NIS 2 Richtlinie: Wie bereiten Unternehmen sich am besten vor?

Die Europäische Union hat zur Stärkung der Cybersicherheit die Richtlinie NIS 2 eingeführt. Davon werden in Deutschland etwa 30.000 Unternehmen betroffen sein. Aktuell ist geplant, dass die von der Richtlinie betroffenen Unternehmen die entsprechenden IT-Sicherheitsmaßnahmen bis zum 18.10.2024 umgesetzt haben und ab dann sämtliche Sicherheitsvorfälle den Behörden melden – andernfalls drohen signifikante Strafen.

Noch ist allerdings nicht klar, ob das Gesetz in Deutschland bis zu diesem Zeitpunkt umgesetzt werden wird. Als Unternehmer sollten Sie sich trotzdem so früh wie möglich mit der Richtlinie auseinandersetzen.

In diesem Ratgeberartikel erfahren Sie daher, was die NIS-2-Richtlinie genau ist, welche Unternehmen davon betroffen sind und wie Sie schließlich an das Thema herangehen.

Was ist die NIS 2 Richtlinie?

Die NIS-2-Richtlinie steht für die zweite Fassung der EU-Richtlinie 2022/2555 zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS). Sie ist am 16. Januar 2023 in Kraft getreten und muss von der Bundesregierung bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Bisher gibt es noch keinen finalen Entwurf, es liegen lediglich mehrere Referentenentwürfe und ein Diskussionspapier des Bundesinnenministeriums (NIS2UmsuCG) vor.

NIS 2 baut auf der NIS-Richtlinie der Europäischen Union von 2016 auf. Sie zielt darauf ab, das Cybersicherheitsniveau in der EU zu harmonisieren, die Sicherheits- und Informationssysteme von Unternehmen und Institutionen weiter zu stärken und die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberbedrohungen zu erhöhen.

In der ersten Fassung wurden die Betreiber „kritischer Dienste“ (KRITIS-Betreiber) ermittelt und entsprechende Meldepflichten und Sicherheitsverfahren für eben diese Unternehmen eingeführt. Die EU legt mit NIS 2 nun detailliertere, einheitlichere und striktere Anforderungen an die Mitgliedsstaaten fest, um sicherzustellen, dass diese über angemessene Strategien und Mechanismen zur Bewältigung von Cyberbedrohungen verfügen.

Wie groß ist der Geltungsbereich von NIS 2?

Der Anwendungsbereich der neuen NIS-2-Richtlinie wird deutlich über die bisher bekannten KRITIS-Bereiche hinaus ausgeweitet, um eine flächendeckende Abdeckung sicherzustellen. Wurden in der ersten Fassung lediglich die betroffenen KRITIS-Unternehmen berücksichtigt, werden nun wohl auch die Unternehmen aus der Lieferkette (Lieferanten und Dienstleister) indirekt mit einbezogen.

Die Richtlinie unterscheidet neben den KRITIS-Betreibern zwischen „besonders wichtigen Einrichtungen“ (Sektoren mit hoher Kritikalität) und „wichtigen Einrichtungen“ (sonstige kritische Sektoren). Der größte Unterschied liegt in der Höhe der möglichen Geldstrafen und der Art der Aufsicht durch die Behörden (proaktiv vs. reaktiv).

Zu den besonders wichtigen Einrichtungen gehören Unternehmen, die in folgenden Bereichen aktiv sind:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastruktur
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (B2B)
• öffentliche Verwaltung
• Weltraum

Zu den wichtigen Einrichtungen gehören Unternehmen, die in folgenden Bereichen aktiv sind:

• Abfallwirtschaft
• Anbieter von Post- und Kurierdiensten
• Herstellung, Produktion und Vertrieb chemischer Erzeugnisse
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Hersteller von medizinischen Geräten, Computern, Elektronik, optischen Erzeugnissen, Maschinen und Ausrüstungen, Kraftfahrzeugen und Teile sowie Transportmitteln
• Digitale Anbieter wie Suchmaschinen, soziale Netzwerke oder Online-Marktplätze
• Forschungseinrichtungen (fakultativ)

Wenn Ihr Unternehmen zu diesen 18 Sektoren gehört und somit von der neuen Richtlinie betroffen sein könnte, kommt es primär auf Ihre Unternehmensgröße, Ihren jährlichen Umsatz und ihre Bilanzsumme an.

Tipp: Auf der sicheren Seite mit unserer Buchhaltungssoftware

Welche Unternehmen müssen die Vorgaben der Richtlinie erfüllen?

Bisher hatte die NIS-Richtlinie lediglich Auswirkungen auf größere Unternehmen und Institutionen. Mit der neuen Richtlinie, bei der einheitliche Mindestkriterien eingeführt werden, wird das Thema Cybersecurity allerdings auch im deutschen Mittelstand zum Thema.

Generell wird zwischen großen und mittleren Unternehmen und Institutionen unterschieden:

• Mittlere Unternehmen: 50 bis 249 Beschäftigte, 10 bis 50 Millionen Euro Umsatz, Bilanzsumme kleiner als 43 Millionen Euro
• Große Unternehmen: mind. 250 Mitarbeiter, 50 Millionen Euro Umsatz oder mehr, Bilanzsumme größer als 43 Millionen Euro

Kleinere Unternehmen sind in der Regel von der Richtlinie ausgenommen. Allerdings muss im Einzelfall geprüft werden, ob sie ungeachtet ihrer Größe trotzdem unter die Direktive fallen, weil sie bspw. eine Tochtergesellschaft im Konzernverbund sind oder Beteiligungen an anderen Unternehmen halten.

Kleine Unternehmen fallen zudem ausnahmslos unter NIS 2, wenn sie

• Vertrauensdienstanbieter,
• Anbieter öffentlicher elektronischer Kommunikationsnetze,
• Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
• TLD-Namensregistrare und DNS-Dienstanbieter (außer Root-Namensserver) oder
• der einzige Anbieter eines gesellschaftlich oder wirtschaftlich wichtigen Services sind.

Welche Meldepflichten müssen Unternehmer einhalten?

Wenn es zu Unregelmäßigkeiten (z. B. Hacker-Angriffe) oder signifikanten Sicherheitsvorfällen kommt, sind die Meldepflichten bereits heute sehr strikt. Diese werden mit NIS 2 nochmals verschärft. Sämtliche Vorfälle müssen Sie nach wie vor dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dabei gilt es, einen dreistufigen Prozess und folgende Fristen einzuhalten:

• innerhalb von 24 Stunden ab Kenntnis: Frühwarnung
• innerhalb von 72 Stunden ab Kenntnis: ausführlicher Bericht
• auf Nachfrage des BSI: Zwischenmeldung
• innerhalb eines Monats: Fortschritts- oder Abschlussbericht

Werden während eines Sicherheitsvorfalls zudem personenbezogene Daten, die es zu schützen gilt, offengelegt, müssen die Melde- und Berichtspflichten der DSGVO berücksichtigt werden. Andernfalls müssen Unternehmen bei Verstößen gegen die DSGVO mit Bußgeldern rechnen.

Wie sollten Unternehmer an die Richtlinie herangehen?

Das Wichtigste vorab: Unternehmen werden vonseiten der Behörden nicht darüber informiert, ob für sie die neue NIS-2-Richtlinie gilt oder nicht. Sie sind verpflichtet, dies anhand der genannten Kriterien selbst zu überprüfen.

Aus diesem Grund sollten Sie also zuerst prüfen, ob Ihr Unternehmen unter die Richtlinie fällt. Dies ist gegeben, sofern Ihr Unternehmen als mittleres oder großes Unternehmen eingestuft wird und in einem der oben genannten Sektoren tätig ist. Sollten sie weniger als 50 Mitarbeiter und weniger als 10 Millionen Euro Umsatz erwirtschaften, gelten sie laut der Richtlinie zwar als kleines Unternehmen, müssen aber dennoch prüfen, ob ihre Tätigkeit unter die Sonderfälle fällt.

Anschließend sollten Sie sich um die Verantwortlichkeit dieses Themas kümmern. Bestimmen Sie am besten einen Ansprechpartner, der für die Einführung der Regelungen verantwortlich ist, und suchen sie rechtzeitig – falls nötig – nach externer Unterstützung, die Sie bei der Umsetzung der Richtlinie unterstützt. Es empfiehlt sich zudem, eine Risikoanalyse zu betreiben, um Lücken in Bezug auf die NIS-2-Richtlinie zu identifizieren und entsprechende Maßnahmen einzuleiten.

Welche Maßnahmen sollten Unternehmen ergreifen?

Ist Ihr Unternehmen von NIS 2 betroffen, müssen Sie sich außerdem beim BSI registrieren. Die erforderlichen Angaben umfassen den Namen und die Rechtsform Ihres Unternehmens, Kontaktdaten, IP-Adressbereiche, E-Mail-Adressen und Telefonnummern, Sektoren und die EU-Staaten, in denen Sie tätig sind. Möglicherweise wird es auch spezielle Registrierungsregeln geben. Die genauen Informationen dazu müssen allerdings noch festgelegt werden.

Nach der Registrierung sollten Unternehmer zudem eine Kontaktstelle für ihre „kritischen Bereiche“ innerhalb des Unternehmens einführen. Diese Kontaktstelle dient dazu, dass das Unternehmen zu jeder Zeit erreichbar ist und darüber seinen Meldepflichten im Falle von IT-Sicherheitsvorfällen nachkommen kann.

Darüber hinaus listet der Referentenentwurf des NIS2UmsuCG im Abschnitt „Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten“ erforderliche Cybersecurity-Maßnahmen auf. Unternehmen haben diesen nachzukommen, um die Sicherheit ihrer Systeme zu gewährleisten.

Zu den Maßnahmen gehören:

• Erstellung von Konzepten für die Risikoanalyse und die Sicherheit von Informationssystemen
• Bewältigung von Sicherheitsvorfällen
• Business Continuity Management (Aufrechterhaltung und Wiederherstellungen, Back-Up-Management) und Krisenmanagement
• Sicherstellung der Sicherheit in der Lieferkette
• Konzepte und Verfahren zur Bewertung der Effektivität der getroffenen Cybersecurity-Maßnahmen und des Risikomanagements
• Sicherheit in der Beschaffung, Entwicklung und Wartung der IT-Systeme
• Einhaltung der Cyberhygiene (bspw. durch Updates) und Cybersicherheit-Schulungen
• Einsatz von Kryptografie und Verschlüsselungstechnologien
• Gewährleistung von Personalsicherheit, Zugriffskontrolle und Anlagen-Management
• Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
• Sichere Kommunikation (Sprache, Video und Text) und Notfallkommunikation

Wie sehen die Sanktionen aus?

Die betroffenen Unternehmen sehen sich einem ziemlichen Durchsetzungsdruck durch die neue Direktive ausgesetzt. Das wird insbesondere durch die Verschärfung der Höhe der möglichen Sanktionen und die Haftung der Geschäftsführung bei Missachtung der Vorgaben deutlich.

Für besonders wichtige Unternehmen sehen die Sanktionen wie folgt aus:

• Bis zu 10 Millionen Euro oder
• 2 % des weltweiten Jahresumsatzes

Für wichtige Unternehmen sehen die Sanktionen wie folgt aus:

• Bis zu 7 Millionen Euro oder
• 1,4 % des weltweiten Jahresumsatzes

In beiden Fällen ist jeweils der höhere Betrag für das Bußgeld maßgeblich.

Doch auch die Managementebene (Geschäftsführer, Vorstände und andere leitende Organe) ist von der NIS-2-Richtlinie betroffen. Sie muss die Umsetzung der Maßnahmen überwachen, Schulungen besuchen und ermöglichen und wird bei Verstößen schadenersatzrechtlich in die Haftung genommen. Angedacht ist die Haftung mit dem Privatvermögen und maximal 2 % des weltweiten Jahresumsatzes.

NIS 2: Ausblick

Die NIS-2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Kommt die Bundesregierung diesem Zeitplan nach, werden sich deutlich mehr Unternehmen als bisher mit der Richtlinie und dem Thema Cybersicherheit auseinandersetzen müssen, die davon bisher nicht betroffen waren. Bisher erfasste KRITIS-Unternehmen müssen sich zudem auf schärfere Kontrollen und deutlich höhere Sanktionen einstellen.

Gleichzeitig ist der Zeitrahmen für die Implementierung der Richtlinie äußerst kurz, da nicht nur die Unternehmen selbst, sondern auch der Einkauf sowie die Lieferketten betroffen sind. Weil kurzfristige Veränderungen aufgrund von Verträgen schwer umsetzbar sind, sollten Unternehmen lieber früher statt später klären, ob für sie die EU-Richtlinie gilt und entsprechend handeln.