NIS2 – neue Regeln für Cyber-Sicherheit in Deutschland und Europa
Eine zunehmend globalisierte Welt stellt die EU in der Cyber-Sicherheit vor neue Herausforderungen. Darauf hat sie nun mit einer neuen Richtlinie zur Cyber-Sicherheit reagiert, die der notwendigen Angleichung der Standards im europäischen Binnenmarkt Rechnung getragen soll.
Eine zunehmend globalisierte Welt stellt die EU in der Cyber-Sicherheit vor neue Herausforderungen. Darauf hat sie nun mit einer neuen Richtlinie zur Cyber-Sicherheit reagiert, die der notwendigen Angleichung der Standards im europäischen Binnenmarkt Rechnung getragen soll.
In diesem Beitrag zeigen wir Ihnen die Kernpunkte der Richtlinie und des dazugehörigen Umsetzungsgesetzes auf nationaler Ebene auf.
NIS2-Richtlinie
Um der steigenden Anzahl von Cyberangriffen und der fortschreitenden Digitalisierung zu begegnen, hat die Europäische Union die NIS2-Richtlinie entwickelt. Die Richtlinie setzt sich zum Ziel, die Cyber-Sicherheit in der Europäischen Union zu stärken und sicherzustellen, dass alle Mitgliedsstaaten einheitliche Standards für und Anforderungen an die Cyber-Sicherheit haben.
Die vorangegangene NIS-Richtlinie legte den Schwerpunkt auf den Aufbau von Cybersicherheitskapazitäten in den Mitgliedsstaaten. Der Schwerpunkt der NIS2-Richtlinie liegt in der europaweiten Angleichung des Niveaus und in der Ausweitung bestimmter Anforderungen auf Einrichtungen auch geringerer Größe.
Verpflichtungen des (Risiko-)Managements
Einen Kernpunkt stellt die Rolle des Managements bei der Förderung von Cyber-Sicherheit. Der Geschäftsleitung wird die Aufgabe gegeben, ein Risikomanagement aufzustellen und den erkannten Risiken entsprechend zu handeln. Der risikobasierte Ansatz ist bereits aus der DSGVO und der Informationssicherheit bekannt – keine Informationssicherheit ohne Risikoanalyse. Ebenso muss die Unternehmensleitung dafür Sorge tragen, dass IT-Sicherheit von der Belegschaft ernst genommen wird. Ein probates Mittel stellen regelmäßige Schulungen und eine Sensibilisierung zu Themen aus der Informationssicherheit dar.
Die Richtlinie in der Lieferkette
Ebenfalls hervorgehobene Bedeutung erfährt das Risikomanagement in der Lieferkette. Unternehmen müssen sicherstellen, dass Sicherheitsvorfälle bei Dienstleister:innen oder Auftragnehmer:innen nicht dazu führen, dass kritische Einrichtungen beeinträchtigt werden.
Schon im Rahmen des Lieferkettensorgfaltspflichtengesetzes – kurz LkSG (hier mehr dazu) – müssen Unternehmen unter Umständen ihre Zulieferinnen und Zulieferer überprüfen oder sich bestimmten vertraglichen Anforderungen ihrer Auftraggeber:innen unterwerfen. Die Überprüfung von Auftragnehmer:innen auf die Einhaltung gewisser Standards ist daher nicht ganz unbekannt.
Meldung von Sicherheitsvorfällen
Ein zentraler Aspekt der NIS2-Richtlinie ist die Pflicht zur Meldung von Sicherheitsvorfällen. Unternehmen müssen erhebliche Sicherheitsvorfälle den nationalen Behörden regelmäßig melden. Die Legaldefinition eines erheblichen Sicherheitsvorfalls umfasst schwerwiegende Betriebsstörungen oder finanzielle Verluste für die Einrichtung sowie Beeinträchtigungen von Personen oder Schäden. Hier ist wichtig, dass Sicherheitsvorfälle von Anfang an wahr- und ernstgenommen werden und alle beteiligten Personen, sei es im eigenen Unternehmen oder bei Dienstleister:innen, zur Dokumentation bestimmter Vorfälle und deren sofortiger Weiterleitung an die zuständige Stelle angewiesen werden.
Sanktionen bei Verstößen gegen die NIS2-Richtlinie
Die Richtlinie sieht Sanktionen ähnlich der DSGVO vor. Diese Sanktionen können Geldbußen oder andere Maßnahmen sein, abhängig von der Schwere des Verstoßes und den spezifischen Umständen. Die Geldbußen können bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes des Unternehmens betragen.
Insgesamt ist die Richtlinie ein wichtiger Schritt zur Verbesserung der Cyber-Sicherheit in der Europäischen Union. Über die gesetzlichen Vorgaben und die Anforderungen der Richtlinie hinaus soll die unternehmensinterne Sicherheit und die ihrer Kund:innen realisiert werden.
NIS2UmsuCG
Da es sich bei der NIS2-Richtlinie um eine EU-Richtlinie handelt, muss sie durch ein nationales Gesetz vom deutschen Gesetzgeber umgesetzt werden, um hierzulande Bindungswirkung zu entfalten. Im Gesetzgebungsverfahren befindet sich daher das sogenannte „NIS2UmsuCG“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Dieses Gesetz liegt als Entwurf vor und hat weitreichende Auswirkungen auf Unternehmen und Organisationen in Deutschland. Es soll im März 2024 verkündet und im Oktober 2024 in Kraft treten. Bis dahin sind weitere Änderungen am Gesetzesentwurf möglich.
Betroffene Unternehmen
Das NIS-2-Umsetzungsgesetz betrifft neben Infrastrukturunternehmen auch weitere große Teile der deutschen Wirtschaft. Es unterscheidet zwischen verschiedenen Gruppen von betroffenen Unternehmen:
- Betreiber:innen kritischer Anlagen (KRITIS-Betreiber:innen): Diese Unternehmen müssen die Betroffenheit einzelner Anlagen nach der KRITIS-Verordnung feststellen und bestimmte Cybersicherheitsmaßnahmen umsetzen.
- Besonders wichtige Einrichtungen: Diese werden nach der Größe ihres Unternehmens identifiziert und müssen spezifische Cybersicherheitspflichten erfüllen.
- Wichtige Einrichtungen: Auch diese werden nach Unternehmensgröße identifiziert und haben grundsätzliche Cybersicherheitsverpflichtungen.
Pflichten für Unternehmen
Die betroffenen Unternehmen müssen eine Reihe von Cybersicherheitsmaßnahmen umsetzen. Dazu gehören:
- Risikomanagement
- Vorfallsmeldungen
- Technische Maßnahmen
- Governance
- Sicherheit der Lieferkette
- Sicherheit in der Entwicklung, Beschaffung und Wartung von IT-Systemen
- Schulungen zur Cybersicherheit
- Kryptografie und Verschlüsselung
- Personalsicherheit und Zugriffskontrolle
- Multi-Faktor-Authentisierung
- Sichere Kommunikation
Die einzelnen Pflichten und die Umsetzung der Maßnahmen können sich je nach Unternehmen und Branche unterscheiden.
Meldepflichten
Besonders wichtige Einrichtungen müssen Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Diese Meldungen erfolgen innerhalb kurzer Fristen und umfassen Erstmeldungen, Folgemeldungen, Zwischenmeldungen und Abschlussmeldungen. Betreiber:innen kritischer Anlagen müssen zusätzlich Informationen über die betroffenen Anlagen und Dienstleistungen bereitstellen.
Registrierung und Kontaktstelle
Die betroffenen Einrichtungen und Betreiber:innen müssen sich beim BSI registrieren und eine Kontaktstelle benennen. Das BSI kann daneben Unternehmen proaktiv registrieren, wenn sie bestimmte Voraussetzungen erfüllen.
Aufsicht und Sanktionen
Das BSI überwacht die Einhaltung der Vorgaben und kann bei Verstößen verschiedene Maßnahmen ergreifen.
Dazu gehören die Überprüfung der Umsetzung von Anforderungen, Anweisungen zur Verhütung oder Behebung von Sicherheitsvorfällen, Unterrichtung von Personen und Unternehmen über Maßnahmen gegen Cyberbedrohungen und unter Umständen der Entzug der Zulassung für Geschäftsführer:innen, die ihren Sicherheitspflichten nicht nachkommen.
Darüber hinaus können bei Verstößen Bußgelder abhängig von der Schwere des Verstoßes und der Größe des Unternehmens verhängt werden.
Fazit
Inwieweit die nationalen Gesetz der EU-Mitgliedsstaaten den Vorgaben der europäischen Richtlinie entsprechen und dadurch tatsächlich für eine Angleichung der IT-Sicherheit innerhalb des europäischen Binenmarktes sorgen, lässt sich erst beurteilen, wenn die jeweiligen Gesetze verabschiedet wurden. Das sollte bis Ende 2024 jedenfalls geschehen sein. Klar ist, dass einheitliche Standards in der EU unabdingbar sind und die Richtlinie einen richtigen Weg einschlägt.
Wir verfolgen die Gesetzgebung für Sie und bringen Sie gerne über unsere Blogartikel oder auch im persönlichen Beratungsgespräch auf den neuesten Stand. Wenn Sie sich fragen, ob die rechtlichen Regelungen auch auf ihr Unternehmen mittelbare oder unmittelbare Auswirkungen haben und welche das sein werden, wenden Sie sich gerne an uns.
Für die Implementierung konkreter Sicherheitsmaßnahmen benötigen Sie in der Regel auch kompetente Unterstützung durch Fachleute für IT-Sicherheit. Wir stellen bei Bedarf den Kontakt zu vertrauenswürdigen Anbieter:innen her – selbstverständlich kostenfrei und frei von jeglichen Vorteilen für uns.
Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:
- Abonnieren Sie unsere Tipps und Tricks.
- Lesen Sie unsere kostenlosen E-Books.
- Informieren Sie sich über unsere Leistungen.
- Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
- Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
Ihre Ansprechperson
Dr. Jochen Notholt
Lesen Sie hier weiter:
Ist Ihr IT-Unternehmen rechtlich professionell aufgestellt?
Viele IT-Unternehmen vernachlässigen ihre rechtliche Aufstellung. Wie es rechtlich um Ihr Unternehmen steht, können Sie mit unserer IT-Recht-Checkliste ganz einfach selbst überprüfen – damit Sie sich entspannt auf Ihre Geschäfte konzentrieren können.
E-Book: Die Auftragsverarbeitung in der Praxis
Alles, was Sie bei der Auftragsverarbeitung in der Praxis beachten müssen, erfahren Sie in diesem E-Book.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich