Search for:

Am 16. Januar 2023 trat die sog. NIS-2-Richtlinie in Kraft. Unternehmen sollten bereits jetzt Maßnahmen in puncto IT-Sicherheit vornehmen.

Die neue Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“) erweitert gegenüber der Vorgängerrichtlinie RL EU 2016/1148 den Anwendungsbereich um zahlreiche Sektoren. Außerdem dehnt sie das Pflichtenprogramm für öffentliche und private Einrichtungen aus. Das bedeutet: Auf Unternehmen, die in den Anwendungsbereich der NIS-2-Richtlinie fallen, kommen umfangreiche neue Pflichten zu.

Oft sind nun auch deutlich kleinere Unternehmen als bisher erfasst: ab mind. 50 Mitarbeitern, 10 Mio. Euro Jahresumsatz oder 10 Mio. Euro Jahresbilanzsumme. Bei bestimmten Verfehlungen drohen, ähnlich anderen Regelungswerken wie z.B. der DSGVO, empfindliche Sanktionen. Die Mitgliedstaaten müssen die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Auch wenn es bislang noch kein nationales Umsetzungsgesetz gibt, sollten sich Unternehmen wegen der erheblich erweiterten Pflichten und der potentiell empfindlichen Sanktionen bereits heute mit der neuen Richtlinie beschäftigen.

Welche Unternehmen erfasst die NIS-2- Richtlinie?

Die NIS-2-Richtlinie findet grundsätzlich Anwendung auf Unternehmen, die

  • zu einem „Sektor mit hoher Kritikalität“ (Anhang I der NIS 2 Richtlinie) oder in einem „sonstigen kritischen Sektor“ (Anhang II der NIS 2 Richtlinie) gehören,
  • mind. sog. mittlere Unternehmen sind, d.h. (i) mind. 50 Personen beschäftigen und/oder (ii) einen Jahresumsatz von mind. 10 Mio. Euro erzielen bzw. eine Jahresbilanzsumme von mind. 10 Mio. Euro haben, und
  • ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.

Als „Sektoren mit hoher Kritikalität“ listet Anhang I zusammen mit weiteren Detailkriterien auf: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum.

Als „sonstige kritische Sektoren“ listet Anhang II zusammen mit weiteren Detailkriterien auf: Post- und Kurierdienste; Abfallbewirtschaftung; Produktion, Herstellung und Handel mit chemischen Stoffen; Produktion, Verarbeitung und Vertrieb von Lebensmitteln; verarbeitendes Gewerbe/Herstellung von Waren (Datenverarbeitungsgeräte, Maschinenbau, Herstellung von Kraftwagen, sonstiger Fahrzeugbau); Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke) und Forschung.

Die umfangreiche IT-Sicherheitsregulierung der NIS-2-Richtlinie umfasst also nun auch einige Wirtschaftszweige, die durch die Vorgängerrichtlinie nicht in der Pflicht waren, z.B. Teile der Automobilbranche und des Maschinenbaus.

Sonderfälle

Zum Teil ist die NIS-2-Richtlinie auch unabhängig von den Schwellenwerten auf Unternehmen der in den Anhängen I und II gelisteten Sektoren anwendbar. Das ist z.B. der Fall, wenn es sich bei dem Unternehmen um den einzigen Anbieter eines Dienstes handelt, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist. Ebenso betrifft es den Fall, wenn ein Unternehmen als kritische Einrichtung i.S.d. Richtlinie 2022/2557 (Richtlinie über die Resilienz kritischer Einrichtungen) eingestuft wurde.

Unternehmen können aber auch – entweder insgesamt oder teilweise – vom Anwendungsbereich der NIS-2-Richtlinie ausgenommen sein, z.B. durch sektorspezifische Rechtsakte der Union.

Wesentliche und wichtige Einrichtungen

Die neue Richtlinie unterteilt Unternehmen in wesentliche und wichtige Einrichtungen. Diese Unterscheidung ist relevant, und zwar primär im Rahmen der Aufsichts- und Durchsetzungsmaßnahmen sowie bei Bußgeldern. Diese sind typischerweise strenger für wesentliche Einrichtungen.

Wesentliche Einrichtungen sind:

  • Einrichtungen aus den in Anhang I aufgeführten Sektoren („Sektoren mit hoher Kritikalität“), die den Schwellenwert für mittlere Unternehmen überschreiten, also keine mittleren Unternehmen mehr sind;
  • Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlicher zugänglicher elektronischer Kommunikationsdienste, die mittlere Unternehmen sind;
  • qualifizierte Vertrauensdiensteanbieter und Domänennamenregister der Domäne oberster Stufe sowie DNS-Diensteanbieter, unabhängig von ihrer Größe; und
  • sonstige in Anhang I und II aufgeführte Einrichtungen, die ein Mitgliedstaat als wesentliche Einrichtung eingestuft hat, sowie Einrichtungen, die als kritische Einrichtungen eingestuft wurden.

Wichtige Einrichtungen sind Einrichtungen nach den Anhängen I und II, die nicht als wesentliche Einrichtungen gelten und Einrichtungen, die ein Mitgliedsaat als solche eingestuft hat.

Welche Pflichten kommen auf Unternehmen zu?

Die NIS 2 Richtlinie sieht ein umfangreiches Pflichtenprogramm vor. Hierzu gehören v.a. folgende Pflichten:

Risikomanagementmaßnahmen

Der europäische Gesetzgeber sieht die Verantwortung dafür, die Sicherheit von Netz- und Informationssystemen zu gewährleisten, erheblich bei den wesentlichen und wichtigen Einrichtungen. Wegen dieser Verantwortung will er eine „Risikomanagementkultur“ fördern. Diese umfasst auch eine Risikobewertung und Anwendung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die den jeweiligen Risiken angemessen ist.

Wesentliche und wichtige Einrichtungen müssen daher geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen. So können diese Einrichtungen die Risiken für die Sicherheit der Netz- und Informationssysteme beherrschen, die sie für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, und die Auswirkungen von Sicherheitsvorfällen möglichst gering halten. Die Maßnahmen müssen den Stand der Technik berücksichtigen und dem bestehenden Risiko angemessen sein.

Die Risikomanagementmaßnahmen umfassen z.B. Risikoanalyse- und Sicherheitskonzepte, Backup- und Krisen-Management, Multi-Faktor-Authentifizierungen, Konzepte für Zugriffskontrollen, Verschlüsselungskonzepte und sicherheitsbezogene Aspekte der Beziehung zu unmittelbaren Lieferanten bzw. Dienstleistern des Unternehmens. Letzteres dürfte etwa dazu führen, dass Anforderungen an Outsourcingverträge weiter verschärft werden.

Gefahren für die Sicherheit von Netz- und Informationssystemen können unterschiedliche Ursachen haben. Daher müssen Risikomanagementmaßnahmen auf einem gefahrenübergreifenden Ansatz beruhen, um die Netz- und Informationssysteme und ihr physisches Umfeld vor Ereignissen wie Diebstahl, Feuer oder vor unbefugtem physischen Zugang zu Informationen und Datenverarbeitungsanlagen zu schützen. Die Entscheidung, welche Risikomanagementmaßnahmen getroffen werden sollten, ist an den Grad der Risikoexposition der wesentlichen oder wichtigen Einrichtung anzupassen. Die Maßnahmen sollten im Verhältnis zu den gesellschaftlichen und wirtschaftlichen Auswirkungen stehen, die ein Sicherheitsvorfall hätte.

Für bestimmte Einrichtungen, z.B. Cloud-Computing-Dienstleister, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter, soll die Europäische Kommission bis zum 17. Oktober 2024 Durchführungsakte erlassen, um technische und methodische Anforderungen an die Risikomanagementmaßnahmen festzulegen.

Gefahrenübergreifender Ansatz

Gefahren für die Sicherheit von Netz- und Informationssystemen können unterschiedliche Ursachen haben. Daher müssen Risikomanagementmaßnahmen auf einem gefahrenübergreifenden Ansatz beruhen, um die Netz- und Informationssysteme und ihr physisches Umfeld vor  Ereignissen wie Diebstahl, Feuer oder vor unbefugtem physischen Zugang zu Informationen und Datenverarbeitungsanlagen zu schützen. Die Entscheidung, welche Risikomanagementmaßnahmen getroffen werden sollten, ist an den Grad der Risikoexposition der wesentlichen oder wichtigen Einrichtung anzupassen. Die Maßnahmen sollten im Verhältnis zu den gesellschaftlichen und wirtschaftlichen Auswirkungen stehen, die ein Sicherheitsvorfall hätte.

Für bestimmte Einrichtungen, z.B. Cloud-Computing-Dienstleister, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Anbieter von Vertrauensdiensten, soll die Europäische Kommission bis zum 17. Oktober 2024 Durchführungsakte erlassen, um technische und methodische Anforderungen an die Risikomanagementmaßnahmen festzulegen.

Was löst Meldepflichten aus?

Die NIS-2-Richtlinie sieht folgende Pflicht für wesentliche und wichtige Einrichtungen vor: Sie müssen das für sie zuständige Computer-Notfallteam oder ggf. die für sie zuständige Behörde sofort über jeden Sicherheitsvorfall informieren, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat. Die Mitgliedsstaaten benennen die Computer-Notfallteams, welche innerhalb einer zuständigen Behörde eingerichtet werden können.

  • Ein Sicherheitsvorfall ist ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste beeinträchtigt, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind.
  • Erheblich ist der Sicherheitsvorfall, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursachen kann. Er ist ebenfalls als „erheblich“ einzustufen, wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Mehrstufiger Meldeprozess

Der Meldeprozess ist mehrstufig gestaltet:

  • Die wesentlichen und wichtigen Einrichtungen müssen innerhalb 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls eine Frühwarnung übermitteln. Darin geben die Einrichtungen ggf. an, ob der Verdacht besteht, dass der Sicherheitsvorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte.
  • Innerhalb 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls müssen die wesentlichen und wichtigen Einrichtungen eine Meldung über den Sicherheitsvorfall übermitteln. Darin sind ggf. Informationen zu aktualisieren und es sind (i) eine erste Bewertung des erheblichen Sicherheitsvorfalls, inkl. seiner Schwere und seiner Auswirkungen, sowie (ii) ggf. die Kompromittierungsindikatoren anzugeben.
  • Spätestens einen Monat nach Übermittlung der Meldung müssen die wesentlichen und wichtigen Einrichtungen einen Abschlussbericht übermitteln. Dieser enthält (i) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, (ii) Angaben zur Art der Bedrohung oder zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat, (iii) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und (iv) ggf. die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

Der mehrstufige Ansatz soll die richtige Balance ermöglichen zwischen, auf der einen Seite, zeitnahen Meldungen, die einer potentiellen Ausbreitung erheblicher Sicherheitsvorfälle entgegenwirken und den wesentlichen und wichtigen Einrichtungen die Möglichkeit geben, Unterstützung zu erhalten, und, auf der anderen Seite, detaillierten Meldungen, bei denen aus Sicherheitsvorfällen Lehren gezogen werden und ganze Sektoren ihre Cyberresilienz verbessern können.

Die wesentlichen und wichtigen Einrichtungen unterrichten außerdem ggf. die Empfänger ihrer Dienste unverzüglich über diese erheblichen Sicherheitsvorfälle, die die Erbringung des Dienstes beeinträchtigen könnten.

Governance

Die NIS-2-Richtlinie zielt darauf ab, ein hohes Maß an Verantwortung für die Risikomanagementmaßnahmen und die Berichtspflichten im Bereich der Cybersicherheit auf Ebene der wesentlichen und wichtigen Einrichtungen sicherzustellen.

Deshalb sieht diese Richtlinie vor, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen müssen und für Verstöße verantwortlich gemacht werden können. Leitungsorgane müssen an Schulungen teilnehmen und wesentliche und wichtige Einrichtungen sollten allen Mitarbeitern regelmäßig Schulungen anbieten. Sie sollen ausreichende Kenntnisse und Fähigkeiten vermitteln, Risiken zu erkennen und zu bewerten, sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste.

Welche Sanktionen drohen im Falle eines Verstoßes?

Verstöße sollen nach der NIS-2-Richtlinie erhebliche Konsequenzen haben können:

  • Gegen wesentliche Einrichtungen, die keine ausreichenden Risikomanagementmaßnahmen ergreifen oder gegen Meldepflichten verstoßen, sollen die Mitgliedstaaten Geldbußen mit einem Höchstbetrag von mindestens 10 Mio. Euro oder 2 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes vorsehen, je nachdem, welcher Betrag höher ist.
  • Gegen wichtige Einrichtungen, die keine ausreichenden Risikomanagementmaßnahmen ergreifen oder gegen Meldepflichten verstoßen, sollen die Mitgliedstaaten Geldbußen mit einem Höchstbetrag von mindestens 7 Mio. Euro oder 1,4 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes vorsehen – je nachdem, welcher Betrag höher ist.

Die zuständigen Behörden sollen in Ausübung ihrer Aufsichts- und Durchsetzungsmaßnahmen außerdem Maßnahmen, wie z.B. Vor-Ort-Kontrollen, Sicherheitsprüfungen, ad-hoc-Prüfungen, Warnungen oder Untersagung der Leitungsaufgabe ergreifen können.  

Was sollten Unternehmen schon jetzt tun?

Wegen der umfassenden Pflichten und der potentiell empfindlichen Konsequenzen bei Verfehlungen sollten Unternehmen sich schon jetzt mit der NIS-2-Richtlinie befassen und v.a. folgende Schritte unternehmen:

  • Prüfen, ob die NIS-2-Richtlinie auf das Unternehmen anwendbar ist;
  • das Thema Cybersecurity und Risikomanagement zur „Chefsache“ machen;
  • existierende Maßnahmen mit den Vorgaben der NIS-2-Richtlinie abgleichen und Risikomanagementmaßnahmen treffen oder ergänzen; und
  • Prozesse schaffen oder anpassen, um Meldepflichten zu erheblichen Sicherheitsvorfällen einhalten zu können.
Author

Michaela Nebel ist Partner bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern

Author

Patrick H. Wilkening ist Partner bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern

Author

Caroline Heinickel ist Counsel bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern

Author

Johannes Döveling ist Associate bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern

Author

Susanna Milne ist Associate Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern