NIS-2-Richtlinie Erhöhung des Cyber- und Informationssicherheitsniveaus von Unternehmen und Institutionen (Stand 22.07.2024)
Was ist NIS-2? Die NIS-2-Richtlinie („The Network and Information Security Directive“, (EU) 2022/2555) befasst sich mit der Cybersicherheit und Informationssicherheit von Unternehmen und Institutionen. Zum jetzigen Zeitpunkt wurde in Deutschland ein Regierungsentwurf des Umsetzungsrechtsakts zur NIS-2-Richtlinie, das sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Entwurf von 22.07.2024) verabschiedet und befindet sich nun im Gesetzgebungsverfahren. Die Umsetzung in nationales Recht muss bis zum 17. Oktober 2024 erfolgen.
Welches Ziel hat die NIS-2-Richtlinie? Ziel der Richtlinie ist die Harmonisierung und Erhöhung des Cyber- und Informationssicherheitsniveaus von Unternehmen und Institutionen, insbesondere von solchen, die in kritischen Infrastrukturen tätig sind. Darüber hinaus wird mit der NIS-2-Richtlinie die Cybersicherheit explizit zur Aufgabe der Geschäftsführung, da die Leitungsorgane für die Umsetzung von Risikomanagementmaßnahmen organschaftlich haftbar sind.
Wer muss NIS-2 beachten und welche Unternehmen sind von NIS-2 betroffen? Die betroffenen Unternehmen und Institutionen lassen sich zukünftig voraussichtlich in drei Kategorien einordnen: Betreiber besonders wichtiger Einrichtungen Betreiber wichtiger Einrichtungen Betreiber einer kritischen Anlage Der Begriff der Einrichtung bezieht sich hierbei auf öffentliche sowie auf private Einrichtungen. Jedes Unternehmen muss selbst feststellen, ob es in den Anwendungsbereich fällt. Es gibt keine behördliche Mitteilung über eine etwaige Betroffenheit. Voraussetzungen für Betreiber einer besonders wichtigen Einrichtung: mind. 250 Mitarbeitende oder Jahresumsatz > 50 Mio. € , Jahresbilanzsumme > 43 Mio. € und Tätigkeit in einem Sektor mit hoher Kritikalität (nach Anlage 1 des NIS2UmsuCG)* Sektoren mit hoher Kritikalität: Energie, Transport und Verkehr, Finanz-und Versicherungswesen, Gesundheitswesen, Trink- und Abwasser, Informationstechnik und Telekommunikation und Weltraum. Sonderfälle: qualifizierter Vertrauensanbieter, Top Level Domain Name Registeries, DNS, Telekommunikationsanbieter, öffentliche Verwaltung*Betreiber einer kritischen Anlage: Erbringen Betreiber ihre Dienstleistungen in einem Sektor mit hoher Kritikalität (nach Anlage 1 bzw § 28 Abs. 6 NIS2UmsuCG) in eigenen Anlagen und überschreiten damit den Schwellenwert (Richtwert: 500.000 versorgte Personen), werden als KRITIS-Betreiber eingestuft. Voraussetzungen für Betreiber einer wichtigen Einrichtung: zwischen 50 und 249 Mitarbeitende oder Jahresumsatz > 10 Mio. € und Jahresbilanzsumme > 10 Mio. € und Tätigkeit in einem Sektor mit hoher Kritikalität oder in einem sonstigen kritischen Sektor (nach Anlage 1 oder 2 des NIS2UmsuCG), u.a. Anbieter von Post- und Kurrierdiensten, Abfallwirtschaft, chemische Erzeugnisse, Lebensmittel, verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschungseinrichtungen. Sonderfälle: Vertrauensdienste Hinweis: Die genannten Sektoren stellen keinen abschließenden Überblick über die Sektoren dar. Unsicher, ob Ihr Unternehmen betroffen ist?Nehmen Sie Kontakt mit uns auf, wir unterstützen Sie gerne mit Ihrer Betroffenheitsanalyse!
Was müssen Unternehmen jetzt tun? Die Richtlinie sieht eine Vielzahl an Pflichten vor, die grob unter die folgenden Begriffe gefasst werden können: Risikomanagement: Auswahl und Identifizierung geeigneter Cybersicherheitsmaßnahmen Unverzügliche Meldepflicht von erheblichen Sicherheitsvorfällen (3 Stufen) Registrierungspflicht Unterrichtungspflichten bei einem erheblichen Sicherheitsvorfall Umsetzungs-, Überwachungs- und Schulungspflicht des Geschäftsleiters Nachweispflichten über die Erfüllung der Anforderungen an das Risikomanagement bspw. in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen Diese Pflichten können weitgehend durch ein Information Security Management System (ISMS, englisch für „Managementsystem für Informationssicherheit“) aufgefangen werden. Insbesondere beim Risikomanagement darf die Lieferkette nicht vernachlässigt werden. Es ist unerlässlich, dass die betroffenen Einrichtungen in Zukunft klare vertragliche Vereinbarungen mit ihren Dienstleistern treffen müssen, um eine umfassende Umsetzung der Cybersicherheit zu gewährleisten. Cybersicherheit und Datenschutz sind eng miteinander verbunden, da beide auf den Schutz sensibler Daten abzielen. Dabei gehen die Regeln der NIS-2 jedoch noch deutlich über die Anforderungen u.a. der DSGVO hinaus und zielen nicht nur auf personenbezogene Daten. Gerade deswegen können jedoch Maßnahmen zur Verbesserung der Cybersecurity gemäß der NIS-2-Richtlinie auch dazu beitragen, den Datenschutz zu stärken.
Welche Leistungen bieten wir Ihnen zur Erfüllung Ihrer gesetzlichen Pflichten im Bereich der Cybersecurity? Betroffenheitsanalyse: Prüfen der Anwendbarkeit der Richtlinie auf Ihr Unternehmen, u.a. zur Entlastung der Leitung sowie zur Sicherstellung einer erforderlichen Dokumentation GAP-Analyse: Erstellung einer Abweichungsanalyse zur Identifikation von Lücken in Bezug auf die Anforderungen der NIS 2 Richtlinie mit Ihren betrieblichen Abläufen und Prozessen NIS-2-Policy: Bereitstellung einer NIS-2-Policy für Ihr Managementsystem und Compliancesystem Compliance: Unterstützung und Beratung beim Aufbau und Betrieb von praxisnahen Compliancestrukturen Risk Management: Unterstützung beim Risikomanagement und Entwicklung eines darauf basierenden Maßnahmenkatalogs zur Beherrschung der möglichen Risiken Lieferkettensicherheit: Anwaltliche Prüfung und erforderliche Anpassungen und Erstellung von Dienstleistungs- und Zuliefererverträgen Rechenschaftspflicht: Gesetzeskonforme Dokumentation von sicherheitsrelevanten Angriffen Meldeprozess: Aufbau eines effizienten und praxiserprobten Prozesses zur Meldung von Sicherheitsvorfällen gemäß den gesetzlichen Vorgaben Registrierung: Beratung und Unterstützung im Zusammenhang mit der Registrierungspflicht Unterrichtungspflicht: Bereitstellung aller erforderlichen Dokumente zur Unterrichtung betroffener Personen im Falle eines erheblichen Sicherheitsvorfalls Risk Management: Unterstützung bei der Dokumentation und Nachweisführung über die Erfüllung der Anforderungen des Risikomanagements durch Sicherheitsaudits, Prüfungen oder Zertifizierungen Informationssicherheit: Dokumentation der IT-Sicherheitsstruktur und Weiterentwicklung bestehender Sicherheitsstrukturen Informationssicherheit: Unterstützung Ihrer Unternehmensorganisation bei der Weiterentwicklung und Dokumentation interner Informationssicherheitsstrukturen zur Erreichung geeigneter Zertifizierungen, u.a. nach ISO Bereitstellung aller erforderlichen Nachweise und Unterlagen zur Berücksichtigung der NIS2-Richtlinie in Ihren Zertifizierungen u.a. nach ISO 27001 oder TISAX Awareness: Bereitstellung von Schulungsmaterial für die Geschäftsleitung und Mitarbeitende sowie Durchführung von Schulungen Datenschutz: Vorlagen zur Ergänzung der Datenschutz-Compliance zur Erfüllung aller datenschutzrechtlichen Informationspflichten gegenüber betroffenen Personen sowie Errichtung von internen Datenschutzprozessen und Meldeprozessen, Ergänzung und Bereitstellung weiterer erforderlicher datenschutzrechtlicher Unterlagen wie z.B. Meldung zum Verzeichnis der Verarbeitungstätigkeiten oder Verträge zur Auftragsverarbeitung Schreiben Sie uns an!
Konsequenzen bei Nichterfüllung Was sind die möglichen Konsequenzen für Unternehmen, die die NIS2-Richtlinie nicht erfüllen? Bei Verstößen gegen die Cybersecurity-Richtlinie können empfindliche Geldbußen drohen. Der Bußgeldrahmen der Gesellschaftshaftung bestimmt sich anhand der Einordnung des Unternehmens als eine wesentliche Einrichtung oder eine wichtige Einrichtung. Im Falle einer wesentlichen Einrichtung können Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Bei Vorliegen einer wichtigen Einrichtung ist der Rahmen niedriger angesetzt mit einem Höchstbetrag von Bußgeld bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Hier ist ebenfalls der höhere Betrag maßgeblich. Zusätzlich sind die Leitungsorgane sind nach den anwendbaren Regeln des Gesellschaftsrechts (wie bspw. nach § 43 GmbHG oder § 93 AktG) im Falle einer Verletzung ihrer Umsetzungs-, Überwachungs- und Schulungspflicht (§ 38 Abs. 1 NIS2UmsuCG) mit dem Resultat eines schuldhaft verursachten Schadens haftbar. Es ist besonders wichtig zu beachten, dass diese Verpflichtung nicht durch Beauftragung eines Dritten erfüllt werden kann. Kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch!
Kurz und knapp Was ist eine Richlinie? Eine Richtlinie ist ein Rechtsakt der EU, der keine unmittelbare rechtliche Wirkung in den Mitgliedsstaaten besitzt. Die Mitgliedstaaten müssen die Richtlinie innerhalb einer bestimmten, in der Regel in der Richtlinie selbst festgelegten, Frist in nationales Recht umsetzen. Kurz und knapp Für welchen Begriff steht die Abkürzung NIS? Die Abkürzung NIS steht für „Network and Information Security“, also die Sicherheit von Netzwerk und Informationen. Diese Bezeichnung wird in der EU-Richtlinie „The Network and Information Security Directive“, (EU) 2022/2555 verwendet. Umgangssprachlich wird diese Richtlinie oft als NIS-2-Richtlinie bezeichnet. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen.