NIS-2: Wer ist betroffen von der Richtlinie?

NIS-2: Worum geht es?

Die NIS-2-Richtlinie soll die Sicherheit kritischer Infrastrukturen und digitaler Dienste innerhalb der Europäischen Union erhöhen und beinhaltet einige wichtige Verpflichtungen für wesentliche Wirtschaftszweige.
Die Richtlinie zielt weiterhin darauf ab, die Verantwortlichkeit und Haftung für die Sicherheit von Netz- und Informationssystemen zu stärken. Sie soll darüber hinaus sicherstellen, dass Unternehmen – und ihre Führungskräfte – angemessene Maßnahmen zum Schutz dieser Systeme implementieren.

Zum einen beinhaltet die Richtlinie die Verpflichtung zur fristgerechten Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden. Zum anderen sind die Planung und Umsetzung angemessener Sicherheitsmaßnahmen verpflichtend.
Außerdem soll durch die NIS-2-Richtlinie gewährleistet werden, dass effektive Mechanismen für die Zusammenarbeit eingerichtet werden, die eine Erhöhung der Informationssicherheit ermöglichen. 

Welche Unternehmen und Organisationen sind von NIS-2 betroffen?

Während die ursprüngliche NIS-Richtlinie sich primär an die Betreiber kritischer Infrastrukturen richtete, sind mit NIS-2 viel mehr Unternehmen in der EU betroffen. Die Richtlinie zielt auf mittlere und große Unternehmen aus 18 unterschiedlichen Sektoren ab.

Die genaue Zuordnung hängt von verschiedenen Faktoren ab, darunter die folgenden:

• Branche: Bestimmte Branchen wie Energie, Transport, Gesundheitswesen oder Finanzdienstleistungen gelten aufgrund ihrer kritischen Infrastruktur als besonders schützenswert.
• Unternehmensgröße: Unternehmen ab einer bestimmten Anzahl an Mitarbeitenden oder einem bestimmten Umsatz fallen in der Regel unter die NIS-2-Richtlinie.
• Art der Dienstleistungen: Unternehmen, die digitale Dienste anbieten oder von digitalen Diensten abhängig sind, sind ebenfalls betroffen.

Darüber hinaus wird zwischen wesentlichen ("essential") Einrichtungen mit hoher Kritikalität und wichtigen ("important") Einrichtungen unterschieden. In der nachfolgenden Übersicht werden die Unterschiede zwischen den Einrichtungsarten aufgezeigt.

Welche konkreten Anforderungen stellt NIS-2 an betroffene Unternehmen?

Von der NIS-2-Richtlinie betroffene Unternehmen müssen einige Maßnahmen hinsichtlich der Informationssicherheit umsetzen. Hier ist vor allem das Einrichten von Risiko- und Notfallmanagement ein fundamentaler Bestandteil. Außerdem sollen Unternehmen angemessene Sicherheitstechnologien einsetzen. 

Die zeitnahe Meldepflicht von schwerwiegenden Sicherheitsvorfällen an nationale Behörden ist außerdem ein zentrales Element der Richtlinie. Die NIS-2-Richtlinie differenziert zwischen wesentlichen und wichtigen Einrichtungen. Die Anforderungen sollen dazu dienen, die Sicherheit kritischer Infrastrukturen und digitaler Dienste zu sichern. 

• Risikomanagement und Sicherheitsvorkehrungen: Es werden Maßnahmen zur Minimierung der Auswirkungen von Sicherheitsvorfällen gefordert, z. B. durch Cyber-Risikomanagement, Business Continuity Management, Verschlüsselung und Zugriffskontrollen. 
• Meldung von schwerwiegenden Sicherheitsvorfällen: Schwerwiegende Sicherheitsvorfälle müssen zeitnah und umfassend den nationalen Behörden gemeldet werden. Angemessene Maßnahmen müssen ergriffen werden, um zu reagieren. 
• Kontinuierliche Überprüfung und Aktualisierung: Eine kontinuierliche Überprüfung der Maßnahmen muss erfolgen, um eventuell notwendige Aktualisierungen vorzunehmen. Das Sicherheitsniveau sollte stets auf dem neusten Stand der Technik sein. 
• Zusammenarbeit mit Behörden: Durch eine effektive Zusammenarbeit und einen produktiven Austausch zwischen den Mitgliedsstaaten soll die Cybersicherheit erhöht werden, z. B. durch Kooperations-Gruppen mit Vertretern der nationalen Behörden für Cybersicherheit der Mitgliedstaaten. 

Die NIS-2-Richtlinie sollte ursprünglich bis 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht überführt werden. Durch die Verzögerung in der Umsetzung wird das NIS2UmsuCG in Deutschland voraussichtlich erst im Frühjahr 2025 in Kraft treten. 

Welche Sanktionen drohen bei Nichtbeachtung von NIS-2?

Sofern Unternehmen gegen die NIS-2-Anforderungen verstoßen und wichtige Maßnahmen nicht ergreifen, werden entsprechend Sanktionen von den Mitgliedsstaaten verhängt. Für "wesentliche" Einrichtungen sind dabei höhere Geldstrafen vorgesehen als für "wichtige Einrichtungen". 

Die Haftungsfrage wurde in der NIS-2-Richtlinie im Gegensatz zur originalen NIS-Richtlinie weiter verschärft. Gemäß der NIS2-Richtlinie können Mitgliedstaaten angemessene Sanktionen gegen Unternehmen verhängen, die gegen die Bestimmungen der Richtlinie verstoßen. 

Die Besonderheit daran: Dies kann auch die Haftung der Leitungsebene oder der verantwortlichen Führungskräfte einschließen. Somit können in einigen Fällen Geldstrafen oder andere administrative Sanktionen gegen Unternehmen oder bestimmte Führungskräfte verhängt werden, um sicherzustellen, dass Verstöße gegen die Cybersicherheitsbestimmungen angemessen geahndet werden. Die Obergrenze der Haftung soll sich auf bis zu 2% des globalen jährlichen Umsatzes eines Unternehmens belaufen.

Wie sollten von NIS-2 betroffene Unternehmen nun vorgehen?

Die NIS-2-Richtlinie sorgt für reichlich Gesprächsstoff in den verschiedenen Sektoren und teilweise auch zu Unsicherheiten. Viele Unternehmen und insbesondere die Leitungsebenen müssen zunächst prüfen, ob und inwiefern sie von NIS-2 betroffen sind und inwiefern die gesetzlichen Anforderungen auf sie zutreffen. Unser kostenloser NIS-2-Self-Check unterstützt Sie bei der Frage, in welche Kategorie Ihr Unternehmen fällt. 

Im Anschluss an den NIS-2-Self-Check empfehlen wir Ihnen eine Initialberatung zu NIS-2, um die weiteren Schritte festzulegen. 

Unser kompetentes Team aus Sicherheitsexperten der netgo und sila consulting steht Ihnen jederzeit gerne zur Seite.