NIS2 – Was müssen Unternehmen tun (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Mai 2024)

Mai 2024 | IT-Recht

Was bedeutet NIS2?

Die neue EU-Richtlinie NIS2 erweitert den Anwendungsbereich für Cybersicherheitsmaßnahmen deutlich. Zahlreiche Unternehmen, die bisher nicht betroffen waren, müssen ihre IT-Sicherheit nun an neue Standards anpassen. NIS2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Unternehmen aus Branchen wie Energie, Verkehr, Banken, Gesundheit und digitaler Infrastruktur. Selbst kleinere Firmen können betroffen sein, wenn sie einziger Anbieter sind oder zur Lieferkette gehören.

Zentrale Pflichten sind die Registrierung bei Behörden, Meldung von Cybervorfällen und Umsetzung angemessener Sicherheitsmaßnahmen wie Risikoanalysen, Notfallpläne und Schulungen. Konkrete Vorgaben müssen noch erarbeitet werden. Trotz initialer Belastung bringt NIS2 Vorteile wie besseren Schutz vor Cyberbedrohungen, gestärktes Kundenvertrauen und die Positionierung als vertrauenswürdiges Unternehmen. Frühzeitige Vorbereitungen sind ratsam, da die Umsetzungsfrist bis Oktober 2024 läuft.

Was ist neu im Referentenentwurf aus dem Mai 2024?

Am 07.05.2024 hat das Bundesministerium des Inneren und für Heimat den Referentenentwurf für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ vorgelegt. Der Entwurf enthält einige Änderungen im Vergleich zu früheren Versionen:

§28 (2) erweitert den Kreis der betroffenen Unternehmen um kleine Anbieter öffentlicher Telekommunikationsdienste und Betreiber öffentlicher Telekommunikationsnetze. §28 (9) umfasst nun auch staatliche IT-Anbieter ohne Bundbezug. In §55 geht es um den Umgang mit Sicherheits-Selbsteinschätzungen (Konformität zu technischen Richtlinien des BSI) von IKT-Anbietern für deren Produkte. Anlage 1 nennt zusätzlich die Richtlinie EU 2011/24 für Erbringer von Gesundheitsdienstleistungen. Die IHK wird über die DIHK dazu Stellung nehmen.

Was ist NIS-2 und Kritis?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ als kritische Infrastruktur (KRITIS-Unternehmen).

Was müssen KRITIS-Betreiber tun?

Unternehmen können anhand ihrer Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und Schwellwerten feststellen, ob sie als „KRITIS-Betreiber“ gelten und somit diverse Pflichten erfüllen müssen:

  • Eine Kontaktstelle für die betriebene Kritische Infrastruktur benennen,
  • IT-Störungen oder erhebliche Beeinträchtigungen melden,
  • IT-Sicherheit auf dem „Stand der Technik“ gewährleisten und dies alle zwei Jahre gegenüber dem BSI nachweisen.

Mit der von der EU im Jahr 2023 beschlossenen NIS-2-Richtlinie wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet, davon ca. 2.000 KRITIS-Unternehmen.

„NIS“ steht hierbei für „Network and Information Security“. Die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) muss Deutschland bis zum 17.10.2024 umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG).

Hintergründe zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Das NIS2UmsuCG ist ein Änderungsgesetz, das diverse Gesetze anpasst. Mit Stand 07.05.2024 gibt es einen Referentenentwurf, mit dem nun die Anhörung von Verbänden und Bundesländern beginnt. Zusammen mit der DIHK hat die IHK für München und Oberbayern zu früheren Entwürfen Stellung genommen:

Die DIHK und die IHK für München und Oberbayern unterstützen das Ziel des Gesetzes, ein hohes gemeinsames Sicherheitsniveau sicherzustellen, fordern jedoch, dass die Maßnahmen angemessen sind und Unternehmen nicht zusätzliche bürokratische Pflichten auferlegt werden, um Kapazitäten für gezielte Cybersicherheitsmaßnahmen zu nutzen. Zudem soll das Miteinander von Staat und Wirtschaft, insbesondere der Informationsrückfluss aus den zusätzlichen Meldepflichten, konkretisiert und an den Bedarfen der Unternehmen ausgerichtet werden.

Welche Unternehmen sind vom NIS2UmsuCG betroffen?

Unternehmen gemäß §28 müssen eigenständig prüfen, ob sie betroffen sind. Sie werden nicht automatisch informiert. Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.

Ein Unternehmen ist betroffen, wenn es Schwellwerte für die Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.

Welche Schwellwerte sind wichtig?

  • Besonders wichtige Einrichtungen: Betreiber kritischer Anlagen (KRITIS-Betreiber), spezielle Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationsanbieter, Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 genannten Sektoren tätig sind.
  • Wichtige Einrichtungen: Spezielle Einrichtungen z. B. für Vertrauensdienste, kleinere Telekommunikationsanbieter, Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 genannten Sektoren tätig sind.

In den Anhängen I und II der EU-Richtlinie sind „Sektoren mit hoher Kritikalität“ bzw. „Sonstige kritische Sektoren“ aufgelistet, die in Teilsektoren und „Art der Einrichtung“ aufgesplittet sind. Der Entwurf des NIS2UmsuCG enthält diese Systematik in sehr ähnlicher und etwas konkreterer Form.

Was müssen von NIS2 betroffene Unternehmen tun?

Der Entwurf des NIS2UmsuCG listet in Kapitel 2 ab § 30 erforderliche Maßnahmen zu ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf. Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird.

Folgende Pflichten sind für alle betroffenen Unternehmen relevant:

  • Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
  • Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
  • Meldepflichten (§ 32)
  • Registrierungspflicht (§§ 34, 34)
  • Unterrichtungspflichten (§ 35)
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)

Für ‚Betreiber kritischer Anlagen‘ gelten zusätzliche spezifische Anforderungen. Zusätzlich zu den Gesetzesänderungen des NIS2UmsuCG soll es Rechtsverordnungen geben (siehe §57 „Ermächtigung zum Erlass von Rechtsverordnungen“), für die bisher (Stand 08.05.2024) keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:

  • Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§ 57 Abs. 4).
  • Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§ 57 Abs. 1).
  • IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§ 57 Abs. 2).
  • Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§ 57).

Welche Folgen drohen bei Nichtbeachtung der NIS2-RL oder des Umsetzungsgesetzes?

Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldbußen, ähnlich gestaffelt wie bei der Datenschutzgrundverordnung (DSGVO). Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsleiter.

Nichtbeachtung der NIS2-Richtlinie oder des nationalen Umsetzungsgesetzes empfindliche Geldbußen:

  • Für mittlere Unternehmen (50-250 Mitarbeiter) können Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. 
  • Bei großen Unternehmen (über 250 Mitarbeiter) liegt die mögliche Höchststrafe bei 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes. 

Die Bußgelder können also selbst für große Konzerne eine erhebliche finanzielle Belastung darstellen. Zuständig für die Verhängung der Strafen sind die noch zu benennenden nationalen Aufsichtsbehörden in den jeweiligen EU-Mitgliedstaaten. Neben Geldbußen drohen bei Verstößen auch weitere rechtliche Konsequenzen. Die Aufsichtsbehörden können beispielsweise Anordnungen zur Herstellung des rechtmäßigen Zustands erteilen oder die Einstellung der Datenverarbeitung anordnen. Um Sanktionen zu vermeiden, ist es für betroffene Unternehmen unerlässlich, die NIS2-Anforderungen fristgerecht bis spätestens 18. Oktober 2024 umzusetzen. Dazu gehören die Registrierung, Meldepflichten sowie technische und organisatorische Sicherheitsmaßnahmen. 

Fristen für die Maßnahmen-Umsetzung §§ 30, 31, 32

§65 (3) regelt die „Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen“:

„Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfüllung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 anordnen.“ Unabhängig davon kann aber das Bundesamt Maßnahmen anordnen, insbesondere wenn Gefahr im Verzug ist (§65 (6)).

Fristen für die Registrierungspflicht § 33

§33 regelt die „Registrierungspflicht“, für bestimmte Einrichtungsarten gelten „Besondere Registrierungspflichten“ (§ 34):

§33 (1): Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der genannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit Angaben zu übermitteln.“

Achtung, §33 (3): „Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einvernehmen mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird.“ §34: Bis zum 17. Januar 2025 müssen spezielle Einrichtungen dem Bundesamt Angaben übermitteln.“

Kostenlose erste Einschätzung: Haben Sie Fragen zur NIS2-Richtlinie?

Lassen Sie unser Team von erfahrenen Anwälten und Cybersecurity-Experten Ihr Unternehmen prüfen, um sicherzustellen, ob es von der NIS2-Richtlinie betroffen ist. Wir bieten umfassende Analysen und maßgeschneiderte Beratungen, um Ihnen Klarheit über Ihre rechtlichen Verpflichtungen zu verschaffen. Unsere Expertise hilft Ihnen, potenzielle Compliance-Risiken zu minimieren und Ihre IT-Sicherheitsmaßnahmen zu optimieren. Vertrauen Sie auf unsere Kompetenz, um die Sicherheit und Rechtskonformität Ihres Unternehmens zu gewährleisten. Wir freuen uns auf Ihre Anfrage! :)