NIS 2-Richtlinie

Am 14. Dezember 2022 wurde die „EU-Richt­li­nie über Maßnahmen für ein hohes gemein­sa­mes Cyber­si­cher­heits­ni­veau in der EU“ (NIS 2‑Richtlinie) vom Euro­päi­schen Parlament und Euro­päi­schen Rat erlassen   Dabei steht NIS  für „Network and Infor­ma­ti­on Security“. Die NIS-Richt­li­nie „EU-Richtline über Maßnahmen zur Gewähr­leis­tung eines hohen gemein­sa­men Sicher­heits­ni­veaus von Netz- und Infor­ma­ti­ons­sys­te­men in der Union“ aus dem Jahr 2016 wurde damit auf­ge­ho­ben und erweitert

Was sind die Gründe für diese neue Richtlinie?

Die EU nennt folgende Argumente für die Neu­ge­stal­tung dieser Richtlinie:

• Unzu­rei­chen­de Cyber­res­il­li­enz von EU-Unternehmen,
• Inkon­sis­ten­te Wider­stands­fä­hig­keit zwischen Mit­glieds­staa­ten und Sektoren,
• Unzu­rei­chen­des gemein­sa­mes Ver­ständ­nis der wich­tigs­ten Bedro­hun­gen und Her­aus­for­de­run­gen der Mit­glied­staa­ten sowie
• Fehlende gemein­sa­me Krisenreaktion.

Was ist der Zweck dieser Richtlinie?

Die EU-Staaten sollen nationale Cyber­si­cher­heits­stra­te­gien ver­ab­schie­den. Die NIS 2‑Richtlinie stellt strengere Anfor­de­run­gen als die bisherige NIS-Richtline an nationale Behörden und ver­ein­heit­licht die Sank­ti­ons­mög­lich­kei­ten in den Mit­glied­staa­ten. So werden Auf­sichts­maß­nah­men für die natio­na­len Behörden und Durch­set­zungs­an­for­de­run­gen ver­schärft und eine Har­mo­ni­sie­rung der Sank­ti­ons­re­ge­lun­gen in allen Mit­glied­staa­ten ein­ge­führt. Die Cyber- und Infor­ma­ti­ons­si­cher­heit von Unter­neh­men und Insti­tu­tio­nen wird durch die NIS 2‑Richtlinie geregelt.

Wie ist der Stand der Umsetzung in Deutschland?

Laut EU sollte die Richt­li­nie bis zum 18. Oktober 2024 in nationale Gesetze umgesetzt worden sein. Diese Frist wurde aber von Deutsch­land nicht ein­ge­hal­ten und auf Ende erstes Quartal 2025 ver­scho­ben, wobei abzusehen ist, dass auch dieser Termin aufgrund der Bun­des­tags­wahl wahr­schein­lich nicht ein­ge­hal­ten werden wird. Das „NIS 2‑Umsetzungs. Und Cyber­si­cher­heits­stär­kungs­ge­setzt (NIS2UmsuCG) könnte sich bis Ende 2025 verzögern. Die EU-Kom­mis­si­on hat daher im November 2024 gegen Deutsch­land und weitere 22 Mit­glied­staa­ten ein Ver­trags­ver­let­zungs­ver­fah­ren wegen nicht voll­stän­di­ger Umsetzung dieser Richt­li­nie eingeleitet.

Für wen gilt die NIS 2‑Richtlinie?

Betroffen von dieser Richt­li­nie wären in Deutsch­land laut Bun­des­in­nen­mi­nis­te­ri­um (BMI) 30.000 Unter­neh­men, ein Anstieg um das Sechs­fa­che im Vergleich zur ersten NIS-Richt­li­nie. Es sind Unter­neh­men mit mehr als 50 Ange­stell­ten, einem Jah­res­um­satz von min­des­tens 10 Mio. Euro bzw. einem Jah­res­bi­lanz­um­satz von min­des­tens 43 Mio. Euro, die in einem der folgenden Sektoren tätig sind:

• Besonders wichtige Einrichtungen: 
  • Energie
  • Transport und Verkehr
  • Bank‑, Ver­si­che­rungs- und Finanzwesen
  • Gesund­heits­we­sen
  • Trink- und Abwasser
  • Digitale Infra­struk­tur und IT-Dienste
  • Öffent­li­che Verwaltung
  • Raumfahrt
• Wichtige Ein­rich­tun­gen:
  • Post- und Kurierdienste
  • Abfall­wirt­schaft
  • Chemische Erzeug­nis­se
  • Pro­duk­ti­on, Ver­ar­bei­tung und Vertrieb von Lebensmitteln
  • Pro­duk­ti­on
  • Anbieter digitaler Dienste
  • For­schungs­ein­rich­tun­gen

Grund­sätz­lich handelt es sich um Insti­tu­tio­nen, bei deren Ausfall oder Beeinträchtigung

• nach­hal­tig wirkende Versorgungsengpässe,
• erheb­li­che Störungen der öffent­li­chen Sicherheit
• oder andere dra­ma­tisch Folgen

eintreten würden. Es gibt aber auch Son­der­fäl­le unab­hän­gig von ihrer Größe, die ebenfalls von der NIS 2‑Richtlinie betroffen sind. Zur Klärung, ob Ihr Unter­neh­men dieser Richt­li­nie unter­liegt, können Sie die NIS-2-Betrof­fen­heits­prü­fung des BSI heranziehen.

Besonders wichtige unter­schei­den sich von wichtigen Ein­rich­tun­gen zum einen bezüglich der Höhe der Sank­tio­nen, sollten sie die Richt­li­nie nicht oder nicht voll­stän­dig umsetzen und zum anderen bezüglich der Aufsicht durch die Behörden. Diese erfolgt bei wichtigen reaktiv und bei besonders wichtigen Ein­rich­tun­gen proaktiv.

Welche Sank­tio­nen sind bei Nicht-Ein­hal­tung der NIS 2‑Richtlinie vorgesehen?

Die Bußgelder können für besonders wichtige Ein­rich­tun­gen, sollten sie die NIS 2‑Richtlinie nicht umsetzen, bis zu 10 Millionen € oder 2 Prozent des Jah­res­um­sat­zes betragen, bei wichtigen Ein­rich­tun­gen ist die Ober­gren­ze 7 Millionen € oder 1,4 Prozent des Jah­res­um­sat­zes, wobei der höhere Betrag maß­geb­lich ist. Gemäß des Umset­zungs­ent­wurfs des BMI haften die Lei­tungs­or­ga­ne von Unter­neh­men für die Ein­hal­tung der Risi­ko­ma­nage­ment­maß­nah­men mit ihrem Pri­vat­ver­mö­gen in obiger Höhe.

Mit welchen Kosten müssen die betrof­fe­nen Unter­neh­men rechnen?

Laut BMI haben schon 17% der betrof­fe­nen Unter­neh­men „im Grundsatz aus­rei­chen­de“ Maßnahmen getroffen. Damit besteht Hand­lungs­be­darf bei ca. 25.000 Unter­neh­men. Dabei werden einmalige Kosten von 2,1 Mrd. € und jährliche Kosten von 2,2 Mrd. € pro­gnos­ti­ziert (d.h. durch­schnitt­lich 84.000 € einmalig bzw. 88.000 € jährlich pro betrof­fe­nem Unternehmen).

Welche Pflichten für die Unter­neh­men ergeben sich aus der NIS 2‑Richtlinie?

Die gefor­der­ten Pflichten der betrof­fe­nen Insti­tu­tio­nen können grob in zwei Bereich unter­teilt werden:

• Pflichten gegenüber Aufsichtsbehörden 
  • Mel­de­pflich­ten
    • Früh­war­nung innerhalb von 24 Stunden ab Kenntnis eines Sicherheitsvorfalls
    • Aus­führ­li­cher Bericht innerhalb von 72 Stunden ab Kenntnis des Sicherheitsvorfalls
    • Abschluss­be­richt innerhalb eines Monats ab Meldung
    • Bei den Meldungen gilt das Prinzip „Schnel­lig­keit vor Genauigkeit“
  • Regis­trie­rungs­pflicht
    • Eigen­stän­di­ge Meldung der kri­ti­schen Bereiche des Unter­neh­mens beim BSI innerhalb von drei Monaten nach Inkraft­tre­ten des Gesetzes
    • Meldung einer Kon­takt­stel­le, die jederzeit erreich­bar ist
  • Unter­rich­tungs­pflicht
    • Bereit­stel­lung aller erfor­der­li­chen Dokumente zur Unter­rich­tung betrof­fe­ner Personen im Falle eines erheb­li­chen Sicherheitsvorfalls
  • Maßnahmen zum Erreichen des Stands der Technik: 
    • Risi­ko­ma­nage­ment
      • Backup-Manage­ment
      • Not­fall­wie­der­her­stel­lung
        Cyberrisikomanagement
    • Supply Chain
      • Sicher­heit in der Lieferkette
    • Business Con­ti­nui­ty Manage­ment (BCM), dazu gehören u.a.:
      • Kryp­to­gra­fie,
      • Ver­schlüs­se­lung,
      • Multi-Faktor-Authen­ti­fi­zie­rung oder kon­ti­nu­ier­li­che Authentifizierung
    • Personal
      • Per­so­nal­si­cher­heit
      • Zugriffs­kon­trol­le
      • Asset Manage­ment
    • Reaktion auf Vorfälle 
      • Vor­fall­be­wäl­ti­gung
        • Erkennung, Analyse, Ein­däm­mung und Reaktion auf Vorfälle
      • Kom­mu­ni­ka­ti­on
        • Sichere Sprach‑, Video- und Text-Kom­mu­ni­ka­ti­on, auch im Notfall
      • Billigungs‑, Über­wa­chungs- und Schu­lungs­pflicht für Geschäftsführer 
        • Umsetzung und Über­wa­chung der Maßnahmen
        • Per­sön­li­che Haftung bei Verstößen
        • Teilnahme an Schulungen

Weitere Themen

Büro­kra­tie­ent­las­tungs­ge­setz

elek­tro­ni­sche Unterschrift