Europäische NIS-2-Richtlinie

Die Europäische Union hat Anfang 2023 die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) in Kraft gesetzt, die weitreichende Auswirkungen auf Unternehmen in ganz Europa haben wird. Diese Richtlinie muss bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Für Deutschland liegt bereits ein Referentenentwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) vor.

Klarere Richtlinien für Cybersicherheit

Ein erster Schritt in Richtung Cybersicherheit in der Europäischen Union wurde 2016 mit der Einführung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 1) gemacht. Diese Richtlinie verpflichtete die Mitgliedstaaten, Betreiber „kritischer Dienste“ zu identifizieren und spezifische Cybersicherheitsverfahren sowie Meldepflichten für Sicherheitsvorfälle einzuführen.

Die Umsetzung dieser Richtlinie erfolgte jedoch uneinheitlich, was zu unterschiedlichen Klassifizierungen in den EU-Staaten führte. Mit NIS 2 schafft die EU nun Klarheit und definiert genau, welche Unternehmen als kritische Dienste gelten und welche Anforderungen für sie gelten.

Deutliche Erweiterung des Anwendungsbereichs

Die neue NIS-Richtlinie erweitert den Anwendungsbereich erheblich und greift über die bisherigen kritischen Sektoren hinaus. Unter die Richtlinie fallen alle Unternehmen, die einer der beiden Größenklassen „groß“ und „mittel“ angehören und Dienstleistungen in einem von 18 definierten Sektoren erbringen.

  • Große Unternehmen: mehr als 250 Mitarbeiter, mehr als 50 Mio. Euro Umsatz, Bilanzsumme größer als 43 Mio. Euro
  • Mittlere Unternehmen: 50 bis 250 Mitarbeiter, 10 bis 50 Mio. Euro Umsatz, Bilanzsumme kleiner als 43 Mio. Euro

Die Sektoren werden nochmals in zwei Klassen unterteilt: „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Zu den wesentlichen Einrichtungen zählen Unternehmen in den Bereichen Energie, Verkehr, Wasser, digitale Infrastruktur, Bank- und Finanzwesen, Gesundheit, öffentliche Verwaltung und Raumfahrt. Zu den wichtigen Einrichtungen zählen Unternehmen in den Bereichen Abfallwirtschaft, Post- und Kurierdienste, chemische Erzeugnisse, Lebensmittel, Computer- und Elektronikhersteller und weitere. Eine vollständige Liste der betroffenen Sektoren finden Sie hier: Annex 1 bzw. Annex 2.

Durch die neue NIS-Richtlinie werden Maßnahmen zur Erhöhung der Cybersicherheit für eine Vielzahl von Unternehmen in ganz Europa verpflichtend. Allein in Deutschland werden voraussichtlich rund 30.000 Unternehmen von den Anforderungen der NIS 2-Richtlinie betroffen sein.

Selbstermittlung der Betroffenheit

Unternehmen, die von NIS 2 betroffen sind, müssen ein Risikomanagement einführen und Maßnahmen zur Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten umsetzen. Eine besondere Herausforderung besteht darin, dass die Unternehmen selbst feststellen müssen, ob sie von NIS 2 betroffen sind. Die zuständigen Behörden weisen die betroffenen Unternehmen nicht aktiv darauf hin, dass sie die Richtlinien einhalten müssen.

Verschärfung der Meldepflichten

Unternehmen müssen unverzüglich signifikante Störungen, Vorfälle und Cyber-Bedrohungen ihrer nationalen Cyber Security Authority melden. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Meldung erfolgt in einem dreistufigen Prozess, der eine schnelle Reaktion auf Vorfälle gewährleisten soll.

Verschärfung der Sanktionen

NIS 2 sieht auch eine Verschärfung der Sanktionen bei Verstößen vor. Bei wesentlichen Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Bei wichtigen Einrichtungen beträgt das maximale Bußgeld 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Die Anforderungen der Datenschutz-Grundverordnung (DSGVO) an die Verarbeitung personenbezogener Daten sowie die darin vorgesehenen Sanktionsmöglichkeiten bleiben von NIS2 unberührt. Die für NIS2 zuständigen Behörden sind jedoch verpflichtet, eng mit den Datenschutzbehörden zusammenzuarbeiten. Insgesamt erhöht sich damit das Risiko erhöhter Bußgelder, die die wirtschaftliche Leistungsfähigkeit eines Unternehmens ernsthaft gefährden können.

Zusätzlich sieht der Referentenentwurf des Bundesinnenministeriums vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können.

Maßnahmen zur verbesserten Cybersicherheit

Betroffene Unternehmen können unter anderem folgende Maßnahmen ergreifen, um ihre Cybersicherheit im Hinblick auf NIS 2 zu stärken:

  • Führungsebene in die Umsetzung von Cybersicherheitsmaßnahmen integrieren.
  • Kontinuierliche Schulungen der Mitarbeiter zur IT-Sicherheit durchführen.
  • Fundamentale Schritte zur Cyberhygiene ergreifen, z.B. regelmäßige Sicherheitsupdates sicherstellen, flächendeckend Multi-Faktor-Authentifizierung einführen und Netzwerksegmentierung konsequent umsetzen.
  • Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs im Falle eines Angriffs stärken, z.B. Backup- und Wiederherstellungsmöglichkeiten überprüfen und optimieren, sowie ein Notfallhandbuch für den Umgang mit Cyberzwischenfällen erstellen.
  • Regelmäßige Überprüfung des eigenen Sicherheitsniveaus durchführen, beispielsweise durch periodische Schwachstellen-Scans und Penetrationstests.
  • Erwägung technischer Maßnahmen zur Erkennung und Abwehr von Cyberangriffen, etwa in Form eines Managed Detection & Response (MDR)-Services.

Empfehlung für Unternehmen

Die Einführung von NIS 2 stellt eine wesentliche Veränderung der Cyber-Sicherheitslandschaft in Europa dar und erfordert von den Unternehmen umfassende Anpassungen und eine erhöhte Aufmerksamkeit im Bereich der Informationssicherheit. Betroffenen Unternehmen wird dringend empfohlen, sich frühzeitig über die Anforderungen zu informieren und geeignete Maßnahmen zu ergreifen, um die Sicherheit ihrer digitalen Infrastrukturen zu gewährleisten.

Weitere Informationen

Headerbild: Mike Marchetti © Canva.com