EU-Richtlinie für Cybersicherheit: Was Unternehmen über NIS 2 wissen müssen

NIS-2-Richtlinie, Cybersicherheit, DSGVO

Verfasser
Subscribe to newsletter
By subscribing you agree to with our Privacy Policy.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Beitrag teilen

Egal ob Unternehmen oder Behörden: Cybersicherheit wird immer wichtiger. Dennoch kommt IT-Sicherheit in vielen Betrieben zu kurz. Um das zu ändern, hat der Rat der Europäischen Union nun eine neue Richtlinie erlassen, die das Niveau der Cybersicherheit in den Mitgliedsstaaten deutlich anheben soll.

Die neue NIS-2-Richtlinie wird die aktuell geltende Richtlinie zur Netz- und Informationssicherheit (NIS 1) deutlich verschärfen. Zu den Änderungen zählen etwa weitreichende Befugnisse für die zuständigen Behörden. Unternehmen, die sich bisher nicht genügend mit der IT-Sicherheit in ihrem Betrieb auseinandergesetzt haben, könnten nun ins Schwimmen geraten - denn die Frist zur Umsetzung ist kurz. Welche Regelungen bald gelten, wer davon betroffen ist und welche Maßnahmen Sie jetzt ergreifen müssen, zeigen wir Ihnen in diesem Beitrag.

Sie haben Fragen zur NIS-2-Richtlinie? Kontaktieren Sie uns jederzeit für ein anwaltliches Beratungsgespräch.

Was ist Ziel der neuen EU-Richtline zur Cybersicherheit?

Durch die fortschreitende Digitalisierung gerät die Cyber- und IT-Sicherheit immer weiter in den Fokus von Unternehmen und der Politik. Digitale Infrastrukturen werden häufiger Ziele von Hackerangriffen, Störungen und Pannen sowie Datenlecks. Das stellt nicht nur für Unternehmen und ihre Kunden:innen eine Bedrohung dar, sondern auch für die nationale wie internationale Sicherheit und den Binnenmarkt.

Seit 2016 gilt innerhalb der EU die NIS-1-Richtlinie für die Sicherheit von Netz- und Informationssystemen. Diese ist aber nur für diejenigen Unternehmen relevant, die kritische Infrastrukturen betreiben. Sie werden in der Richtlinie zu Schutzmaßnahmen vor Cyberangriffen verpflichtet, um die Sicherheit von Wirtschaft und Gesellschaft zu gewährleisten.

Durch die zunehmende Relevanz und Bedrohung sowie unsicherer Zeiten hat die EU nun den Bedarf erkannt, die Pflichten von Unternehmen auszuweiten – auch über das deutsche IT-Sicherheitsgesetz hinaus. Darüber hinaus soll es weitere Maßnahmen geben, etwa den „Cyber Resilience Act“, der Bestimmungen zu Hard- und Software enthält.

NIS-2-Richtlinie: Was Unternehmer:innen beachten sollten

Die Vorgaben der NIS-2-Richtlinie sind ähnlich der Datenschutzgrundverordnung (DSGVO): Unternehmen sind verpflichtet, die Risiken ihrer IT-Systeme zu analysieren und zu beherrschen. Das bedeutet, dass geeignete technische, organisatorische und operative Maßnahmen zu ergreifen sind und ein sogenanntes Risikomanagement umgesetzt werden muss.

Dabei gibt es bestimmte Mindestanforderungen an die IT-Schutzmaßnahmen, die es einzuhalten gilt:

  • Die Erstellung von Risikoanalysen,
  • die Erstellung von Informationssicherheitskonzepten und Maßnahmen zur Bewältigung von IT-Sicherheitsvorfällen,
  • die Integration eines Back-Up-Managements, sprich Maßnahmen zur Aufrechterhaltung des Betriebs bei einem Vorfall,
  • die Sicherheit der Lieferketten und
  • weitere Sicherheitsmechanismen wie Mitarbeiter-Schulungen, Multi-Faktor-Authentifizierung, sichere Kommunikationswege, Verschlüsselung und Zugriffskontrollen.

Weiterhin gibt es eine Meldepflicht für Sicherheitsvorfälle, wenn diese Auswirkungen auf das Unternehmen haben. Das bedeutet: Unternehmen müssen Konzepte und Pläne bereithalten, um binnen 24 Stunden eine Warnung an die zuständige Behörde zu übermitteln. Innerhalb von 72 Stunden ist darüber hinaus ein Bericht über den Vorfall und dessen Auswirkungen zu senden. Bei schwerwiegenden Fällen müssen außerdem die Kunden:innen über den Vorfall und die Konsequenzen informiert werden.

Es besteht zudem eine Überwachungspflicht für die leitenden Organe der Unternehmen. Kommen sie dieser nicht nach, etwa weil sie dieSchutzmaßnahmen nicht geeignet überwacht haben, haften sie im Zweifel für diese Verstöße. Die Sanktionen richten sich nach den jeweiligen nationalen Regelungen der Mitgliedsstaaten.

Welche Unternehmen sind betroffen?

Die neue EU-Richtlinie weitet auch den Kreis der Unternehmen aus, die die genannten Vorgaben erfüllen müssen. Von NIS 2 betroffen sind alle Unternehmen mit über 50 Mitarbeiter:innen und einem Jahresumsatz von über 10 Mio. Euro in einem systemrelevanten Sektor. Die Unternehmen werden dabei in Sektoren mit hoher Kritikalität und sonstige kritische Sektoren unterteilt.

Zu Sektoren mit hoher Kritikalität zählen:

  • Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
  • Banken- und Finanzmärkte
  • Gesundheit (Versorger, Labore, Pharma)
  • Trink- und Abwasser
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Raumfahrt und öffentliche Verwaltung
  • Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten)

Andere kritische Sektoren sind:

  • Chemie
  • Forschung
  • Post und Kurierdienste
  • Ernährung
  • Abfallwirtschaft
  • Industrie (Technik und Ingenieurwesen)
  • Digitale Dienste (Online-Marktplätzen, Suchmaschinen und sozialer Netzwerke)

Das bedeutet vor allem: Viele neue Unternehmen, die bisher nicht von NIS 1 betroffen waren, fallen nun unter die kritische Infrastruktur und müssen die weitreichenden Vorgaben erfüllen.

Sie benötigen anwaltliche Unterstützung bei der Umsetzung derNIS-2-Richtlinie? Kommen Sie gern jederzeit auf uns zu. In einem anwaltlichen Beratungsgespräch beraten wir Sie gerne umfassend zu Ihrem individuellen Anliegen und möglichen Lösungsansätzen.

Mehr Befugnisse für Aufsichtsbehörden

Die zuständigen Aufsichtsbehörden erhalten durch die neue Richtlinie weitreichende Befugnisse. Diese teilen sich insbesondere in 3 Kategorien auf:

  1. Aufsicht des Unternehmens: Behörden sind nunmehr dazu berechtigt, Sicherheits-Sans in Unternehmen und (Vor-Ort-)Kontrollen durchzuführen. Außerdem muss ihnen Zugang zu gespeicherten Daten und Dokumenten gewährt werden.
  2. Durchsetzung der NIS: Behörden können Unternehmen Auflagen erteilen und die Öffentlichkeit über den Sachstand der IT-Sicherheit innerhalb eines Unternehmens informieren.
  3. Sanktionierung bei Verstößen: Verstöße können, wie bei der DSGVO, mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes     geahndet werden.
Umsetzung der NIS-2-Richtlinie: Welche Fristengelten?

Seit dem 16.01.2023 ist die NIS-2-Richtlinie in Kraft. Das bedeutet jedoch nicht, dass Unternehmen diese bereits umgesetzt haben müssen. Bis Oktober 2024 müssen zunächst die einzelnen Mitgliedsstaaten der EU die NIS-2-Richtlini ein nationales Recht umgesetzt haben. Auch in Deutschland wird es dazu ein umfangreiches Gesetzgebungsverfahren geben.

Viel Zeit bleibt Betroffenen jedoch nicht: Zwar werden Unternehmen, die bereits von NIS 1 betroffen waren oder über andere Maßstäbe und Zertifizierungen verfügen (z.B. TISAX in derAutomobilbranche), die Verschärfungen vergleichsweise schnell umsetzen können. Aber insbesondere diejenigen Unternehmen, die bisher nicht von NIS 1 betroffen waren und jetzt die umfangreicheren Vorgaben der NIS 2 erfüllen müssen, haben wenig Zeit und häufig nur wenig Berührungspunkte mit IT- und Cybersicherheit. Gerade bei Prozessen, an denen viele Teams oderMitarbeiter:innen beschäftigt sind (wie ein komplexes Management- und Maßnahmenkonzept) müssen diese mit aufwändigen Umstrukturierungen rechnen.

Kritik kommt daher von vielen Seiten im Hinblick auf die knappe Frist zur Umsetzung: Fraglich scheint, ob Unternehmen es schaffen werden, in unter zwei Jahren derart umfangreiche Maßnahmen zu erfüllen und umzusetzen. 

BSI liefert Hilfestellungen für betroffene Unternehmen

Das deutsche Bundesamt für Sicherheit und Informationstechnik (BSI) hat bereits Hilfestellungen und Empfehlungen auf Grundlage der NIS-1-Richtlinie bereitgestellt. So gibt es eine Liste von IT-Sachverständigen, Informationsmaterial zu Cyber-Sicherheitsmaßnahmen und Checklisten für den Ernstfall. Es ist davon auszugehen, dass das BSI diese für die NIS-2-Richtlinie, bzw. die deutsche Umsetzung dessen, aktualisieren und erweitern wird.

Fazit

Unternehmen kritischer Infrastrukturen vor Cyberangriffen zu schützen, ist wichtig. In den letzten Jahren nahmen die Cyberattacken auf Unternehmen und staatliche Einrichtungen immer weiter zu. Angesichts des Krieges in der Ukraine und der drohenden Inflation kann damit gerechnet werden, dass diese noch weiter zunehmen werden. Die Reaktion der EU ist daher zu begrüßen und auch notwendig, um die Versorgung und Wirtschaft zu schützen. Unternehmen können sich schon jetzt auf Umstrukturierungen vorbereiten und ggf. Unterstützung einholen, um Sanktionen zu vermeiden.

Sie haben offene Fragen zum Thema oder benötigen rechtliche Unterstützung bei Ihrer Umstrukturierung? Kontaktieren Sie uns gerne für ein per E-Mail unter mail@advoctrl.com oder vereinbaren Sie direkt online ein unverbindliches Erstgespräch.

Wir sind für Sie erreichbar.

Vereinbaren Sie 24/7 einen Termin.

ADVOCTRL Rechtsanwalts-gesellschaft mbH

Thierschstraße 27, 80538 München