Laut dem Digitalverband Bitkom liegt der Schaden im Cyberbereich für die Wirtschaft pro Jahr in Deutschland bei 267 Mrd. Euro. Cyberattacken nehmen zu und damit die Besorgnis von Unternehmen und Behörden über ein mögliches Vorgehen gegen diese Cyberattacken. Die NIS2-Richtlinie will diese Cyberrisiken nun eindämmen. NIS2 steht für Network and Information Security Richtlinie 2.0. Im Dezember 2022 ist die NIS2-Richtlinie der EU in Kraft getreten, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden muss.
Begriffserklärung
Die NIS2 Richtlinie ist eine Richtlinie und damit europäisches Recht. Diese muss als Richtlinie zunächst in nationales Recht umgesetzt werden, damit sie ihre Wirkung entfaltet. Sie ist die Fortführung der ersten NIS-Richtlinie aus dem Jahr 2016 und wurde nun durch die NIS2-Richtlinie aktualisiert.
Ziele der NIS2-Richtlinie
Sie dient dazu europaweit ein einheitliches gemeinsames Sicherheitsniveau für Informationssicherheitssysteme öffentlicher und privater Stellen herzustellen. Zudem soll die Cybersicherheit in der EU erhöht werden, die Resilienz der Cybersicherheit auf europäischer Ebene gestärkt werden und besonders wichtige Einrichtungen sollen vor Cyberangriffen geschützt werden. Darüber hinaus soll eine bessere Zusammenarbeit zwischen den EU-Mitgliedsstaaten gewährleistet werden.
Änderungen durch die NIS2-Richtlinie
Die NIS2-Richtlinie ist eine Fortführung der NIS-Richtlinie. Im Gegensatz zu der NIS-Richtlinie wurde der Anwendungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen ausgeweitet.
Betroffene der NIS2-Richtlinie
Der Anwendungsbereich der von NIS2 betroffenen Unternehmen ist vielfältig. Dieser betrifft insbesondere Unternehmen, die wesentliche Infrastruktur für die Gesellschaft bereitstellen. Die NIS2-Richtlinie regelt 18 regulierte Sektoren. Diese sind u.a. Energie-, Verkehrs-, Abfall-, Wasserunternehmen, Banken, Versicherungen, Gesundheitsversorgung sowie Unternehmen im Digitalbereich. Die NIS2-Richtlinie wird für Unternehmen und Behörden gelten, die ihre Dienste in der EU anbieten oder ihre Tätigkeiten dort ausüben, gleichwohl ob es sich um private oder öffentliche Unternehmen handelt. NIS2 wird bereits für Unternehmen mit 50 Arbeitnehmer und Unternehmen mit 10 Mio. Euro Jahresumsatzes gelten. Schulen sind nicht vom Anwendungsbereich betroffen.
Jedoch ist die Größe des Unternehmens nicht allein ausschlaggebend. Einerseits muss dieses, um dem Anwendungsbereich zu unterfallen, einem der regulierten Sektoren angehören und andererseits eine bestimmte Größenordnung erreicht haben. Diese finden sich für große Unternehmen im Anhang I und Sonderfälle. Für mittlere und große Unternehmen ist dies dem Anhang I, II und Sonderfälle im Regierungsentwurf zu der NISUmsuCG zu entnehmen.
Auswirkungen der NIS2-Richtlinie auf Kommunen
Es fragt sich wie kommunale Unternehmen, die ebenfalls kritische Infrastruktur anbieten wie z.B. ein kommunales Verkehrs- oder Abwasserunternehmen von der NIS2-Richtlinie betroffen sein wird.
Beschluss der IT-Planungsrates
Der IT-Planungsrat hat dazu in einem Beschluss vom 3.11.2023 Stellung bezogen. Der IT-Planungsrat möchte demnach Kommunen (lokale Verwaltungen als auch Bildungseinrichtungen) vom Anwendungsbereich der NIS2-Richtlinie ausnehmen. Dieser Beschluss stieß auf reichlich Kritik seitens des Bundesverbands IT-Sicherheit e.V. (TeleTrust).
Aktueller Stand im NIS2UmsuCG
Aktueller Stand ist, dass Kommunen laut dem Beschluss des IT-Planungsrates von dem Anwendungsbereich der NIS2-Richtlinie ausgeschlossen sind. Es ist daher abzuwarten mit welchen Veränderungen kommunale Unternehmen künftig konfrontiert sein werden. Die Anlage 3 „Sektor öffentliche Verwaltung“ im NISUmsuCG ist bisher noch nicht vorliegend. Im Entwurf des NIS2UmsuCG sind Einrichtungen der Bundesverwaltung gem. § 29 NIS2UmsuCG genannt. Ungenannt werden in dem Entwurf öffentliche Verwaltungen auf regionaler Ebene. Diese können aber über Landesgesetze an etwaige Verpflichtungen des NISUmsuCG gebunden sein.
Fazit zu den Betroffenen der NIS2-Richtlinie
Zusammengefasst liegen diese Größenordnungen bei wesentlichen Einrichtungen als mittlere Unternehmen bei mindestens 50 Beschäftigten sowie einem Jahresumsatz/Jahresbilanz von >10 Mio. Euro sowie bei großen Unternehmen bei mindestens 250 Beschäftigte sowie einem Umsatz >50 Mio. Euro oder einer Bilanz von > 43 Mio. Euro. Bei wichtigen Einrichtungen gilt diese unabhängig von der Unternehmensgröße. Bei Kommunen gestaltet sich diese Einordnung schwieriger und ist noch nicht abschließend geklärt. Dies wird die nächste Zeit zeigen, ob Kommunen ebenfalls dem Anwendungsbereich der NIS2-Richtlinie unterfallen und falls ja welche Schwellenwerte hier gelten werden.
Wie können Unternehmen herausfinden, ob sie von der NIS2-Richtlinie betroffen sind?
Unternehmen und Behörden müssen selbst prüfen, ob sie von der NIS2-Richtlinie betroffen sind. Das Bundesamt für Sicherheit in der Informationstechnik bietet hierzu eine Webapp, die es ermöglicht, zu prüfen, ob ein Unternehmen von der NIS2-Richtlinie der EU betroffen ist. Dies erfolgt mittels einen Fragekatalogs. Zu beachten ist jedoch, dass die Betroffenheitsprüfung keine Experten-Einschätzung ersetzt, sondern nur eine erste Einschätzung darstellen kann.
Prüfung Betroffenheit von der NIS2-Richtlinie
Wie können Unternehmen und Behörden den Anforderungen nachkommen?
Unternehmen und Behörden müssen selbstständig prüfen, ob sie dem Anwendungsbereich von NIS2 unterfallen. Sofern die Prüfung ergibt, dass Ihr Unternehmen dem Anwendungsbereich der NIS2-Richtlnie unterfällt, sollten Sie sich frühzeitig mit den Regelungen bekannt machen und geeignete Sicherheitsvorkehrungen implementieren. Zudem werden Schulungen für Leitungsorgane verpflichtend. Darüber hinaus müssen betroffene Unternehmen bis zum 17.01.2025 beim BSI registriert sein.
Gibt es Überschneidungen mit anderen Regelungswerken?
Aufgrund der hohen Regelungsdichte der EU im Bereich der Digitalgesetze sind Überschneidungen möglich. Dies kommt insbesondere mit der DSGVO sowie dem Cyber Resilience Act in Betracht. Hinsichtlich der DSGVO gilt, dass dessen Anwendung von der NIS2-Richtlinie unberührt bleibt (siehe Erwägungsgrund 14 der NIS2-Richtlinie).
Aktueller Gesetzesstand
Aufgrund der Rechtsnatur der NIS2-Richtlinie bedarf es für die innerstaatliche Anwendbarkeit eines Umsetzungsakts der EU-Mitgliedsstaaten. In Deutschland ist dies nun durch die Verordnung zum NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) / KRITIS Verordnung geschehen. Der Referentenentwurf ist am 07.05.2024 veröffentlicht worden. Der Regierungsentwurf wurde am 24.07.2024 verabschiedet. Das Gesetz wurde jedoch noch nicht verkündet, obwohl es bis Oktober 2024 von den EU-Mitgliedsstaaten umgesetzt sein müsste.
Bußgelder der NIS2-Richtlinie
Die Bußgelder der NIS-Richtlinie betragen für wesentliche Einrichtungen (u.a. Energiesektor, Banksektor) bis zu 10 Mio. EUR oder 2% des gesamten weltweiten Vorjahresumsatzes je nachdem welcher Betrag der höhere ist. Für wichtige Einrichtungen (u.a. die Abfallwirtschaft als auch digitale Anbieter) beträgt das Bußgeld bis zu 7 Mio. Euro oder 1,4% des gesamten weltweiten Vorjahresumsatzes je nachdem welcher Betrag der höhere ist. Grundsätzlich gilt, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen. Ob Bußgelder auch gegen Behörden festgesetzt werden können bleibt noch abzuwarten.
Vorgehen bei einem Sicherheitsvorfall
Bei einem Sicherheitsvorfall ist innerhalb von 24 Stunden die Erstmeldung und innerhalb von 72 Stunden eine technische Erweiterungsmeldung abzugeben. Spätestens nach einem Monat muss das BSI eine Abschlussmeldung erhalten.
Verantwortung über die Einhaltung der NIS-Richtlinie
Die Gesamtverantwortung liegt bei der Geschäftsführung oder dem Vorstand. Zudem sollen Leitungsorganen für Verstöße persönlich gemacht werden.
Wie sollen diese Ziele erreicht werden?
Die Ziele der NIS2-Richtlinie bzw. durch deren Umsetzung in das nationale Recht sollen durch eine bessere Zusammenarbeit zwischen den EU-Mitgliedsstaaten erreicht werden sowie durch das Ergreifen geeigneter Prozesse durch besonders wichtige Unternehmen als auch durch die rechtzeitige Innformation an die zuständigen nationalen Behörden, sofern ein schwerwiegender Vorfall vorliegt.
Zusammenfassung
Der Anwendungsbereich der NIS2-Richtlinie ist sehr weit und es ist zu raten, diesen rechtzeitig für Ihr Unternehmen zu prüfen, ob Sie diesem unterfallen. Die NIS2-Richtlinie enthält zudem nicht empfindliche Bußgelder und Compliancepflichten und kann, im Falle eines Verstoßes, Reputationsschäden für Ihr Unternehmen oder Ihre Behörde nach sich ziehen. Es ist noch nicht abzusehen, wie der Anwendungsbereich der NIS2-Richtlinie auch Kommunen umfasst. Jedoch sind auch wegen der vielen anderen Digitalgesetze für Unternehmen und Behörden zahlreiche Prozesse umgestellt oder neu zu etablieren. Sofern sich hier Neuerungen ergeben, halten wir Sie im Rahmen dieses Newsletters auf dem aktuellen Stand.
Die Insidas hilft Ihnen hierbei von Anfang an und berät Sie gerne bei dem Einsatz einer solchen Maßnahme.
Quellen
https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2024
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
