Die Auswirkungen von NIS 2 auf deutsche Unternehmen

Am 16. Januar 2023 trat die neue EU-Richtlinie NIS 2 zur Stärkung der Cybersicherheit in Kraft. NIS 2 steht dabei als Abkürzung für die „zweite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Als Teil der europäischen Cybersecurity-Strategie, strebt die NIS-Richtlinie an, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken. Unternehmen, als Betreiber von kritischen Infrastrukturen (KRITIS) klassifiziert, werden dazu verpflichtet, Mindeststandards zu erfüllen und proaktiv Maßnahmen zur Risikominimierung zu ergreifen.

NIS 2 ersetzt die im Jahr 2016 verabschiedete NIS-Richtlinie, die erste EU-weite Richtlinie zum Schutz von Netzwerk- und Informationssystemen. Dabei weist die NIS-2-Richtlinie wesentliche Unterschiede zur vorherigen Version auf. Die Sektoren wurden erweitert und neu definiert, wobei nun elf “wesentliche” und sieben “wichtige” Sektoren existieren. Die Strafen für Nichteinhaltung wurden drastisch verschärft, mit Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes.

Umsetzung in Deutschland

NIS 1 wurde in Deutschland u.a. im bereits seit 2015 existierenden IT-Sicherheitsgesetz und dem BSI-Gesetz umgesetzt. Betroffen waren sog. kritische Infrastrukturen (KRITIS). Kritische Infrastrukturen sind alle Einrichtungen, Anlagen und Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. 

Auch die NIS 2-Richtlinie ist derzeit noch nicht direkt anwendbar, sondern muss erst noch in nationales Recht umgesetzt werden. Die EU-Mitgliedsstaaten hatten dafür seit Inkrafttreten 21 Monate Zeit – bis zum 17. Oktober 2024.

Derzeit arbeitet man mit Hochdruck am sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Im September wurde vom Innenministerium ein Diskussionspapier zum Dialog mit der Wirtschaft veröffentlicht, als dritter Referentenentwurf. Das NIS2UmsuCG soll im März 2024 verkündet werden und dann wie geplant Oktober 2024 in Kraft treten. Die ersten Nachweisprüfungen würden wohl schon ab Oktober 2027 stattfinden. Darauf, was genau in Deutschland zur Umsetzung geplant ist, wird an geeigneter Stelle in diesem Text eingegangen. Klar ist: Der Gesetzentwurf präzisiert vor allem die Vorgaben NIS2-Richtlinie.

Betroffene Unternehmen  

Die NIS-2-Richtlinie betrifft sog. “wesentliche” und “wichtige” Einrichtungen:  

Wesentliche Einrichtungen sind große Unternehmen mit über 249 Beschäftigten oder 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz, insbesondere aus Bereichen wie Verkehr, Energie, Gesundheitswesen, Trink- und Abwasser, Verwaltung, Banken und Finanzwesen und digitale Infrastruktur. Hinzu kommen noch – unabhängig von ihrer Größe – u.a. die KRITIS (s.o.) und Einrichtungen, die vom Staat als „wesentlich“ eingestuft werden.

Wichtige Einrichtungen sind große Unternehmen, u.a. aus Post- und Kurierdienst, Abfallwirtschaft, Lebensmittelindustrie, Warenherstellung, Anbieter digitaler Dienste und der Forschung. Auch sog. „mittlere Unternehmen“ mit mindestens 50 Beschäftigten oder über 10 Mio. EUR Umsatz und über 10 Mio. EUR Bilanz zählen dabei zu den wichtigen Einrichtungen.

Der Gesetzesentwurf zur deutschen Umsetzung der NIS-2-Richtlinie deutet auf erhebliche Veränderungen hin. Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich. Das Gesetz führt ein Mehrklassen-System ein, das Betreiber mit verschiedenen Pflichten je nach Klassifizierung differenziert. Wer konkret verpflichtet ist, wird zukünftig noch durch eine Rechtsverordnung im Detail bestimmt werden. Klar ist bereits jetzt: Etwa 30.000 Unternehmen in Deutschland müssen ihre Sicherheitspflichten erheblich ausbauen.

Maßnahmen zum Risikomanagement für Cybersicherheit

Die NIS-2-Richtlinie verlangt von Unternehmen, umfassende Maßnahmen zum Risikomanagement für Cybersicherheit zu ergreifen. Der deutsche Gesetzesentwurf hebt hervor, dass Betreiber kritischer Infrastrukturen höheren Anforderungen unterliegen werden als bisher.

Sie werden verpflichtet, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu vermeiden sowie Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten. Die Maßnahmen müssen angemessen sein und sollen den Stand der Technik berücksichtigen, insbesondere so, wie er in einschlägigen Normen enthalten ist. Solche Maßnahmen umfassen als Minimum u.a. Konzepte für Risikoanalysen und Sicherheitsvorfälle, die Betriebsaufrechterhaltung und Sicherheit der Lieferkette, außerdem Schulungen und Konzepte der Zugriffskontrolle sowie Multi-Faktor-Authentifizierung und viele mehr.

Betroffene Unternehmen müssen gegenüber dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) die Erfüllung der vorgenannten Anforderungen nachweisen. Erstmalig wird der Nachweis – etwa durch Audits und Zertifizierungen – voraussichtlich 2027 fällig und muss danach wohl alle zwei Jahre regelmäßig erbracht werden.  

Zudem müssen Unternehmen auch ihre unmittelbaren Anbieter und Diensteanbieter, also insbesondere Lieferanten kontrollieren. Diese werden ähnliche Anforderungen zu erfüllen haben wie die vom Gesetz erfassten Unternehmen – und dies auch nachweisen müssen. Damit werden sich die gesetzlichen Anforderungen indirekt auf deutlich mehr Unternehmen auswirken.

Die bereits bestehende Meldepflicht wird außerdem verschärft, wobei Unternehmen nach der deutschen Umsetzung Sicherheitsvorfälle unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen. Der dreistufige Meldeprozess erfordert einen vorläufigen Bericht innerhalb von 24 Stunden, einen vollständigen Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.

Befugnisse von Aufsichtsbehörden, Sanktionen und Haftung

Aufsichtsbehörden – in Deutschland das BSI – erhalten erweiterte Befugnisse: Darunter Vor-Ort-Kontrollen und gezielte Sicherheitsprüfungen und Sicherheitsscans. Auch dürfen sie von allen relevanten Einrichtungen gezielte Nachweise und Informationen anfordern. Ebenso dürfen sie verbindliche Anweisungen oder Anordnungen erlassen und Einrichtungen auffordern, festgestellte Mängel oder Verstöße zu beheben. Auch können sie Warnungen über Verstöße durch die betreffenden Einrichtungen herausgeben u.v.m.. In Deutschland kann das BSI sogar einen Beauftragten zur Überwachung einsetzen und dem Management vorübergehend die Wahrnehmung der Leitungsaufgaben untersagen.

Das BSI kann auch Bußgelder verhängen. Die Sanktionen werden beträchtlich verschärft: Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen gilt ein maximales Bußgeld von 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, auch hier gilt der jeweils höhere Betrag.

Der deutsche Gesetzesentwurf sieht außerdem vor, dass Geschäftsführer und Leitungsorgane für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können. Dies ergibt sich zwar bereits aus allgemeinen rechtlichen Grundlagen, wird im Gesetzentwurf aber noch einmal klargestellt.

Fazit und Handlungsempfehlungen

Die NIS-2-Richtlinie stellt deutsche Unternehmen vor erhebliche Herausforderungen. Der deutsche Gesetzesentwurf verdeutlicht die strikten Vorgaben der Richtlinie noch einmal. Betroffene Unternehmen müssen sich auf eine zeitnahe Umsetzung vorbereiten. Die frühzeitige Umsetzung bietet die Möglichkeit, Risiken zu identifizieren und proaktiv zu handeln, was entscheidend für den langfristigen Erfolg des Unternehmens ist. Eine umfassende Umsetzung erfordert Ressourcen und eine sorgfältige Abwägung der notwendigen Maßnahmen. Daher sollten Unternehmen frühzeitig auf eine externe Unterstützung bauen, um sich bei der Umsetzung unterstützen zu lassen.