Die EU-Richtlinie „NIS-2“ ist eine europaweite Gesetzgebung zur Cybersicherheit und legt die rechtlichen Maßnahmen für die allgemeine Cybersicherheit fest. „NIS“ steht dabei für Network and Information Security. Die „2“ symbolisiert, dass es vorher bereits eine NIS 1 gegeben hat, welche nun überarbeitet wurde. 

Die erste NIS-Richtlinie der EU trat 2016 in Kraft. Hierbei wurde ein einheitlicher Rechtsrahmen geschaffen, sodass alle Nationen in der EU hinsichtlich der Cybersicherheit auf dem selben Stand sind. 
Am 27.12.2022 wurde die NIS-2-Richtlinie im Amtsblatt der EU veröffentlicht und trat am 16.01.2023 in Kraft. Sie hat den Zweck, das Gesamtniveau in der Europäischen Union zu fördern und legt für Betreiber kritischer Infrastrukturen Cyber Security Mindeststandards in der EU fest. Bis 2024 müssen alle EU-Mitgliedsstaaten die NIS 2 Richtlinie in ihre jeweiligen nationalen Gesetze umsetzen. In Deutschland existiert dank dem Bundesinnenministerium bereits ein Referentenentwurf mit dem Namen „NIS2UmsuCG“.

Voraussetzungen der NIS-2-Richtlinie

Laut NIS-2-Richtlinie gibt es sowohl wichtige-, als auch wesentliche Unternehmen. Für wichtige Unternehmen sind geringere Geldstrafen vorgesehen. Sie unterliegen einer behördlichen Aufsicht. Die Behörde darf hierbei aber nur reaktiv tätig werden. Das bedeutet, dass sie erst einschreiten darf, wenn der Schaden bereits eingetreten ist.

Bei den wesentlichen Unternehmen dürfen die Aufsichtsbehörden proaktiv (also vorbeugend) tätig werden. Die Betroffenheit findet nichtmehr nach unterschiedlichen Mindestschwellenwerden statt, sondern nach ganzeinheitlichen Kriterien. Hiernach fallen unter die Regulierung mittlere und große Unternehmen. In Deutschland sind nun weitaus mehr Unternehmen betroffen. 

• Mittlere Unternehmen (Medium): Zwischen 50 bis 250 Beschäftigte, 10-50 Millionen Euro Umsatz und eine größere Bilanz als 43 Millionen Euro. Sanktionen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes, je nachdem, welcher Betrag größer ist.
• Große Unternehme (Large): Mehr als 250 Beschäftigte, mehr als 50 Millionen Euro Umsatz und eine größere Bilanz als 43 Millionen Euro. Sanktionen bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes, je nachdem, welcher Betrag größer ist.

Betroffene Unternehmen sollten folgende Maßnahmen ergreifen:

• Cyber-Security-Updates
• Cyber-Risikomanagement
• Business Continuity Management
• Sicherheiten in der Lieferkette festigen
• Verschlüsselungen
• Zutrittsbeschränkungen und Schulungen
• Behördliche Berichterstattung
• Abhilfemaßnahmen

Nach dem Referentenentwurf des Bundesinnenministeriums haften die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen, wobei höchstens ein Betrag von 2% des globalen Jahresumsatzes des Unternehmens verlangt werden darf.

NIS-2-Richtlinie: Betroffenheit ermitteln

Da die Behörden nicht mitteilen, ob die Richtlinie auf Ihr Unternehmen zutrifft, sollten Sie anhand der Kriterien selbst beurteilen, ob Maßnahmen zu ergreifen sind. Hierbei sollten Sie beachten, dass ein Unternehmen oder eine Organisation, die aufgrund eines großen Marktanteils in einem bestimmten Sektor „wichtig“ ist, wegen ihrer Größe als wesentlich eingestuft werden kann. Aufgrund der NIS-2-Richtlinie werden in Deutschland deutlich mehr Unternehmen betroffen sein. Wenn Sie denken, dass Ihr Unternehmen betroffen sein könnte, sollten sie folgende Schritte durchgehen:

1. Betroffenheit von NIS-2-Richtlinie klären: Konsultieren Sie hier einen Experten.
2. Maßnahmen zur sanktionsfreien Unternehmensführung prüfen.
3. Entwicklung von stabilen Cyber-Sicherheitsvorkehrungen.
4. Erstellen von stetigen Überwachungsmechanismen.

Der Anwendungsbereich bezieht sich nicht mehr nur auf Unternehmen im Strom- und Gassektor. Mit der neuen NIS-2-Richtlinie werden höchstwahrscheinlich auch Lieferketten, also beispielsweise die Hersteller von Windturbinen und Betreiber von Ladestationen für E-Autos (Energiesektor) erfasst. Weitere wesentliche Unternehmen sind: der Luft-, Schienen-, Straßen und Schiffsverkehr, das Finanz-, Gesundheits- und Wasserwesen, die digitale Infrastruktur und IT-Dienste, sowie die öffentliche Verwaltung und die Raumfahrt.Als wichtige Unternehmen kommen schließlich in Betracht: Die Abfallwirtschaft, Lebensmittel- und Medizinhersteller, Post- und Kurierdienste, digitale Anbieter und sonstige Forschungseinrichtungen.

Fazit zur NIS-2 Umsetzung

Durch die NIS-2-Richtlinie werden die Cyber-Sicherheits-Anforderungen erweitert und es werden Sanktionen festgelegt, die das Sicherheitsniveau in den europäischen Mitgliedsstaaten zu harmonisieren. Geschäftsführer und das Management kommen nicht umher, sich mit Themen zum Cyber-Risikomanagement zu befassen und neue Kontrollmechanismen zu implementieren. Für weitere Informationen stehen Ihnen unsere Anwälte bei WBS Legal gerne zur Verfügung.