NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die EU-Richtlinie und der aktuelle deutsche Gesetzesentwurf im Überblick

 Jetzt anhören: Alle Infos zu NIS-2 gibt es auch im Podcast. Zur aktuellen Folge 

Was ist NIS-2?

Mit der NIS-2-Richtlinie gelten für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. Viele sind zudem als Lieferanten möglicherweise indirekt betroffen. NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe Geldstrafen.

 Was bedeutet NIS? 

NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.

Wann tritt NIS-2 in Kraft?

  • Die NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft
  • Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen
  • Die EU hat den Stichtag 17. Oktober 2024 vorgegeben, den Deutschland allerdings nicht eingehalten hat
  • Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) liegt als Regierungsentwurf vor
  • Neue Versionen des NIS2UmsuCG-Entwurfs werden hier veröffentlicht (teils erst verzögert)
  • Die EU hat gegen Deutschland und andere EU-Staaten ein Vertragsverletzungsverfahren wegen der fehlenden Umsetzung der NIS-2-Richtlinie eröffnet. Zur Pressemeldung
  • Der aktuellste derzeit bekannte Planungshorizont geht von einem Inkrafttreten im März 2025 aus
  • Dennoch sollten Unternehmen die Vorgaben aufgrund des Aufwands so schnell wie möglich umsetzen

NIS-2: Wer ist betroffen?

Die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Ihnen eine erste Orientierung, ob Ihr Unternehmen von der EU-weiten NIS-2-Richtlinie betroffen ist.

Die NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben:

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme

Einige Sonderfälle unabhängig von ihrer Größe

Übersicht der 18 betroffenen Sektoren

Die NIS2 Directive betrifft Einrichtungen aus 18 Sektoren, die in Anhang I und II aufgeführt sind. Darin steht für jeden Sektor genau, welche „Art der Einrichtung“ betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen. Diese Einrichtungen werden in Anhang I und Anhang II der NIS-2 jeweils noch genauer definiert. Für die aktuelle Umsetzung in Deutschland schauen Sie am besten im deutschen NIS2UmsuCG-Entwurf in Anlage 1 und 2 nach, ob Sie unter eine dort genannte „Einrichtungsart“ fallen.

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang II der NIS-2):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Von der Richtlinie zur Durchführungsverordnung: NIS-2 wird konkreter – was bedeutet das für Sie?

Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?

Maßnahmen zum Risikomanagement für Cybersicherheit

(Art. 1 § 30 im NIS2UmsuCG-Entwurf)

Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

 

  • Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
  • Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
  • Supply Chain: Sicherheit in der Lieferkette
  • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
  • Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
  • Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
  • Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Verantwortung der Geschäftsführung

(Art. 1 § 38 im NIS2UmsuCG-Entwurf)

  • muss die Maßnahmen umsetzen und die Umsetzung überwachen
  • haftet für Verstöße nach den Regeln des jeweiligen Gesellschaftsrechts
  • muss an Schulungen teilnehmen

 

Meldepflicht von Sicherheitsvorfällen

(Art. 1 § 32 im NIS2UmsuCG-Entwurf)

Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

  • Frühwarnung innerhalb von 24 h ab Kenntnis:
    Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
  • Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
    Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
  • Fortschritts-/Abschlussbericht ein Monat nach Meldung:
    Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Registrierung

(Art. 1 § 33-34 im NIS2UmsuCG-Entwurf)

Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt und auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht.

Folgende Informationen sind einzureichen:

  • Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer
  • Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse
  • öffentliche IP-Adressbereiche und Telefonnummern
  • relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche
  • Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen
  • die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder
  • ggf. weitere Informationen je nach Einrichtungsart

Deutscher NIS-2-Gesetzesentwurf, EU-Durchführungsverordnung: Was die aktuelle rechtliche Entwicklung für Sie bedeutet.

Was passiert, wenn Sie die NIS-2 Vorschriften nicht einhalten?

Bei Verstößen gegen die Risikomanagementmaßnahmen (Art. 1 § 30 im NIS2UmsuCG-Entwurf) oder Meldepflicht von Sicherheitsvorfällen (Art. 1 § 32 im NIS2UmsuCG-Entwurf) drohen hohe Geldstrafen. Der deutsche NIS2UmsuCG-Entwurf trifft eine Einteilung in besonders wichtige und wichtige Einrichtungen. Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen. 

 

Besonders wichtige Einrichtungen

(= „wesentliche Einrichtungen“ in der NIS-2-Richtlinie)

Wichtige Einrichtungen

(= „wichtige Einrichtungen“ in der NIS-2-Richtlinie)

Aufsicht durch Behörden (Art. 1 § 61-62)

Proaktive Aufsicht ohne vorige Hinweise auf Verstöße, zum Beispiel (nach Ermessen des BSI):

  • Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern)
  • Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten)
  • direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte
  • Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung

Reaktive Aufsicht nur nach Hinweisen auf Verstöße, zum Beispiel (nach Ermessen des BSI):

  • Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern)
  • Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten)
  • direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte
  • Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung

Geldstrafen bei Verstößen (Art. 1 § 65)

Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Wer zählt dazu?

Große Unternehmen aus Anlage 1 im NIS2UmsuCG-Entwurf:

  • > 249 Beschäftigte, oder
  • > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz

Größenunabhängige Sonderfälle

Große Unternehmen aus Anlage 2 im NIS2UmsuCG-Entwurf:

  • > 249 Beschäftigte, oder
  • > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz

Mittlere Unternehmen aus Anlage 1 oder Anlage 2 im NIS2UmsuCG-Entwurf:

  • mind. 50 Beschäftigte, oder
  • > 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz
  • kein großes Unternehmen

Größenunabhängige Sonderfälle
Hinweis: Die Einstufung als „besonders wichtig“ geht immer vor.

Wie G DATA Lösungen Ihnen helfen, die NIS-2-Vorschriften zu erfüllen

  • Art. 1 § 38: Schulungspflicht der Geschäftsleitung
  • Art. 1 § 30: Risikomanagementmaßnahmen
  • Art. 1 § 32: Meldepflichten

Sie benötigen Hilfe bei der Umsetzung der NIS2 Directive?

Hinweis: Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.