Was ist NIS2?
Die NIS2-Richtlinie, eine Fortschreibung der ursprünglichen NIS (Netzwerk- und Informationssicherheitsrichtlinie) trat am 16. Januar 2023 in Kraft und stellt einen maßgeblichen neuen Rechtsrahmen zur Stärkung der Cybersicherheit in der EU dar. Diese muss bis September 2024 von den EU-Mitgliedstaaten durch nationale Rechtsakte umgesetzt werden. Sie verpflichtet Unternehmen aus kritischen Sektoren ihr Risikomanagement grundlegend zu überarbeiten. Die Richtlinie beinhaltet zudem erweiterte Sorgfalts- und Berichtspflichten und führt Strafen sowie Bußgelder ein.
Wer ist von NIS2 betroffen?
Im Unterschied zur ursprünglichen NIS-Richtlinie unterscheidet NIS2 nicht mehr zwischen „Betreibern wesentlicher Dienste“ und „Anbietern digitaler Dienste“. Stattdessen klassifiziert sie Einrichtungen basierend auf ihrer Bedeutung in zwei Kategorien: „wesentliche Einrichtungen“ (Essential Entities, EE) als große Organisationen in kritischen Sektoren wie beispielsweise:
-
Energie
-
Verkehr
-
Bankwesen
-
Trinkwasser
und „wichtige Einrichtungen“ als große Organisationen in anderen kritischen Sektoren (Important Entities, IE), die jeweils verschiedene Aufsichtsregelungen unterliegen. Die Unterscheidung in zwei Kategorien trägt der Tatsache Rechnung, dass Sicherheitsvorfälle nicht in allen Sektoren gleichermaßen Auswirkungen auf die Gesellschaft haben.
Unterschieden wird nun nach:
-
Kritikalität des Sektors
-
Art des Dienstes, den sie bereitstellt
-
Größe der Einrichtung und
-
Höhe von Umsatz und Bilanzsumme
Was sind die neuen Sorgfalts- und Berichtspflichten?
Beide Kategorien von Einrichtungen müssen grundlegende Aufgaben und Pflichten erfüllen. Sie umfassen Risikobewertungen, Krisenmanagement, Maßnahmen zur Aufrechterhaltung des Betriebs bei größeren Cybersicherheitsvorfällen und Sicherheitsmaßnahmen in der Lieferkette. Dazu gehören auch Schulungen für die Leitungsorgane, sowie die Implementierung angemessener technischer, organisatorischer und operativer Maßnahmen zur Sicherstellung der Netz- und Informationssicherheit.
Wesentliche Einrichtungen müssen proaktiv wirkende Maßnahmen implementieren, um die Auswirkungen von Missmanagement auch ohne konkreten Sicherheitsvorfall zu erkennen.
Wichtige Einrichtungen hingegen werden zur reaktiven Umsetzung der Richtlinie aufgefordert. Demnach wird die Einhaltung der Vorschriften überprüft, sobald ein tatsächlicher Vorfall auftritt. Im Falle eines Sicherheitsvorfalls müssen die betroffenen Einrichtungen:
-
Innerhalb von 24 Stunden eine erste Meldung
-
innerhalb von 72 Stunden detaillierte Informationen
-
einen Monat nach dem Vorfall einen Abschlussbericht überliefern.
IHRE EXPERTEN
WOLFGANG A. SCHMID
Rechtsanwalt,Fachanwalt IT-Recht
Hinweisgeberbeauftragter in Compliance-Systemen seit 2011
Schreiben Sie mich direkt an.
Ich melde mich persönlich bei Ihnen zurück.
MATTHIAS GLEICH
Rechtsanwalt, zertifizierter Datenschutzbeauftragter (IHK)
Hinweisgeberbeauftragter in Compliance-Systemen
Schreiben Sie mich direkt an.
Ich melde mich persönlich bei Ihnen zurück.
Was sind potentielle Folgen bei Nichteinhaltung?
NIS2 führt Bußgelder für die Nichteinhaltung der Richtlinie ein, einschließlich der Möglichkeit, Zertifizierungen oder Genehmigungen zeitweise zu entziehen und leitende Angestellte persönlich haftbar zu machen. Die Nichteinhaltung der Richtlinie kann bei wesentlichen Einrichtungen ein Bußgeld bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes nach sich ziehen.
Mit NIS 2 wird zudem die EU-CyCLONe (European Cyber Crisis Liasion Organization Network) installiert, ein Netzwerk zur Förderung der Zusammenarbeit zwischen nationalen Cybersecurity Behörden mit landesrechtlichen Cybersecurity Behörden. Zudem muss jeder Mitgliedstaat eine zentrale Meldestelle für Cybersicherheitsvorfälle benennen
Wie wird die Richtlinie umgesetzt?
Die Umsetzung obliegt den Mitgliedstaaten, die entsprechende Kontrollmechanismen etablieren müssen, um die Einhaltung der Anforderungen zu gewährleisten. Dies erfolgt nach der Integration der NIS2-Richtlinie in das nationale Recht der jeweiligen Staaten. Wesentliche Organisationen unterliegen einer proaktiven Aufsicht und Kontrolle, während wichtige Organisationen einer reaktiven Aufsichtspflicht unterworfen sind, die bei konkreten Anzeichen einer Nichteinhaltung aktiv wird.
Was bedeutet dies nun für mein Unternehmen?
Die NIS2-Richtlinie sorgt dafür, dass betroffene Unternehmen ihre Cybersicherheitsstrategien in Zukunft grundlegend überdenken und vermehrt auch auf proaktive Sicherheitsmaßnahmen setzen müssen. Wir ermutigen dazu, sich bereits jetzt mit den Vorgaben auseinanderzusetzen, um die Implementierung rechtzeitig vorzubereiten und verschiedene Sicherheitsmechanismen auf Ihre Eignung zu testen. In einer zunehmend vernetzten Welt ist die gezielte Stärkung der Cybersicherheit von immer größerer Bedeutung, und die NIS2-Richtlinie kann dazu beitragen, die digitale Resilienz in der gesamten EU zu erhöhen.
Prüfen Sie in wenigen Schritten ob auch Sie vom NIS2 - Gesetz betroffen sind: