komplexe Natur dieser Systeme berücksichtigt sowohl technische als auch menschliche Sicherheitsaspekte und kann den entscheidenden Unterschied bei Cyberangriffen ausmachen.“ – Niklas Hanitsch, Chief Executive Officer von SECJUR

‍

Bis wann sind die Anforderungen umzusetzen und welche Strafen drohen bei Verstößen?

‍

Anders als bei der DSGVO, deren zumindest teilweises Ignorieren noch heute bei vielen Geschäftsführern als Kavaliersdelikt gilt, gibt es bei der NIS2 keinen derartigen Spielraum. Denn der bisherige Entwurf zum deutschen Umsetzungsgesetz sieht vor, dass leitende Organe - sprich die Geschäftsleitung - für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften. Dabei gilt stand jetzt: Ein Verzicht des Unternehmens auf Ersatzansprüche gegen die Geschäftsleitung oder ein Vergleich über diese Ansprüche ist unwirksam.

‍

Während es für das 2018 eingeführte Gesetz für Datenschutz noch eine Überganszeit für Unternehmen gab, ist dies für NIS2 derzeit nicht geplant. Ab 18. Oktober 2024 fallen damit faktisch alle betroffenen Unternehmen unter die neuen Anforderungen, müssen sich bei den Behörden registrieren und können entsprechend durch diese kontrolliert werden.

Die NIS2 sieht höhere Bußgelder als ihr Vorgänger vor.

‍

Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden.

‍

Für wichtige Einrichtungen beträgt das Bußgeld bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

‍

Diese strengeren Strafen sollen Unternehmen und Behörden dazu ermutigen, angemessene Maßnahmen zur Gewährleistung der Cybersicherheit zu ergreifen und mögliche Verstöße ernsthaft zu behandeln.

‍

Der bequemste und günstigste Weg zur NIS2 Umsetzung: Ein automatisiertes ISMS mit SECJUR

‍

Mit unserer Compliance-Automatisierungsplattform, dem Digital Compliance Office, bauen Sie Ihr ISMS in Rekordzeit und verwalten dieses mühelos.

‍

Durch Vorlagen, Integrationen und Co. Ersparen Sie sich und Ihrem Unternehmen hunderte Stunden Arbeitsaufwand und vor allem externe Beratungskosten.

‍

So genügen Sie den Ansprüchen der NIS2 und genießen Cybersicherheit nach internationalem Gold-Standard ISO 27001.

‍