Dieser Artikel beantwortet Ihnen folgende Fragen:
Was ist die NIS-2 Richtlinie?
Wer ist in Zukunft von ihr betroffen?
Was müssen betroffene Unternehmen beachten?
NIS-2 Richtlinie und ihre Umsetzung in Deutschland
Mit der Neufassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) intensiviert die Europäische Union ihre Anstrengungen, ein europaweit einheitliches Niveau der Cybersicherheit zu etablieren. Diese Revision reagiert auf die uneinheitliche Umsetzung der Erstfassung (NIS -1) aus dem Jahr 2016, welche die EU-Mitgliedsstaaten verpflichtete, Betreiber essenzieller Dienste zu definieren und ihnen Cybersicherheitsverfahren sowie Meldepflichten bei Sicherheitsvorfällen aufzuerlegen. Trotz zeitnaher Integration in nationales Recht, offenbarte sich eine inkonsistente Einstufung der kritischen Dienste, mit großen Unterschieden bei der Zahl der betroffenen Betreiber über die EU-Staaten hinweg.
NIS-2 strebt nun an, solche Inkonsistenzen zu beseitigen, indem sie klar festlegt, welche Unternehmen als Betreiber kritischer Dienste gelten. Sie verschärft die Anforderungen an diese Unternehmen hinsichtlich der Prävention gegen Cyberangriffe und fordert die Implementierung strengerer Sicherheitsstandards sowie die fortlaufende Aktualisierung ihrer IT-Systeme. Ferner werden auch verschärfte Haftungsregeln für das Management der betroffenen Unternehmen eingeführt. Dadurch sollen die Unternehmen nicht nur resilienter gegenüber Cyberbedrohungen werden, sondern auch zu einem kohärenteren Schutzniveau im gesamten europäischen Binnenmarkt beitragen.
Die Richtline muss bis zum 17. Oktober 2024 in Nationales Recht umgesetzt werden. Bis jetzt liegt jedoch nur ein Referentenentwurf des Bundesinnenministeriums vor.
Übrigens:
Falls Sie lieber zuhören: In unserer Podcast Folge 21 haben wir uns schonmal mit dem Thema NIS-2-Richtlinie beschäftigt.
Richtlinien und Verordnungen
In der EU-Gesetzgebung unterscheidet man grundsätzlich zwischen Verordnungen (Art. 288 Satz 2 AEUV) und Richtlinien (Art. 288 Satz 3 AEUV).
Verordnungen gelten unmittelbar in allen Mitgliedsstaaten und müssen in Gänze übernommen werden. Ein Beispiel hierfür ist die DSGVO. Sie gilt gleichermaßen in allen EU-Staaten. Ein spezielles vom Deutschen Bundestag erlassenes Gesetz war für ihr Inkrafttreten nicht nötig.
Richtlinien hingegen definieren ein Ziel, das alle EU-Länder erreichen müssen, lassen aber den nationalen Behörden die Freiheit, eigene Gesetze zur Erreichung dieser Ziele zu verabschieden. Dies ermöglicht eine flexible Umsetzung unter Berücksichtigung nationaler Gegebenheiten, wie die hier besprochene NIS-2 Richtlinie, die durch das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz in nationales Recht gegossen werden soll.
Die Flexibilität der Umsetzung bedeutet vor allem, dass die Nationalstaaten die von der Richtlinie definierten Mindeststandards nicht unterschreiten dürfen. Eine über die Anforderungen der Richtlinie hinausgehende Verschärfung ist jedoch möglich.
Die Umsetzung in deutsches Recht
In Deutschland soll die Richtlinie Hauptsächlich durch das BSI-Gesetz umgesetzt werden. Dieses wird voraussichtlich von aktuell 41 Paragrafen auf 66 Paragrafen und 2 Anlagen anwachsen.
Hier ist in Zukunft besonders § 28 BSI-Gesetz von Bedeutung. Dieser definiert, wer in Zukunft an die Vorgaben gebunden ist. Dreh und Angelpunkt ist die neue Definition von “besonders wichtigen Einrichtungen” und “wichtigen Einrichtungen”.
Besonders wichtige Einrichtungen
Gemäß § 28 Abs. 1 des neuen BSI-Gesetzes sind besonders wichtige Einrichtungen, diejenigen Unternehmen und Organisationen, die in einem der in Anlage 1 genannten Bereich tätig sind und mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz über 50 Millionen Euro oder eine Jahresbilanzsumme von über 43 Millionen Euro haben. Ebenso zählen Anbieter von Telekommunikationsdiensten oder -netzen dazu, wenn sie mindestens 50 Mitarbeiter beschäftigen oder finanzielle Schwellenwerte von über 10 Millionen Euro sowohl beim Umsatz als auch bei der Bilanzsumme erreichen.
Kritische Anlagenbetreiber werden ebenfalls als “besonders wichtige Einrichtungen” eingestuft. Allerdings gibt es Ausnahmen: Finanzunternehmen, die spezifischen EU-Verordnungen unterliegen, sowie Betreiber von Diensten der Telematikinfrastruktur und ähnliche Einrichtungen, die nach dem deutschen Sozialgesetzbuch reguliert werden, sind von dieser Definition ausgenommen.
Wichtige Einrichtungen
Die Klassifizierung als “wichtige Einrichtung” gemäß § 28 Abs. 2 BSI-Gesetz betrifft Unternehmen und Organisationen, die kostenpflichtige Dienstleistungen oder Waren bereitstellen und die in den Anhängen 1 und 2 definierten Sektoren tätig sind. Sie müssen zudem eine Mitarbeiterzahl von mindestens 50 Personen aufweisen oder über einen Jahresumsatz sowie eine Bilanzsumme von jeweils über 10 Millionen Euro verfügen.
Anlagen zum BSI-Gesetz
Anhang I regelt welche Sektoren genau als hochkritisch eingestuft werden. Dazu gehören die Bereiche Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B) und der Weltraumsektor.
Anhang II bezieht sich auf weitere wichtige Sektoren wie Post- und Kurierdienste, Abfallbewirtschaftung, die Produktion und den Handel mit chemischen Stoffen, Lebensmittelproduktion und -vertrieb, das verarbeitende Gewerbe sowie Anbieter digitaler Dienste und Forschungseinrichtungen. Die explizite Definition der betroffenen Einrichtungen in beiden Anhängen zielt darauf ab, die Cybersicherheitsmaßnahmen über eine breite Palette von Industriezweigen und Dienstleistungen hinweg zu vereinheitlichen und zu stärken. Vermutlich werden bis zu 30.000 Unternehmen und Organisationen in Deutschland den neuen Regelungen unterliegen.
Erforderliche Maßnahmen
In Bezug auf die Cybersicherheit müssen die betroffenen Unternehmen komplexere und tiefgreifendere Sicherheitsmaßnahmen einführen, die ein umfangreiches Risikomanagement, Vorfallsmeldungen, diverse technische Maßnahmen und Governance einschließen. Die Einzelheiten werden in §§ 30 – 41 BSI-Gesetz geregelt. Die staatlichen Befugnisse werden durch eine Registrierungspflicht, Nachweispflichten, Meldepflichten und einen verbindlichen Informationsaustausch erweitert.
Zudem wird das System der Sanktionen verstärkt. Unternehmen können nun mit Bußgeldern belegt werden, die sich auf Beträge zwischen 100.000 Euro und 20 Millionen Euro belaufen oder einen bestimmten Prozentsatz des globalen Jahresumsatzes des Unternehmens betragen.
Haftung und Verantwortung der Geschäftsführung im Bereich Cybersicherheit
Es wird auch eine neue Haftung für die Führungskräfte der Betroffenen Unternehmen in § 38 BSI-Gesetz eingeführt.
Die Geschäftsführung von besonders wichtigen und wichtigen Einrichtungen trägt gemäß der neuen Vorschrift eine erhebliche Verantwortung für das Cybersicherheitsmanagement. Es besteht eine explizite Verpflichtung, Cybersicherheitsmaßnahmen, die gemäß § 30 des BSI-Gesetzes festgelegt sind, zu billigen und deren Implementierung zu überwachen. Die Unternehmensleitung ist nicht nur für die Genehmigung der Maßnahmen zuständig, sondern muss auch sicherstellen, dass diese im Betrieb effektiv umgesetzt werden.
Falls Geschäftsleiter ihre Aufsichtspflichten verletzen, können Verzichte auf Ersatzansprüche durch die Einrichtung oder Vergleiche über solche Ansprüche ungültig sein.
Darüber hinaus sind regelmäßige Schulungen für die Geschäftsleitungen vorgesehen. Ziel dieser Schulungen ist es, dass die Verantwortlichen stets angemessene Kenntnisse und Fähigkeiten besitzen, um Risiken im IT-Sicherheitsbereich erkennen, bewerten und effektive Risikomanagementpraktiken implementieren zu können. Dies dient dem Schutz der von der Einrichtung erbrachten Dienste und soll das Verständnis für die Bedeutung von IT-Sicherheit auf höchster Unternehmensebene gewährleisten.
Fazit:
Die EU nimmt mit der überarbeiteten NIS-2-Richtlinie eine führende Rolle in der Stärkung der Cybersicherheit ein. In Deutschland soll dies hauptsächlich über das BSI-Gesetz erfolgen. Das Gesetz präzisiert insbesondere, welche Einrichtungen als “besonders wichtig” oder “wichtig” gelten und somit den neuen Regelungen unterworfen sind. Mit der Ausweitung auf bis zu 30.000 Unternehmen und der Verpflichtung zu umfassenderen Sicherheitsmaßnahmen signalisiert Deutschland sein Engagement für die Cybersicherheit. Ergänzt wird dies durch eine stärkere Haftung der Geschäftsführungen, die für die Implementierung und Überwachung der Sicherheitsmaßnahmen verantwortlich sind und an regelmäßigen Schulungen teilnehmen müssen. Die Verschärfung der Sanktionen bei Nichteinhaltung der Vorschriften unterstreicht die Bedeutung, die der Gesetzgeber der Cybersicherheit beimisst.
