11. April 2024
Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Der Digitalverband Bitkom schätzt den Schaden, den deutsche Unternehmen im Jahr 2023 erlitten haben, auf rund 206 Milliarden Euro. Die Europäische Union (EU) hat sich in den letzten Jahren daher intensiv der Cyber Sicherheit gewidmet und mehrere Gesetze erlassen. Kernstück ist die NIS2-Richtlinie (Richtlinie (EU) 2022/2555).
Mit der NIS2-Richtlinie stellt die EU die Weichen für eine umfassendere Cybersicherheitsstrategie. Bis zum 17. Oktober 2024 sind die EU-Mitgliedstaaten gehalten, die EU-Anforderungen in nationales Recht umzusetzen. Aktuell liegen in Deutschland nur der Referentenentwurf des Bundesministeriums des Innern und für Heimat (BMI) zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vom 22. Dezember 2023 vor. Ziel ist es bis zum Sommer 2024 mit dem Gesetzgebungsverfahren zu beginnen und spätestens 2025 das NIS2UmsuCG zu verabschieden.
Besonders für Unternehmen in Deutschland sind mit der bevorstehenden nationalen Umsetzung der NIS2-Richtlinie wesentliche Änderungen verbunden. Im Mittelpunkt stehen erweiterte Verpflichtungen und signifikante Bußgelder für die Nichteinhaltung. Im Folgenden geben wir einen kurzen Überblick über die wesentlichen Punkte.
Bislang gilt in Deutschland das sog. IT-Sicherheitsgesetz 2.0. Adressaten sind Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste (z.B. Online-Suchmaschinen, Cloud-Computing, Online-Marktplätze) und Unternehmen im besonderen öffentlichen Interesse.
Zukünftig richtet sich die Betroffenheit vor allem nach Sektoren. Ist ein Unternehmen in einem bestimmten Sektor tätig (z.B. Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, ITK-Dienste, Weltraum, Chemie, Forschung, Verarbeitendes Gewerbe, Digitale Dienste, Lebensmittel, Entsorgung), unterfällt es grundsätzlich dem NIS2UmsuCG. Nur Unternehmen mit weniger als 50 Beschäftigte oder einem Jahresumsatz oder einer Jahresbilanz von unter 10 Millionen Euro fallen nicht in den Anwendungsbereich, soweit nicht wiederum eine Ausnahme gilt. Allein in Deutschland werden daher rund zehntausende zusätzliche Unternehmen vom NIS2UmscCG betroffen sein, mehr dazu hier.
Unternehmen müssen ein umfassendes Risikomanagementsystem aufbauen:
Bei Nichteinhaltung der neuen Vorgaben drohen erhebliche Geldbußen, nämlich bis zu 20 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes.
Unternehmen sollten die Entwicklungen rund um das NIS2UmsuCG genau beobachten und sich bereits jetzt auf die kommenden Änderungen vorbereiten.
von mehreren Autoren
von Dr. Jakob Horn, LL.M. (Harvard) und Alexander Schmalenberger, LL.B.
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Richard Gläser