Die NIS2-Richtlinie ist ein zentraler Bestandteil der EU-Strategie zur Stärkung der Cybersicherheit, der auf den Erfahrungen und Grenzen der ursprünglichen NIS-Richtlinie aufbaut. Ihre Implementierung signalisiert eine bedeutsame Verschiebung in der Wahrnehmung und im Umgang mit Cybersicherheitsrisiken in der EU.

Dieser Beitrag geht tiefer auf die Schlüsselaspekte ein, um Unternehmen einen umfassenderen Überblick und konkrete Handlungsanweisungen zu bieten.

Erweiterter Anwendungsbereich für eine robustere Cybersicherheitslandschaft

Die NIS2-Richtlinie erkennt an, dass die Sicherheit von Netz- und Informationssystemen nicht nur für bestimmte Sektoren oder große Unternehmen von Bedeutung ist. Ihr erweiterter Anwendungsbereich umfasst jetzt auch mittlere Unternehmen und deckt zusätzliche Sektoren ab, die für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Aktivitäten unerlässlich sind. Dieser inklusive Ansatz reflektiert die Realität, dass Cyberbedrohungen keine Grenzen kennen und ein breites Spektrum von Einrichtungen betreffen können. Die Ausweitung erfordert von einer größeren Zahl von Unternehmen, sich aktiv mit Risikomanagement zu beschäftigen und angemessene Sicherheitsmaßnahmen zu implementieren, wodurch die allgemeine Widerstandsfähigkeit gegenüber Cyberangriffen erhöht wird.

Kernanforderungen der NIS2-Richtlinie

Die Richtlinie legt spezifische Sicherheits- und Meldungsanforderungen für mittlere und große Unternehmen in kritischen Sektoren fest. Dies beinhaltet unter anderem:

Risikomanagement, § 30

Die NIS2-Richtlinie erfordert von Betreibern wesentlicher und wichtiger Einrichtungen ein proaktives und umfassendes Risikomanagement. Das Hauptziel besteht darin, mögliche Störungen zu minimieren und die Auswirkungen von Sicherheitsvorfällen so gering wie möglich zu halten. Bei der Risikobewertung müssen Betreiber eine Reihe von Faktoren berücksichtigen, darunter die Risikoexposition, die Größe der Einrichtung, Kosten der Sicherheitsmaßnahmen, Wahrscheinlichkeit und Schwere potenzieller Sicherheitsvorfälle sowie deren gesellschaftliche und wirtschaftliche Folgen. Die umzusetzenden Maßnahmen sollten einen ganzheitlichen Ansatz verfolgen, der technische und organisatorische Aspekte einbezieht und sowohl europäische als auch internationale Normen beachtet.

Zu den wesentlichen Aspekten zählen:

  • Konzepte zu Risikoanalyse und Sicherheit in der IT
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs: Backup-Management, Wiederherstellung, Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung & Wartung von informationstechnischen Systemen, Komponenten & Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  • Bewertung von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen
  • Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Konzepte für  Zugriffskontrolle und für Management von Anlagen
  • Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung

Für Betreiber kritischer Infrastrukturen gelten dabei noch strengere Anforderungen, einschließlich der Verwendung von Angriffserkennungssystemen und spezifischen Nachweispflichten.

Meldepflichten, § 32

Gemäß der NIS2-Richtlinie sind Betreiber essentieller Dienste und kritischer Infrastrukturen verpflichtet, dem BSI Sicherheitsvorfälle innerhalb sehr strikter Fristen zu melden. Die Meldepflichten beginnen mit einer unverzüglichen Erstmeldung, die spätestens innerhalb von 24 Stunden nach Entdeckung des Sicherheitsvorfalls erfolgen muss. Innerhalb von 72 Stunden nach dieser Erstmeldung ist eine ausführliche Folgemeldung erforderlich, die eine detaillierte Bewertung des Vorfalls hinsichtlich seiner Schwere und Auswirkungen umfasst. Zusätzlich können Zwischenberichte auf Anfrage des BSI erforderlich sein. Innerhalb eines Monats nach dem Vorfall muss eine abschließende Bewertung oder ein Fortschrittsbericht vorgelegt werden, der eine vollständige Beschreibung des Vorfalls, seiner Ursachen, der ergriffenen Maßnahmen und der überregionalen Auswirkungen beinhaltet. Für Betreiber kritischer Infrastrukturen bestehen erweiterte Anforderungen, die spezifische Informationen über die betroffenen Anlagen und Dienstleistungen sowie die Auswirkungen des Vorfalls beinhalten. Diese detaillierten Meldepflichten sollen eine schnelle und effektive Reaktion auf Sicherheitsvorfälle ermöglichen und tragen zur Verbesserung der Cybersicherheitslage bei.

Registrierungspflichten, § 33 f.

Die NIS2-Richtlinie führt strikte Registrierungspflichten für Betreiber und Einrichtungen ein, die als besonders wichtig oder wichtig eingestuft werden, einschließlich DNS-Registries. Diese Unternehmen müssen sich innerhalb von drei Monaten nach Feststellung ihrer Zuständigkeit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Registrierung verlangt detaillierte Angaben wie den Namen der Organisation, Rechtsform, Kontaktdaten, IP-Adressbereiche, den zugehörigen Sektor und Teilsektor sowie Informationen zu EU-Staaten, in denen das Unternehmen aktiv ist. Dieser Prozess ermöglicht es den Behörden, einen Überblick über die kritische Infrastruktur und Dienste zu erhalten, was für die nationale Sicherheit von entscheidender Bedeutung ist. Nach der Erstregistrierung müssen Betreiber jegliche Änderungen der ursprünglich gemeldeten Daten jährlich aktualisieren, um die Genauigkeit und Aktualität der Informationen sicherzustellen. Das BSI hat auch die Befugnis, Unternehmen eigenständig zu registrieren, sollte dies notwendig sein. In solchen Fällen kann das BSI weitere Unterlagen anfordern und das Verfahren für eine solche Registrierung spezifizieren, um eine lückenlose Erfassung und Überwachung zu gewährleisten.

Nachweispflichten, § 39

Die NIS2-Richtlinie verpflichtet Betreiber kritischer Infrastrukturen zu regelmäßigen Nachweisen über die Implementierung erforderlicher Cybersicherheitsmaßnahmen. Ab 2027 müssen diese Betreiber alle drei Jahre belegen, dass sie die notwendigen Sicherheitsvorkehrungen getroffen haben, um ihre Systeme zu schützen. Diese periodischen Überprüfungen, die Audits, Prüfungen oder Zertifizierungen umfassen können, sind essenziell, um die Wirksamkeit der Cybersicherheitsstrategien zu bewerten. Dieser Prozess baut auf den Verfahren auf, die bereits unter den bestehenden KRITIS-Regulierungen etabliert wurden. Das BSI kann von besonders wichtigen Einrichtungen verlangen, die Implementierung der Sicherheitsmaßnahmen nach der Registrierung nachzuweisen, und hat die Autorität, solche Überprüfungen anzufordern. Diese Nachweispflichten zielen darauf ab, ein hohes Niveau an Sicherheit in den kritischen Sektoren zu gewährleisten und das Vertrauen in die digitale Infrastruktur zu stärken.

Unterrichtungspflichten, § 35

Ein weiterer wesentlicher Aspekt der NIS2-Richtlinie sind die Informationspflichten, die Betreiber verpflichten, ihre Kunden und gegebenenfalls die Öffentlichkeit über erhebliche Sicherheitsvorfälle zu informieren. Dies gilt insbesondere für Betreiber in sensiblen Sektoren wie dem Finanz- und Versicherungswesen sowie für Anbieter von IKT-Diensten. Diese Transparenz ist entscheidend, um das Bewusstsein und das Verständnis für Cybersicherheitsrisiken zu erhöhen und den Betroffenen zu ermöglichen, angemessene Schutzmaßnahmen zu ergreifen. Das BSI spielt eine zentrale Rolle bei der Koordination dieser Informationspflichten, indem es mit den meldenden Unternehmen kommuniziert und gegebenenfalls weitere Aktionen zur Risikominderung vorschlägt. Die Richtlinie stärkt somit die Verantwortung der Betreiber, proaktiv über Bedrohungen zu informieren und zur allgemeinen Cybersicherheit beizutragen.

Governance und Aufsicht durch das BSI

Die Governance-Struktur, die durch die NIS2-Richtlinie und das NIS2UmsuCG in Deutschland etabliert wird, unterwirft Betreiber einer strengen Aufsicht durch das BSI. Das BSI hat die Befugnis, spezifische Audits und Prüfungen von unter seiner Aufsicht stehenden Einrichtungen zu fordern, um die Einhaltung der gesetzlichen Anforderungen sicherzustellen. Dies umfasst die Aufforderung zur Vorlage von Nachweisen über die Umsetzung der Sicherheitsmaßnahmen sowie die Möglichkeit, konkrete Anweisungen zur Prävention oder Behebung von Sicherheitsvorfällen zu erteilen. In schwerwiegenden Fällen kann das BSI Sanktionen verhängen, die bis zum Entzug der Zulassung oder der Untersagung von Führungsaufgaben reichen können. Diese strengen Regelungen zielen darauf ab, ein hohes Maß an Cybersicherheit zu gewährleisten und die Integrität der kritischen Infrastrukturen und Dienste zu schützen.

Sie brauchen rechtliche Unterstützung? Kontaktieren Sie uns für eine kostenlose Erstberatung oder rufen Sie uns an.

Sanktionen

Die deutsche Umsetzung der NIS-2-Richtlinie sieht ein differenziertes System finanzieller Sanktionen für Verstöße gegen Cybersicherheitsvorschriften vor, wobei die Schwere des Verstoßes und die Klassifizierung der betroffenen Einrichtung berücksichtigt werden. Unternehmen können mit Bußgeldern bis zu 20 Millionen EUR oder bis zu 2% ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Wert höher ist. Dies gilt für eine breite Palette von Verstößen, wobei die Bußgelder je nachdem, ob ein Verstoß fahrlässig oder vorsätzlich begangen wurde, variieren können. Für als wichtig eingestufte Einrichtungen liegt der maximale Bußgeldrahmen bei bis zu 7 Millionen EUR oder 1,4% des weltweiten Jahresumsatzes, während für besonders wichtige Einrichtungen Bußgelder bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes anfallen können. Die deutsche Umsetzung macht keinen Unterschied zwischen besonders wichtigen Einrichtungen und kritischen Anlagen, was bedeutet, dass alle kritisch eingestuften Einrichtungen den gleichen strengen Sanktionen unterliegen. Darüber hinaus führt die NIS2-Richtlinie persönliche Haftungen für die Leitungsorgane der Unternehmen ein. Vorstände und Geschäftsführer können persönlich haftbar gemacht werden, falls ihr Unternehmen die Anforderungen der NIS2 nicht erfüllt und es zu einem Cyberangriff kommt. Diese Regelung verstärkt die Verantwortlichkeit der Unternehmensführung und zielt darauf ab, die Bedeutung der Cybersicherheit auf höchster Unternehmensebene zu verankern.

Geschäftsleitung aufgepasst

Die Geschäftsleitung trifft in  § 38 BSIG-E eine IT-Sicherheit-Geschäftsleiterpflicht. Diese Norm konkretisiert die bestehenden allgemeinen Pflichten der Geschäftsleitung in Bezug auf die IT-Sicherheit.

Danach ist die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen dazu verpflichtet die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Die Beauftragung Dritter ist dabei unzulässig. Weiterhin müssen regelmäßige Schulungen für Geschäftsleiter und Mitarbeitende durchführt werden. Ebenso ist eine geeignete Kontaktstelle beim BSI zu registrieren.

Verletzt die Geschäftsleitung ihre Überwachungspflichten, haftet sie nach § 38 II BSIG-E der Gesellschaft gegenüber für die entstandenen Schäden. Diese sog. Innenhaftung kann nicht durch den Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung oder eines Vergleichs der Einrichtung über diese Ansprüche umgangen werden. Einzige Ausnahme stellt die Zahlungsunfähigkeit der Leitungsperson dar. In diesem Fall kann ein Vergleich mit ihren Gläubigern erfolgen oder die Ersatzpflicht in einem Insolvenzplan geregelt werden.

Die Umsetzung in nationales Recht: Ein Blick auf Deutschland

In Deutschland manifestiert sich die Umsetzung der NIS2-Richtlinie im NIS2UmsuCG, das spezifische Anforderungen und Pflichten für Betreiber kritischer Infrastrukturen und wichtiger Dienste definiert. Die Richtlinie betrifft alleine in Deutschland etwa 30.000 Unternehmen, die zuvor nicht von der BSI-KritisV erfasst wurden.

Das NIS2UmsuCG hat bereits den vierten Referentenentwurf im Dezember 2023 durchlaufen. Mittlerweile ist es fraglich,  ob die geplante Verkündigung und das notwendige Inkrafttreten bis zum 17. Oktober 2024 von Deutschland fristgemäß erfolgen wird. Dies ändert jedoch nichts an dem Zwang der Unternehmen, NIS2 bei Betroffenheit umzusetzen.

Ist mein Unternehmen von NIS2 betroffen?

Mithilfe unserer kostenlosen Betroffeneheitsanalyse können Sie schnell und einfach herausfinden,                                        ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist.

Worauf warten Sie noch?

Ausblick

Die NIS2-Richtlinie bietet einen bedeutenden Ansatz zur Verstärkung der Cybersicherheit innerhalb der Europäischen Union. Für Unternehmen ergibt sich daraus die Notwendigkeit, diese Richtlinien als integralen Bestandteil ihrer strategischen Ausrichtung zu begreifen. Die Umsetzung dieser Direktive ermöglicht nicht nur eine Steigerung der eigenen Widerstandsfähigkeit gegen Cyberangriffe, sondern stärkt ebenso das Vertrauen von Kunden und Geschäftspartnern in die digitale Sicherheitsinfrastruktur des Unternehmens.

Auch wenn Deutschland die Umsetzungsfrist der NIS2-Richtlinie nicht einhält, sollten Unternehmen dies nicht als Grund sehen, ihre Bemühungen auf diesem Gebiet einzustellen. Die Implementierung der Richtlinie wird voranschreiten, und das allein sollte Unternehmen einen hinreichenden Ansporn bieten, proaktiv in die Planung und Anpassung ihrer IT-Sicherheitsmaßnahmen zu investieren. Insbesondere angesichts der erhöhten Verantwortlichkeit der Geschäftsleitung und der umfangreichen Sicherheitsanforderungen befinden sich viele Unternehmen bereits in einer Position, in der Handlungsbedarf besteht.

Vor diesem Hintergrund hat das Team von JURIBO einen pragmatischen Ansatz entwickelt, um eine ausgewogene Risikobalance im Kontext der NIS2-Richtlinie zu erreichen. Dieser Plan soll als Ausgangspunkt für die Erarbeitung eines auf die spezifischen Bedürfnisse des Unternehmens zugeschnittenen Implementierungsplans dienen.

 

Kristian Borkert

Co-Autor

Kristian Borkert ist Gründer der JURIBO Anwaltskanzlei und hat sich insbesondere auf den Bereich IT, Wirtschaftsrecht und Datenschutz spezialisiert.

Anastasia Nomerowskaja

Co-Autor

Anastasia Nomerowskaja ist wissenschaftliche Mitarbeiterin und Social Media Managerin der JURIBO Anwaltskanzlei mit einem Bachelorabschluss in Deutschem und Europäischen Wirtschaftsrecht.