Der Rat der Europäischen Union hat die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union am 28. November 2022 angenommen. Die neue Richtlinie mit der Bezeichnung NIS-2 wird die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (NIS-1) ablösen. Viele Unternehmen sind noch nicht vollumfänglich auf die genaue Umsetzung vorbereitet. Welche Unternehmen von der neuen Richtlinie betroffen sind und welche Maßnahmen ergriffen werden müssen, erklärt Rechtsanwalt und zertifizierte Datenschutzbeauftragte Hagen Küchler von der Kanzlei FPS.
Ziel der NIS-2 Richtlinie ist es, ein einheitliches Schutzniveau systemrelevanter Infrastrukturen in der Europäischen Union zu schaffen, um schneller auf Cyberkrisen reagieren zu können. Zur Zielerreichung werden im Vergleich zur NIS-1-Richtlinie hierzu: der Kreis der betroffenen Unternehmen deutlich vergrößert, die Pflichten der einzelnen Betroffenen umfangreicher und die Befugnisse der Behörden zur Aufsicht und Sanktionierung erweitert. Zeit für die Umsetzung in nationales Recht haben die Mitgliedsstaaten bis Oktober 2024.
1. Für wen gilt die NIS-2-Richtlinie?
Die NIS-2-Richtlinie definiert einen EU-weit einheitlichen Anwendungsbereich. Erfasst werden – mit wenigen Ausnahmen – alle Unternehmen, die über 50 Personen beschäftigen, einen Jahresumsatz von mehr als 10 Mio. EUR ausweisen und einem der geregelten systemrelevanten Sektoren angehören.
Sektoren mit hoher Kritikalität sind:
- Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
- Gesundheit (Versorger, Labore, Pharma)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Banken- und Finanzmärkte
- Trink- und Abwasser
- Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten)
- Raumfahrt und öffentliche Verwaltung
Sonst kritische Sektoren sind:
- Post und Kurierdienste
- Abfallwirtschaft
- Chemie
- Ernährung
- Industrie (Technik und Ingenieurwesen)
- Digitale Dienste (Online-Marktplätzen, Suchmaschinen und sozialer Netzwerke)
- Forschung
2. Was müssen betroffene Unternehmen beachten?
In den Worten der NIS-2-Richtlinie müssen die betroffenen Unternehmen die Risiken für die Sicherheit von Informationssystemen beherrschen. Dazu müssen sie geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen. Kurz gesagt, die Unternehmen müssen ausreichende Schutzmaßnahmen für ihre IT installieren. In der Praxis wird dies durch ein detailliertes Risikomanagementsystem umgesetzt werden. An dieses Managementsystem stellt die Europäische Union zahlreiche Mindestanforderungen, die durch Richtlinien, Standards und Entscheidungen von Behörden für einer Weiterentwicklung offen sind. Das Risikomanagementsystem muss mindestens die folgenden Punkte abdecken:
- Die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten, einschließlich Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
- Maßnahmen zur Aufrechterhaltung des Betriebs (wie Back-up-Management),
- Sicherheit der Lieferketten und
- Sonstige Sicherheitsmechanismen, wie beispielsweise: Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor Authentifizierung, sichere Kommunikationsmittel und Zugriffskontrollen.
Zusätzlich besteht für Unternehmen eine Meldepflicht. Bei Sicherheitsvorfällen, die Auswirkungen auf die von Unternehmen erbrachten Dienste haben, müssen diese den Behörden binnen 24 Stunden eine Frühwarnung abgeben. Im Anschluss ist spätestens nach 72 Stunden Bericht über den Sicherheitsvorfall zu erstatten. In besonders schweren Fällen sind zudem die Nutzer der Dienste zu informieren.
Nachdruck verleiht der NIS das in ihr verankerte Haftungsrisiko für die Unternehmensleitung. Leitungsorgane haben die Umsetzung geeigneter Schutzmaßnahmen zu überwachen. Für Verstöße dagegen können sie persönlich haftbar gemacht werden. Die genaue Ausgestaltung der Haftungsregeln unterliegt jedoch den Mitgliedsstaaten bei der Umsetzung in nationales Recht.
3. Was dürfen die Behörden?
Zur Durchsetzung der Cybersicherheits-Vorgaben werden die nationalen Behörden mit weitreichenden Befugnissen ausgestattet. Diese Befugnisse lassen sich in drei Kategorien unterteilen.
Erstens dürfen Behörden zur Aufsicht über Unternehmen: Vor-Ort Kontrollen durchführen, Sicherheit-Scans durchführen oder Zugang zu Daten und Dokumenten verlangen.
Zweitens dürfen sie zur Durchsetzung der NIS: Wahrungen zur IT-Sicherheit eines Unternehmens an die Öffentlichkeit herausgeben, oder verbindliche Anweisungen gegenüber dem Unternehmen erteilen.
Drittens ist es den Behörden möglich, zur Sanktionierung von Sicherheitsverstößen Bußgelder von bis zu 10 Mio. EUR oder 2 % des gesamten weltweiten Jahresumsatzes zu verhängen. Angst, dass ein Verstoß sowohl mit einem Bußgeld nach der NIS-2-Richtlinie als auch nach der Datenschutzgrundverordnung (DSGVO) geahndet wird, muss kein Unternehmen fürchten. Die NIS-2-Richtlinie sieht vor, dass jedes Verhalten, welches gegen beide Regelwerke verstößt, nur einmal mit einer Geldbuße geahndet werden soll.
4. Hilft mir die Behörde auch?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits im Rahmen der NIS-1-Richtlinie Hilfestellungen für Cybervorfälle erarbeitet. So führt das BSI einen Katalog über IT-Sachverständige, die bei Zwischenfällen helfen können, bietet Informationsmaterial über Basismaßnahmen der Cybersicherheit an und stellt Checklisten zur Verfügung, was bei einem Cybervorfall zu tun ist. Es ist davon auszugehen, dass dieses Angebot in Zukunft weiter ausgebaut werden wird.
5. Fazit
Insgesamt ist die NIS-Richtlinie ein wichtiger Schritt in Richtung einer sicheren digitalen Zukunft in Europa. Die meisten Unternehmen dürften mit der Umsetzung der NIS-2-Vorgaben keine allzu großen Probleme haben. Denn die Anforderungen der NIS-2-Richtlinie überschneiden sich häufig mit denen der DSGVO. Blauäugig sind hingegen die Unternehmen, die sich mit der Umsetzung der Schutzmaßnahmen noch Zeit lassen möchten. Denn eine Gefahr besteht bereits heute, wie die Angriffe auf die Stadt Potsdam oder den kommunalen Energieversorger Enercity aus Hannover zeigen.