NIS2: Bedeutung der neuen Richtlinie zur Netz- und Informationssicherheit für die Energiewirtschaft

Briefing

Der Rat der EU hat Ende November 2022 die Rechtsvorschriften zur Sicherung eines „hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union“ angenommen. Die neuen Rechtsvorschriften sollen die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter verbessern. Kern dieses Vorhabens ist die neue Richtlinie mit der Bezeichnung „NIS2“, welche die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) ersetzt. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. Unter anderem hat die NIS2-Richtlinie Auswirkungen auf Energieerzeuger. Unser Experte Dr. Paul Voigt (IT- und Datenschutzrecht) erläutert, welche Vorgaben NIS2 für Energieerzeuger beinhaltet.

Frage: Für wen gilt die Richtlinie?
Antwort: Die neuen Vorgaben gelten für verschiedene Sektoren, u.a. für Energieerzeuger (i.S.d. Art. 2 Nr. 38 der RL 2019/944), Netzbetreiber, Strommarktbetreiber und diverse weitere Energieunternehmen. Die „Eintrittshürde“, um von den NIS-Vorgaben erfasst zu werden, wird im Vergleich zur aktuell geltenden Rechtslage deutlich abgesenkt: Zur Anwendbarkeit genügt es, wenn die erfassten Unternehmen mindestens 50 Beschäftigte haben oder einen Jahresumsatz von mehr als 10 Mio. Euro.

Frage: Welche Verpflichtungen bestehen bei Anwendbarkeit der Richtlinie?
Antwort: Es besteht u.a. die Pflicht zur Ergreifung technischer, operativer und organisatorischer Maßnahmen, um die Risiken für die Sicherheit der Netz- und IT-Systeme, die für den Betrieb oder die Erbringung der Dienste genutzt werden, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger der Dienste zu verringern. Die NIS2-Richtlinie gibt (anders als unter aktuell geltendem Recht) konkrete Maßnahmen vor, die umzusetzen sind, wie beispielsweise

die Erstellung von Risikokonzepten,
Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
Maßnahmen zur Herstellung der Lieferkettensicherheit,
Maßnahmen zur Betriebskontinuität und
Maßnahmen zum Krisenmanagement etc.

Überdies wird die Verantwortlichkeit der Leitungsorgane der Unternehmen stärker geregelt; es gibt eine ausdrückliche Überwachungspflicht und eine Haftung der Geschäftsführung. Diese muss außerdem an Schulungen teilnehmen, um ausreichende Kenntnisse zur Erkennung und Bewertung von Cyberrisiken zu erwerben.

Daneben gibt es Meldepflichten bei Sicherheitsvorfällen ggü. Behörden und Diensteempfängern (eine Frühwarnung ist bereits innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls vorzunehmen).

Bei Nichterfüllung der Pflichten können die betroffenen Unternehmen Bußgelder von bis zu 10 Mio. Euro bzw. zwei Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes treffen.

Frage: Wie geht es weiter?
Antwort: Die NIS2-Richtlinie muss nun noch im Gesetzblatt der EU veröffentlicht werden um Geltung zu erlangen. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Danach haben die Mitgliedstaaten 21 Monate Zeit, die Regelungen in das nationale Recht zu übertragen. Wenngleich die konkreten Regelungen noch von der Umsetzung des deutschen Gesetzgebers abhängig sind (und gerade Detailfragen noch zu klären sind), stehen jedenfalls die Grundzüge der Neuregelung nun fest. Im Vergleich zu den aktuell in Deutschland geltenden Rahmenbedingungen ist nach Umsetzung der NIS2-Richtlinie in deutsches Recht aufgrund der aktuell geltenden sektorspezifischen Schwellenwerte (lesen Sie hierzu unsere Broschüre Erneuerbare Energien Anlagen als Kritische Infrastruktur – Anforderungen an den IT-Schutz) und der dann relevanten Mitarbeiter- und Umsatzzahlen eine Ausweitung der Anzahl an Unternehmen zu erwarten, für die NIS2 bzw. die nationalen Regelungen gelten. Zwar haben Unternehmen derzeit noch nichts zu befürchten, angesichts drohender Bußgelder sollten sie die weiteren Entwicklungen jedoch wachsam verfolgen, um rechtzeitig die zur NIS2-Compliance erforderlichen Schritte einleiten zu können.

Rechtsgebiete und Gruppen Datenschutz & Cyber-Sicherheit Projects, Energy & Infrastructure

Branchen Energy & Infrastructure

In dieser Serie

Projects, Energy & Infrastructure