Was ist die NIS2-Richtlinie?
Cyberbedrohungen für Unternehmen haben in jüngster Zeit erheblich zugenommen. Die anhaltende Vernetzung und Digitalisierung von Geschäftsprozessen hat die Angriffsfläche für Cyberattacken erhöht. Genau hier setzt die NIS2-Richtlinie an. Sie regelt die Sicherheit von Netz- und Informationssystemen in der Europäischen Union.
Sie ist eine Aktualisierung der ursprünglichen NIS-Richtlinie. Letztere wurde 2016 verabschiedet, um die Widerstandsfähigkeit kritischer Infrastrukturen und die Cybersecurity in der EU zu stärken. Die NIS2-Richtlinie wurde im Dezember 2022 von der Europäischen Kommission verabschiedet.
Nun sind die EU-Mitgliedstaaten am Zug. Weil NIS2 keine Verordnung (wie z.B. die DSGVO), sondern eine Richtlinie ist, sind die Vorgaben von den Mitgliedstaaten mittels eigener Gesetze umzusetzen. Die Umsetzung in nationales Recht hat bis zum 17.10.2024 zu erfolgen.
In Deutschland fließen die NIS2-Vorgaben in das Gesetz über das Bundesamt in der Informationstechnik (BSIG) ein. Wegen der mittlerweile großen Cyberbedrohungen halten es Beobachter für wahrscheinlich, dass Deutschland seine Überarbeitung und Erweiterung des BSIG mehrere Monate vor Fristende abschließt.
Um welche Themen und Maßnahmen geht es?
Die NIS2-Richtlinie ist darauf ausgerichtet, Behörden, Unternehmen, Versorger und weitere Institutionen innerhalb EU besser auf Bedrohungen im Feld der Cybersecurity vorzubereiten. Zielsetzung ist es, die Sicherheit digitaler Dienste und kritischer Infrastrukturen zu gewährleisten.
Die genauen Bestimmungen und Anforderungen können je nach den Gesetzen und Vorschriften in den einzelnen EU-Mitgliedstaaten variieren. Im Kern gehen mit NIS2 gegenüber der alten NIS-Richtlinie folgende Neuerungen einher.
- Erweiterter Anwendungsbereich
Die NIS2-Richtlinie gilt für eine breitere Palette von Unternehmen und Organisationen, einschließlich digitaler Dienstleister. - Strengere Sicherheitsanforderungen
Die Richtlinie legt höhere Sicherheitsanforderungen fest, um die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe zu erhöhen. - Meldepflicht für Sicherheitsvorfälle
Betreiber wesentlicher Dienste und digitale Dienstleister sind verpflichtet, erhebliche Sicherheitsvorfälle den zuständigen Behörden zu melden. - Verstärkte Aufsicht und Zusammenarbeit
Die Mitgliedstaaten sollen verstärkte Zusammenarbeit und Koordinierung im Bereich der Cybersecurity gewährleisten.
Neues Meldesystem: Sanktionen und Konsequenzen
Der aktuelle Referentenentwurf zur Umsetzung der NIS2-Richtlinie ersetzt das bisherige Meldesystem für Vorfälle durch ein dreistufiges Melderegime. Dieses umfasst Frühwarnung, Meldung und umfassende Beschreibung. Die Einhaltung dieser Meldefristen ist entscheidend, da die Nichteinhaltung sanktioniert werden kann. Es ist ratsam, ein gut durchdachtes Informationssicherheitsmanagementsystem zu implementieren, um im Falle eines Sicherheitsvorfalls schnell und korrekt reagieren zu können.
Bei Verstößen gegen die Sicherheitsanforderungen im Zusammenhang mit der NIS2-Umsetzung sind Sanktionen und Konsequenzen vorgesehen:
- Geldbußen
Die Höhe der Geldbußen richtet sich nach der Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen. Für wesentliche Einrichtungen beträgt die Geldbuße bis zu EUR 10 Millionen oder 2% des gesamten weltweiten Vorjahresumsatzes des betreffenden Unternehmens. Für wichtige Einrichtungen beträgt die Geldbuße bis zu EUR 7 Millionen oder 1,4% des gesamten weltweiten Vorjahresumsatzes des Unternehmens. - Zentrale Anforderungen
Die Geldbußen sollen wirksam, verhältnismäßig und abschreckend sein, um sicherzustellen, dass Unternehmen die Sicherheitsanforderungen ernst nehmen und entsprechende Maßnahmen ergreifen. - Möglichkeit zur Untersagung von Leitungsfunktionen
Im Ernstfall besteht die Möglichkeit, dass das Management vorübergehend die Ausübung von Leitungsfunktionen untersagt wird, um sicherzustellen, dass angemessene Schritte zur Verbesserung der Sicherheit ergriffen werden. - Aktive Rolle der Leitungsorgane
Leitungsorgane dürfen nicht mehr nur delegieren, sondern müssen selbst aktiv tätig werden, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen umgesetzt werden. - Persönliche Haftung der Geschäftsleitung
Die Sicherheit der Informationssysteme wird zur Chefsache, da die Geschäftsleitung persönlich für die Einhaltung der Sicherheitsanforderungen verantwortlich ist.
Insgesamt unterstreichen diese Sanktionen und Konsequenzen die Ernsthaftigkeit der NIS2-Richtlinie und die Notwendigkeit für Unternehmen, angemessene Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, um Cyberangriffe und Sicherheitsvorfälle zu verhindern.
Was ist zu tun?
Welche Aufgaben auf betroffene Unternehmen zukommen, hängt letztlich von den Details des BSIG ab. Besonders Unternehmen, die in den Bereich der kritischen Infrastruktur fallen sowie digitale Dienstleister, sollten die laufende Entwicklung im Auge behalten.
Wer heute schon aktiv Informationssicherheit betreibt, ist zumindest in den Grundzügen auf die kommende NIS2-Richtlinie vorbereitet. Dies heißt zwar nicht, dass sämtliche Anforderungen bereits erfüllt sind. Doch zumindest existiert eine Basis, auf die aufgebaut werden kann. Solch ein Vorsprung hilft außerdem dabei, die Anforderungen fristgerecht umzusetzen.
Damit ist ein letzter und zugleich wichtiger Punkt angesprochen. Die NIS2-Richtlinie sieht höhere Strafen bei Verstößen vor. Ähnlich wie bei der DSGVO sollen Aufsichtsbehörden dazu befugt sein, an den Umsatz gekoppelte Bußgelder zu verhängen. Damit ist es für betroffene Unternehmen wichtiger denn je, auf Informationssicherheit zu setzen.