Das Thema NIS2 ist derzeit in aller Munde. Doch was ist die NIS2-Richtlinie eigentlich? Was hat das NIS2-Umsetzungsgesetz damit zu tun? Wer ist von der NIS2-Richtlinie betroffen und was sind Essential Entities oder Important Entities? Welche Anforderungen kommen auf die Unternehmen zu und bis wann müssen diese umgesetzt werden? Was bedeutet die NIS2 für bestehende KRITIS-Betreiber?
Mit diesem Artikel versuchen wir diese und weitere Fragen zu klären und möchten Ihnen so eine pragmatische Vorbereitung auf die NIS2 ermöglichen.Die NIS2-Richtlinie erweitert die bestehende EU-Cybersicherheitsregulierung und führt zum 01.10.2024*, für eine Vielzahl an Unternehmen, zu neuen Pflichten wie bspw. IT-Risikomanagement, Melde und Registrierungspflichten. Viele Unternehmen mit nur 50MA oder 10 Mio€ Jahresumsatz sind betroffen.
Die NIS2-Richtlinie (EU 2022/2555) ist eine europäische Richtlinie zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU und wurde bereits Ende 2022 verabschiedet. Das Kürzel „NIS“ steht dabei für „Network and Information Security“. EU Richtlinien müssen von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Bereits mit dem Vorgänger (NIS-1) wurden bereits 2016 EU-weite Cybersicherheitspflichten eingeführt. In Deutschland erfolgte die Umsetzung dieser ersten NIS-Richtlinie mit dem IT-Sicherheitsgesetz (und Anpassungen am BSIG sowie der BSI-Kritis-V). Betroffen waren vor allem die sogenannten „KRITIS-Betreiber“.
Mit der nun kommenden NIS2-Richtlinie sollen die, bisher sehr unterschiedlichen, Cybersicherheitsanforderungen in den Mitgliedsstaaten vereinheitlicht werden und die Wirksamkeit der Maßnahmen erhöht werden. Dies beinhaltet auch eine deutliche Ausweitung der Anzahl der betroffenen Unternehmen. Auch die NIS2 muss noch in nationales Recht umgesetzt werden. In Deutschland erfolgt die Umsetzung mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG).
Europäische Richtlinien müssen von den Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland erfolgt das mit dem NIS2UmsuCG (NIS2-Umsetzungsgesetz). Wie auch die vorherigen Gesetze zur Umsetzung der ersten NIS-Richtlinie (IT-Sicherheitsgesetz 1.0 und 2.0), handelt es sich um ein Artikelgesetz, welches bestehende Gesetze, primär das BSI-Gesetz (BSIG) ändern wird. Vereinzelt wird das NIS2UmsuCG umgangssprachlich auch als IT-Sicherheitsgesetz 3.0 bezeichnet.
Das NIS2UmsuCG ist noch nicht verabschiedet, allerdings kursieren verschiedene Referentenentwürfe, welche die wesentlichen Inhalte bereits erkennen lassen. Wenig überraschend gibt es nur wenige Abweichungen zur EU-Richtlinie. Bis zur finalen Verabschiedung sind aber weitere Anpassungen möglich.
Die NIS2-Richtlinie hat unter anderem das Ziel die Cybersicherheitsanforderungen in der EU zu vereinheitlichen. Sie weitet dabei die Anzahl der betroffenen Unternehmen stark aus. Alleine in Deutschland werden dies mehr als 30.000 Unternehmen sein. Bisher hatten die Mitgliedstaaten bei der NIS1 relativ viel Spielraum, welche Unternehmen von der nationalen Gesetzgebung erfasst werden sollten. Die deutsche Umsetzung der NIS1-RL erfolgte durch das IT-Sicherheitsgesetz (2.0). Bisher waren somit die sogenannten KRITIS-Betreiber, anhand von versorgungsrelevanter Schwellenwerte (BSI-Kritis-V), von der IT-Sicherheitsregulierung erfasst. Das ändert sich nun grundlegend. Mit der NIS2-Richtlinie gibt es einen EU-weit einheitlichen Ansatz zur Identifikation der zu regulierenden Unternehmen. Die betroffenen Unternehmen werden anhand der Kriterien Sektorzugehörigkeit und Unternehmensgröße erfasst. Dabei sind viele Unternehmen bereits ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz betroffen.
Diese Systematik, auch auch als Size-Cap-Regelung wird auch in der deutschen Umsetzung (dem NIS2UmsuCG) angewandt.
Grundsätzlich gilt: Wenn ein Unternehmen in einem der 18 Sektoren die Dienstleistungsbeschreibung erfüllt und mehr als 50MA oder mehr als 10 Mio. € Jahresumsatz hat, dann ist es sehr wahrscheinlich betroffen. Zusätzlich gibt es unterschiedliche Kategorien welche die Kritikalität der Unternehmen einstufen (§28 NIS2UmsuCG): Essential Entities oder Important Entities (NIS2UmsuCG: Wichtige Unternehmen / Besonders wichtige Unternehmen) – ein Artikel hierzu folgt
Achtung: Für einige Branchen bestehen größenunabhängige Sonderregelungen. Diese Unternehmen sind unabhängig von Mitarbeiteranzahl oder Jahresumsatz erfasst.
Wichtig: Betroffene Unternehmen werden nicht gesondert angeschrieben, Sie müssen sich selbstständig identifizieren und rechtzeitig auf die Umsetzung der Pflichten vorbereiten.
Betroffenheitsprüfung: Für eine erste Einschätzung der Betroffenheit haben wir unseren NIS2-Selfcheck entwickelt.
Das NIS2UmsuCG wird bringt neue Pflichten für die betroffenen Unternehmen, wobei eine Vielzahl der Anforderungen bereits aus eigenem Interesse an Informationssicherheit und Resilienz erfüllt werden sollte. Die Pflichten umfassen dabei sowohl organisatorische Prozesse, als auch technische Maßnahmen. Sie lassen sich unterteilen in:
Registrierungspflichten:
Die §33 und 34 des NIS2UmsuCG beinhalten Registrierungspflichten für NIS2-Unternehmen. Die meisten Unternehmen müssen dann zum Sticht ag eine Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vornehmen. Neben den Angaben zum Unternehmen, Kontaktdaten, müssen teilw. auch öffentliche IP-Adressbereiche des Unternehmens übermittelt werden. Die Aufsichtsbehörde kann in bestimmten Fällen (bspw. der Vermutung der nicht erfolgten Registrierung) Einsicht in interne Aufzeichnungen verlangen.
Nachweispflichten:
Für einige Einrichtungskategorien werden Nachweise der NIS2-Umsetzung erforderlich (bspw. durch Zertifikate, Audits). Derzeit sind Nachweise nur für „Betreiber kritischer Anlagen“, d. h. für die bisherigen KRITIS-Betreiber vorgesehen. Die Regelungen dazu können sich noch ändern. Die NIS2-Nachweispflichten werden im §39 des NIS2UmsuCG geregelt.
Meldepflichten & Informationsaustausch:
NIS2-Unternehmen werden verpflichtet Sicherheitsvorfälle an das BSI zu melden. Erhebliche Sicherheitsvorfälle müssen dann unverzüglich, spät. 24h nach Kentniserlangung gemeldet werden. Der §32 des NIS2UmsuCG regelt die Meldepflichten für NIS2-Unternehmen.
Einige NIS2 Unternehmen werden zusätzlich verpflichtet am Informationsaustausch des BSI teilzunehmen. Das BSI wird dabei ein Portal schaffen, um Informationen wie : Cyberbedrohungen, Beinahevorfällen, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren auszutauschen .Im §6 des NIS2UmsuCG wir der BSI-Informationsaustausch geregelt und §30 (7) verpflichtet die besonders wichtige Einrichtungen zur Teilnahme an diesem.
Cybersicherheitsmaßnahmen:
Das NIS2UmsuCG fordert die Etablierung eines (IT)-Risikomanagements aus dem anschließend wirksame Cybersicherheitsmaßnahmen abgeleitet werden müssen. Der §30 des NIS2UmsuCG regelt die Risikomanagementmaßnahmen für NIS2-Unternehmen. Die Maßnahmen umfassen dabei u. a.:
Weitere Pflichten und Anforderungen:
Neben den zuvor genannten NIS2-Pflichten gibt es noch eine Reihe weiterer Pflichten und Anforderungen zu beachten. Betroffen Unternehmen sollten sich umfassend mit den Details des NIS2UmsuCG befassen. Beispielsweise kommen Überwachungs- und Schulungspflichten sowie Haftungsregelungen (§38) auf Geschäftsführer zu. Der §35 regelt zusätzliche Unterrichtungspflichten im Falle eines Sicherheitsvorfalls. Unter bestimmten Voraussetzungen müssen NIS2-Unternehmen dann auch die Empfänger (Kunden) ihrer Dienste unverzüglich über den Vorfall unterrichten.
Eine finale Fassung des NIS2UmsuCG wird bis zum spät. 31.03.2024 erwartet. Die europäische NIS2-Richtlinie muss bis spät. 17.10.2024 in nationales Recht umgesetzt werden. Das NIS2UmsuCG wird dann zum vrs. zum 01.10.2024 oder spät dem 17.10 wirksam werden. Ein Großteil der Anforderungen muss bereits zu diesem Stichtag von den Unternehmen erfüllt werden. Den Unternehmen werden dann also ca. 6 Monate zur Umsetzung verbleiben. In den Referentenentwürfen des NIS2UmsuCG argumentiert das BMI, dass dieser Zeitraum ausreichen sei, da die zugrundeliegende NIS2-Richtlinie bereits bekannt sei und Unternehmen sich schon vorbereiten könnten.
Betroffene Unternehmen werden sich unweigerlich die Frage stellen, was passiert, wenn Sie den NIS2-Anforderungen nicht nachkommen. Um die Durchsetzung zu gewährleisten, sieht der Gesetzgeber auch hier Bußgelder vor. Die Sanktionsvorschriften werden im §60 des NIS2UmsuCG geregelt. Sie sind in ihrer Höhe, abhängig von Einrichtungskategorie und Art des Verstoßes, gestaffelt. Es sind Bußgelder von bis zu 20 Mio € möglich. Wenn bspw. ein Betreiber einer besonders wichtigen Einrichtung, vorsätzlich oder fahrlässig entgegen § 32 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt ist ein Bußgeld von bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, möglich.