In zentralen Bereichen des Wirtschaftslebens wie Energie, IT, Transport und Wasserversorgung soll die NIS2-Richtlinie in der EU für einheitliche Sicherheitsstandards sorgen und die Resilienz von IT-Systemen sowohl physisch wie auch digital sicherstellen. Aber was bedeutet das konkret für die betroffenen Unternehmen? Welche Auflagen haben sie zu erfüllen und was droht bei Nichteinhaltung?

Die NIS2-Richtlinie sollte bis 18. Oktober 2024 in nationales Recht umgesetzt werden, was in Deutschland jedoch noch nicht geschehen ist. Dennoch sollten Unternehmen sich umgehend damit beschäftigen, was die Richtlinie für sie bedeutet, um bei Inkrafttreten Bußgelder und andere Sanktionen zu vermeiden. Wir bieten daher einen Überblick, was die Richtlinie festschreibt, welche Unternehmen betroffen sind und welche Sanktionen bei Nichterfüllung drohen.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die überarbeitete Version der NIS-Richtlinie (2016) und wurde vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Sie betrifft die Netzwerk- und Informationssysteme (NIS) und beschäftigt sich damit, wie die Cybersicherheit in insgesamt 18 kritischen Sektoren in der gesamten EU aufrechterhalten werden kann. Zudem bestimmt sie, dass von den Mitgliedsstaaten nationale Cybersicherheitsstrategien festgelegt werden müssen, die diese Richtlinie in nationales Recht umsetzen.

Hintergrund für die Erarbeitung der neuen Richtlinie war, dass die Europäische Kommission 2020 vorschlug, NIS1 zu überarbeiten, da eine Überprüfung ergab, dass in der EU tätige Unternehmen eine unzureichende Cyberresilienz aufweisen und es in der EU ein unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen gab. Die Richtlinie trat am 16. Januar 2023 in Kraft, die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

Was sind die Inhalte der Richtlinie?

Kurz zusammengefasst soll die Richtlinie:

• die Cyberresilienz kritischer Einrichtungen verbessern
• den Informationsaustausch und die Zusammenarbeit zwischen den Mitgliedsstaaten fördern
• einheitliche Sicherheitsstandards in Bezug auf Netzwerk- und Informationssysteme in der gesamten EU etablieren

Die Mitgliedsstaaten der EU werden durch diese Richtline zur Verabschiedung einer nationalen Cybersicherheitsstrategie verpflichtet, zudem müssen sie nationale Computer Security Incident Response Teams (CSIRTs) für den Umgang mit Risiken und Störungen benennen. Außerdem vereinheitlicht die Richtlinie auch die Sanktionsmöglichkeiten in den Mitgliedsstaaten.

Welche Unternehmen betrifft NIS2?

NIS1 bezog sich auf „besonders wichtige Einrichtungen“ (z.B. Energie und Verkehr), NIS2 gilt dagegen auch für „wichtige Einrichtungen“ wie Postdienste oder die Abfallwirtschaft.

Die besonders wichtigen Einrichtungen unterliegen strengerer Aufsicht und strikteren Meldepflichten, dazu gehören z.B. Unternehmen in folgenden Bereichen:

• Energie
• Transportwesen
• Bankwesen
• Finanzmarktinfrastruktur
• Gesundheitswesen
• Trinkwasserversorgung
• Digitale Infrastruktur
• Öffentliche Verwaltung
• Weltrauminfrastruktur

Die wichtigen Einrichten unterliegen einer weniger strengen Aufsicht, sind aber ebenfalls berichtspflichtig. Dazu gehören Unternehmen in folgenden Bereichen:

• Postdienste
• Abfallwirtschaft
• Chemieindustrie
• Lebensmittelherstellung
• Fertigung kritischer Güter (etwa Medizintechnik oder Maschinenbau)
• IT-Dienstleister (etwa Rechenzentren, Content Delivery Networks)

Die NIS2-Richtlinie gilt grundsätzlich für Unternehmen, die 50 oder mehr Beschäftigte haben und mehr als 10 Mio. Euro Jahresumsatz aufweisen. Aber kleinere Unternehmen können auch betroffen sein, wenn sie systemrelevant sind – also wenn sie für das öffentliche oder wirtschaftliche Leben von erheblicher Bedeutung sind, in einer Lieferkette für kritische Dienste tätig sind, wenn eine Gefährdungslage wie etwa bei Cyberangriffen oder die Abhängigkeit von Drittstaaten vorliegt.

Was sind die konkreten Sicherheitsmaßnahmen nach NIS2?

Unternehmen, die von der Richtlinie betroffen sind, müssen technische und organisatorische Sicherheitsmaßnahmen treffen, etwa in Bezug auf Risikomanagement, Zugangskontrollen und Verschlüsselung. Sie müssen außerdem regelmäßige Sicherheitsaudits und Risikoanalysen durchführen. Sicherheitsvorfälle müssen sie innerhalb von 24 Stunden melden.

Außerdem müssen die betroffenen Organisationen sich registrieren lassen, d.h. innerhalb von drei Monaten nach Inkrafttreten der nationalen NIS2-Gesetzgebung im jeweiligen Land müssen sie sich z.B. in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Die genauen Sicherheitsmaßnahmen, die Unternehmen treffen müssen, werden im offiziellen Dokument der NIS2-Richtlinie beschrieben sowie im Rechtsakt für IT-Dienstleister spezifisch für diesen Bereich. Diese beiden Dokumente bieten einen Einblick in die genauen Anforderungen – was das für andere Branchen und auf nationaler Ebene konkret bedeutet, wird sich erst durch Verordnungen auf nationaler Ebene zeigen (die aber beispielsweise in Deutschland und Österreich noch nicht vorliegen).

Strafen bei Nichteinhaltung von NIS2

Um die Erfüllung der Richtlinie durch Unternehmen konsequent durchzusetzen, sind bei Nichteinhaltung deutliche Sanktionen und Haftungsrisiken vorgesehen. Neben Bußgeldern sind auch organisatorische und persönliche Konsequenzen für Geschäftsführungen vorgesehen – Geschäftsführer haften persönlich, wenn nachgewiesen wird, dass sie ihre Überwachungspflichten vernachlässigt haben. Das kann zur Entlassung, zu Berufsverboten oder zu zivil- und strafrechtlichen Haftungen führen.

Folgende Bußgelder sind bei Verstößen vorgesehen:

• Bei besonders wichtigen Einrichtungen: 10 Mio. EUR, wenn der Umsatz größer allerdings ist als 500 Mio. Euro, dann 2% vom weltweiten Umsatz;
• Bei wichtigen Einrichtungen: 7 Mio. EUR, wenn der Umsatz allerdings größer ist als 500 Mio. EUR, dann 1,4% vom weltweiten Umsatz
• Strafhöhe 2 Mio. EUR: Bei der Verweigerung der Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit von IT-Systemen auf Anweisung des BSI können Herstellern von IT-Systemen 2 Mio. EUR Strafen drohen, TK-Anbietern und Telemedien können eine Strafe in dieser Höhe erhalten, wenn sie durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren nicht treffen.
• Strafhöhe 1 Mio. EUR: Beispielsweise für Betreiber kritischer Anlagen, wenn sie einen Nachweis über die Erfüllung der Anforderungen nicht richtig oder nicht vollständig erbringen.

Eine genauere Übersicht über die möglichen Bußgelder listet OpenKRITIS (Plattform zum Schutz Kritischer Infrastruktur) auf.

Unterschiede zwischen NIS2 und ISO 27001

NIS2 und ISO 27001 ähneln einander auf den ersten Blick und sind beide Regelwerke zur Stärkung der Cybersicherheit und des Risikomanagements in Organisationen – allerdings haben sie einen unterschiedlichen Fokus, rechtlichen Charakter und Anwendungsrahmen. Hier einige zentrale Unterschiede im Überblick:

• Verbindlichkeit: Die NIS2-Richtlinie ist als EU-Richtlinie verbindlich und muss in nationale Gesetze umgesetzt werden, IS0 27001 dagegen ist eine internationale Norm, deren Zertifizierung durch Organisationen freiwillig ist.
• Zertifizierung: Bei NIS2 gibt es keine formale Zertifizierung, die Einhaltung wird durch die zuständigen Behörden überwacht; bei ISO 27001 dagegen ist eine Zertifizierung durch akkreditierte Prüfer möglich.
• Kontrolle bzw. Audits: Bei NIS2 gibt es eine behördliche Überwachung zur Einhaltung sowie Bußgelder bei Verstößen, bei ISO 27001 dagegen regelmäßige externe Audits zur Aufrechterhaltung.
• Meldepflichten und Haftung: Bei NIS2 sind Vorfälle verpflichtend an die zuständige Behörde zu melden, bei ISO 27001 dagegen gibt es keine zuständige Behörde und damit keine Meldung; anders als bei NIS2 haftet das Management auch nicht gesetzlich für die Umsetzung.

ISO 27001 kann daher als Basis dienen, um Anforderungen von NIS2 zu erfüllen in puncto Risikomanagement, technischer Maßnahmen und Sicherheitsrichtlinien. Über diesen Rahmen hinaus garantiert eine ISO 27001-Zertifizierung allerdings nicht, dass damit die NIS2-Richtlinie vollständig eingehalten wird.

Aktuelle Umsetzung von NIS2 in Deutschland

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik verantwortlich, ein entsprechendes Gesetz zur Umsetzung von NIS2 ist in Vorbereitung. Am 24. Juli 2024 wurde ein Regierungsentwurf vorgelegt, allerdings hat Deutschland die Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten. Durch die Neuwahlen des Bundestags 2025 müssen Gesetzesentwürfe, die noch nicht beschlossen wurden, neu eingebracht und verhandelt werden. Mit der Umsetzung von NIS2 ist damit frühestens im zweiten Quartal 2025 zu rechnen.