Ende 2022 verabschiedeten das Europäische Parlament und der Rat der EU die Version 2 der Network-and-Information-Security-Richtlinie (NIS2). Bis zum 17. Oktober 2024 muss die NIS2 in nationales Recht umgesetzt sein. Mittlerweile liegt in Deutschland der Referentenentwurf für ein Gesetz zur Umsetzung der Richtlinie vor. Am Ende wird eine mehr oder weniger vollständige Überarbeitung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) stehen.
Wir erklären Ihnen die wichtigsten Änderungen der NIS2 und was betroffene Einrichtungen in Deutschland jetzt schon tun können und sollten.
Warum eine NIS2-Richtlinie?
Die NIS-Richtlinie (vollständiger Name: Directive on measures for a high common level of cybersecurity across the Union) wurde bereits 2016 EU-weit eingeführt. Die Version NIS2 trat 2023 in Kraft (zum Volltext im Amtsblatt der Europäischen Union).
Wesentlicher Grund für die Gesetzesänderungen zur NIS2 ist die zunehmende Digitalisierung und die stark gestiegene Bedrohungslage durch Cyberkriminalität. Dem stand bisher eine bislang auf Basis der alten Richtlinie völlig unterschiedliche Herangehensweisen der EU-Mitgliedsstaaten gegen. Durch die neue Richtlinie soll beidem begegnet werden.
Die wichtigsten Änderungen der NIS2-Richtlinie
Der Kreis der von NIS2 adressierten Einrichtungen wird deutlich größer
Es werden künftig wesentlich mehr Einrichtungen verpflichtet als bisher. Insbesondere die Schwellwerte der BSI-Kritisverordnung (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz – BSI-KritisV) werden nicht mehr gelten. Überhaupt wird die Größe einer Einrichtung nicht mehr unbedingt einen Rückschluss darauf zu lassen, ob diese den künftigen Kategorien „wesentliche Einrichtung“ oder „wichtige Einrichtung“ unterfällt. Auch der bereits 2021 erweiterte Katalog erfasster Einrichtungen durch das IT-Sicherheitsgesetz 2.0 bleibt unterhalb der künftigen Reichweite.
In der neuen Richtlinie sind kritische und hochkritische Sektoren bereits erfasst. Damit können die einzelnen Mitgliedsstaaten nicht mehr selbst entscheiden, welche Bereiche adressiert werden.
Als kritisch (wichtig) eingestuft werden die Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Warenproduktion und verarbeitendes Gewerbe
- Anbieter digitaler Dienste
- Forschung
Als hochkritisch (wesentlich) eingestuft werden die Sektoren:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- digitale Infrastruktur
- Verwaltung von IKT-Diensten, mit Ausnahme des Verbraucherbereichs
- öffentliche Verwaltung
- Weltraum
Einrichtungen, die die Schwelle eines mittleren Unternehmens überschreiten, werden ohne weitere Voraussetzungen automatisch von der Richtlinie erfasst. Angesprochen sind damit alle Einrichtungen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von zehn bis 43 Millionen Euro.
Einige Einrichtungen werden den Regelungen der Richtlinie auch unterhalb dieser Schwelle unterworfen und als „kritisch“ eingestuft. In anderen Fällen erfolgt die Einstufung anhand weicher Faktoren.
NIS2 gibt neue und klare Anforderungen vor
Die neue Richtlinie definiert die Anforderungen in einem Katalog und überlässt die Umsetzung damit nicht mehr den Mitgliedsstaaten.
Die Anforderungen sind beispielsweise:
- Konzepte hinsichtlich der Analyse von Risiken
- Konzepte zur Sicherheit von Informationssystemen
- Prozess zur Bewertung der Wirksamkeit von Maßnahmen
- Prozess zur Bewältigung von Sicherheitsvorfällen (Incident Response Management)
- Prozess zur Aufrechterhaltung des Betriebs (Business Continuity) und zum Krisenmanagement
- Implementierung von Sicherheitsmaßnahmen bereits beim Einkauf bzw. der Entwicklung und Wartung von Netzwerk- oder Informationssystemen
- Schulungen im Bereich Cybersicherheit
- Sicherheit der Lieferkette
- Asset Management
- Personalsicherheit
- Kryptographie
- Kommunikation und Notfallkommunikation
Alle angesprochenen Einrichtungen sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Stand der Technik zu ermitteln und sodann umzusetzen, um relevanten Gefahren zu begegnen. Relevant sind nicht nur Cyber-Gefahren, sondern auch andere, wie beispielsweise Umweltgefahren (Feuer, Wasser) oder direkte physische Einwirkung durch Menschen.
Achtung: Die Verhältnismäßigkeit orientiert sich an den möglichen Auswirkungen, nicht an den Kosten für Schutzmaßnahmen!
NIS2 verhindert Verstecken
Für einige Einrichtungen ist eine zwingende Registrierung bei der ENISA (Agentur der Europäischen Union für Cybersicherheit) vorgesehen.
Unabhängig hiervon muss die Meldung von Sicherheitsvorfällen an die eigene Sicherheitsbehörde künftig in mehreren Schritten erfolgen:
- Innerhalb von 24 Stunden hat die Erstmeldung zu erfolgen.
- Diese ist innerhalb von 72 Stunden zu aktualisieren.
- Eine Abschlussmeldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgt innerhalb eines Monats.
Unter NIS2 ist das Management persönlich verantwortlich
Es wird ausdrücklich klargestellt, dass die Gesamtverantwortung auch für die Cybersicherheit und die Prävention von Sicherheitsvorfällen beim obersten Management liegt. Das ist im Grunde keine Überraschung, immerhin geht es um Compliance. Der Gesetzgeber hielt es aber für notwendig, das explizit auszusprechen.
Dementsprechend droht auch dem obersten Management entsprechende eine persönliche Haftung bei Mängeln in der Umsetzung. Der Entwurf zur NIS2-Umsetzung in Deutschland sieht explizit vor, dass das Management bei Verletzung seiner Pflichten der Einrichtung für einen dadurch entstehenden Schaden haftet. Wie sonst auch, wird es nicht möglich sein, diese Verantwortung restlos zu delegieren. Das ist eine Fehlannahme, der immer noch viele Manager aufsitzen – auch unterstützt von haltlosen Versprechungen einiger Berater.
Tipp: Lesen Sie dazu auch unseren Ratgeber zu Verantwortung, Haftung und Delegierbarkeit des Datenschutzes.
Sehr interessant ist zudem, dass das BSI offenbar die Befugnis erhalten soll, dem Management die Wahrnehmung seiner Leitungsaufgabe vorübergehend zu untersagen, wenn das Management Anordnungen dieser Behörde missachtet.
Mögliche Sanktionen unter der NIS2
Die Richtlinie verpflichtet die EU-Mitgliedsstaaten dazu, Bußgeldtatbestände bei Verstößen zu schaffen. Künftig werden sehr empfindliche Geldbußen möglich, die sehr an die EU-Datenschutz-Grundverordnung (DSGVO) erinnern. Es stehen Bußgelder von bis zu 20 Millionen Euro im Raum bzw. auch solche, die vom letztjährigen weltweiten Gesamtumsatz abhängig sind.
Handlungsempfehlung für (möglicherweise) betroffene Einrichtungen
Klären Sie jetzt, ob Sie künftig durch die NIS2 verpflichtet sein werden!
Sorgen Sie rechtzeitig für ausreichende Ressourcen und ggf. externe Unterstützung! Wenn das Gesetz erst greift und die Umsetzungsfrist läuft, werden wir ein ähnliches Szenario erleben, wie bei Einführung der DSGVO. Es werden nicht ausreichend Berater am Markt verfügbar sein und die Zeit zur Umsetzung ist sehr endlich.
Bestimmen Sie bereits jetzt den Handlungsbedarf! Völlig unabhängig davon, ob eine Einrichtung am Ende gesetzlich verpflichtet sein wird, etwas für die eigene Cybersicherheit zu tun – schaden wird es sicher nicht, Verbesserungsmöglichkeiten zu kennen.
Nachdem im Ergebnis ohnehin alle Einrichtungen aus anderen Gründen (allen voran dem Datenschutz) verpflichtet sind, geeignete technische und organisatorische Maßnahmen zu ergreifen, bietet sich die Gelegenheit, mehrere Fliegen mit einer Klappe zu schlagen.
Denken Sie dabei auch an Lieferketten, Ihren Einkauf und Ihre Entwicklung! In diesen Bereichen werden spontan kaum wesentliche Veränderungen möglich sein.
Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen!