NIS-2-Richtlinie: Umsetzung bis Oktober 2024

Am 18.10.2024 tritt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Es verfolgt das Ziel, das Sicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren und zu verbessern. Doch wer ist betroffen und was ist nun zu tun?

Was ist die NIS-2-Richtlinie?

NIS steht für „The Network and Information Security (NIS) Directive“. Die Richtlinie ist Teil der europäischen Cybersicherheitsstrategie und am 16.1.2023 in Kraft getreten. Sie verfolgt das Ziel, das Sicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren und zu verbessern und enthält strengere Anforderungen für verschiedene Sektoren. Die Mitgliedstaaten der EU haben bis zum 17.10.2024 Zeit, die in der Richtlinie getroffenen Verpflichtungen in ihren Ländern umzusetzen. In Deutschland existiert seit Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), der voraussichtlich im April 2024 verabschiedet wird. Betroffene Unternehmen müssen sich fortan verstärkt mit dem Cyber-Risikomanagement, der Kontrolle und Überwachung von Zwischenfällen und der Geschäftskontinuität befassen. Die Richtlinie erweitert zudem die Zahl der Organisationen, die in den Anwendungsbereich fallen und für die Geschäftsführung gelten strengere Haftungsregeln.

Wer ist von der NIS-2-Richtlinie betroffen?

Bislang gab es bereits in diese Richtung gehende Anforderungen – z.B. die BSI-Kritisverordnung. Die NIS-2-Richtlinie weitet die Zahl der betroffenen Unternehmen nun aus und stellt u.a. auf die Größe des Unternehmens ab. So wird künftig zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“ unterschieden. Ob eine besonders wichtige Einrichtung eine KRITIS-Anlage ist, bemisst sich wie bisher auch an Schwellenwerten (z.B. über 500.00 versorgte Personen). Das bedeutet, die Anforderungen, die NIS 2 an besonders wichtige Einrichtungen stellt, gelten immer auch für KRITIS-Anlagen. Daneben unterliegen kritische Anlagen neben den NIS-2 Anforderungen zusätzlichen Regulierungen, z.B. durch das Telekommunikationsgesetz (TKG), das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und das KRITIS-Dachgesetz. 

Besonders wichtige Einrichtungen

Eine besonders wichtige Einrichtung liegt vor, wenn das Unternehmen 

• mindestens 250 Mitarbeitende beschäftigt oder
• einen Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. € aufweist.
• Sonderfälle: qualifizierter Vertrauensanbieter, Top Level Domain Name Registries, DNS, TK-Anbieter, kritische Anlagen, öffentliche Verwaltung

Wichtige Einrichtungen

Eine wichtige Einrichtung liegt vor, wenn das Unternehmen 

• zwischen 50 und 249 Mitarbeitende beschäftigt oder
• einen Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. € aufweist.
• Sonderfall: Vertrauensdienste

Überblick über die Sektoren
 

*Erbringen Betreiber ihre Dienstleistungen in eigenen Anlagen und überschreiten damit den Schwellenwert (Richtwert 500.000 versorgte Personen), werden sie als KRITIS-Betreiber eingestuft.

Eine vollständige Liste der von der NIS2-Richtlinie betroffenen Organisationen und die Schwellenwerte für KRITIS-Anlagen im Detail finden Sie hier. 

Anwendung der NIS-2-Richtlinie

Die Anforderungen an betroffene Unternehmen ändern sich mit der NIS2-Richtlinie deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert. Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Dabei steht ein gefahrenübergreifender Ansatz im Fokus, der den Schutz der Netz- und Informationssysteme sowie der physischen Umwelt vor Sicherheitsvorfällen gewährleisten soll. 

Die Maßnahmen müssen mindestens die folgenden Themen umfassen:

• Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Backup-Management, Krisen-Management
• Sicherheit der Lieferkette
• Sicherheit in der Entwicklung, Beschaffung und Wartung
• Management von Schwachstellen
• Bewertung der Effektivität von Cybersicherheit und Risiko-Management
• Schulungen zu Cybersicherheit
• Kryptografie und Verschlüsselung
• Personalsicherheit, Zugriffskontrolle und Anlagen-Management
• Multi-Faktor Authentisierung und kontinuierliche Authentisierung
• Sichere (Notfall-)Kommunikation (Sprach, Video- und Text)

Meldepflichten und Nachweispflichten gemäß NIS-2-Richtlinie

Eine Nachweispflicht besteht nur für Betreiber kritischer Anlagen (KRITIS). Innerhalb von drei Jahren nach Inkrafttreten des nationalen NISUmsuCG müssen KRITIS-Betreiber nachweisen, dass sie die Anforderungen der NIS-2-Richtlinie erfüllen. Dies wiederholt sich alle drei Jahre.

Bei Sicherheitsvorfällen sieht die NIS-2-Richtlinie ein dreistufiges Meldesystem für alle betroffenen Einrichtungen vor:

• Erstmeldung unverzüglich, spätestens jedoch innerhalb von 24 Stunden
• Bestätigung und/oder Aktualisierung nach spätestens 72 Stunden
• Abschlussmeldung nach spätestens einem Monat

Dauert der Sicherheitsvorfall an, ist eine Fortschrittsmeldung nach einem Monat (und jeweils weiteren Monaten) notwendig. Die Abschlussmeldung erfolgt dann spätestens einen Monat nach Abschluss des Vorfalls. 

Kontrolle durch das BSI

Eine Kontrolle durch das BSI ist bei besonders wichtigen Einrichtungen anlasslos möglich, bei wichtigen Einrichtungen nur im Verdachtsfall. Als Aufsichtsorgan kann das BSI dann folgende Maßnahmen ergreifen:

• Audits, Prüfungen oder Zertifizierungen anordnen
• Nachweise von Einrichtungen verlangen
• Überprüfungen einer Einrichtung durchführen
• Maßnahmen anordnen und verbindliche Anweisungen zur Umsetzung erlassen
• anordnen, dass Kunden einer Einrichtung über Cyberbedrohungen oder -vorfälle zu informieren sind
• Zertifizierungen einer Einrichtung aussetzen
• einen Überwachungsbeauftragten für eine Einrichtung benennen
• Genehmigung für eine Einrichtung vorübergehend aussetzen
• der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen

NIS 2 verschärft Haftung

Kommt ein besonders wichtiges Unternehmen den Pflichten der NIS-2-Richtlinie nicht nach, sieht die Richtlinie Bußgelder von bis zu 10 Mio. € bzw. 2 % des weltweiten Gesamtumsatzes aus dem vorangegangenen Geschäftsjahr vor. Hierbei ist der höhere Wert anzusetzen. 

Für wichtige Einrichtungen und KRITIS-Unternehmen belaufen sich die Sanktionen auf bis zu 7 Mio. € bzw. 1,4 % des Jahresumsatzes, wobei auch hier der höhere Betrag herangezogen wird. 

Auch die Geschäftsführung wird in die Haftung genommen: Bei Nichterfüllung der Anforderungen haften Geschäftsführer mit ihrem Privatvermögen. Die Obergrenze liegt hier bei 2 % des weltweiten Jahresumsatzes des Unternehmens. 

Tipp zur Umsetzung der NIS-2-Richtlinie

Wir empfehlen dringend, in der verbleibenden Zeit bis zum 17. Oktober 2024 eine Gap-Analyse durchzuführen, konkrete Handlungsfelder zu ermitteln und schrittweise das Cybersicherheitsniveau zu erhöhen.

Wir begleiten Sie gerne bei der Umsetzung der NIS-2-Richtlinie und bieten in folgenden Punkten unsere Unterstützung an:

• Schulung NIS-2-Inhalte
• Durchführung Gap-Analyse
• Würdigung juristischer Detailfragen
• Meldeverfahren einrichten
• Zuständigkeiten definieren
• ISMS-Beratung
• Durchführung von Penetrationstests
• Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern (Auslagerungsprüfung)
• Überwachung der IT-Systeme (SOC as a Service)
• Umsetzungsberatung
• Softwareauswahlverfahren

Für Fragen zum Thema stehen wir gerne zur Verfügung. Sprechen Sie uns einfach an.

Die NIS-2 Anforderungen sind die Mindestanforderungen der Europäischen Union und müssen in deutsches Recht umgesetzt werden. Ein neuer Referentenentwurf zum NIS2UmsuCG soll im April 2024 veröffentlicht werden. Wir halten Sie an dieser Stelle auf dem Laufenden.