Die NIS2-Richtlinie und ihre Umsetzung in Deutschland: Ein Überblick

Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Der Digitalverband Bitkom schätzt den Schaden, den deutsche Unternehmen im Jahr 2023 erlitten haben, auf rund 206 Milliarden Euro. Die Europäische Union (EU) hat sich in den letzten Jahren daher intensiv der Cyber Sicherheit gewidmet und mehrere Gesetze erlassen. Kernstück ist die NIS2-Richtlinie (Richtlinie (EU) 2022/2555).

Mit der NIS2-Richtlinie stellt die EU die Weichen für eine umfassendere Cybersicherheitsstrategie. Bis zum 17. Oktober 2024 sind die EU-Mitgliedstaaten gehalten, die EU-Anforderungen in nationales Recht umzusetzen. Aktuell liegen in Deutschland nur der Referentenentwurf des Bundesministeriums des Innern und für Heimat (BMI) zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vom 22. Dezember 2023 vor. Ziel ist es bis zum Sommer 2024 mit dem Gesetzgebungsverfahren zu beginnen und spätestens 2025 das NIS2UmsuCG zu verabschieden.

Besonders für Unternehmen in Deutschland sind mit der bevorstehenden nationalen Umsetzung der NIS2-Richtlinie wesentliche Änderungen verbunden. Im Mittelpunkt stehen erweiterte Verpflichtungen und signifikante Bußgelder für die Nichteinhaltung. Im Folgenden geben wir einen kurzen Überblick über die wesentlichen Punkte.

Fünfmal so viele Unternehmen betroffen

Bislang gilt in Deutschland das sog. IT-Sicherheitsgesetz 2.0. Adressaten sind Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste (z.B. Online-Suchmaschinen, Cloud-Computing, Online-Marktplätze) und Unternehmen im besonderen öffentlichen Interesse.

Zukünftig richtet sich die Betroffenheit vor allem nach Sektoren. Ist ein Unternehmen in einem bestimmten Sektor tätig (z.B. Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, ITK-Dienste, Weltraum, Chemie, Forschung, Verarbeitendes Gewerbe, Digitale Dienste, Lebensmittel, Entsorgung), unterfällt es grundsätzlich dem NIS2UmsuCG. Nur Unternehmen mit weniger als 50 Beschäftigte oder einem Jahresumsatz oder einer Jahresbilanz von unter 10 Millionen Euro fallen nicht in den Anwendungsbereich, soweit nicht wiederum eine Ausnahme gilt. Allein in Deutschland werden daher rund zehntausende zusätzliche Unternehmen vom NIS2UmscCG betroffen sein, mehr dazu hier.

Neue Pflichten für Unternehmen

Unternehmen müssen ein umfassendes Risikomanagementsystem aufbauen:

• Verantwortung der Geschäftsführung für technische und organisatorische Sicherheitsmaßnahmen: Die betroffenen Unternehmen müssen technische und organisatorische Sicherheitsmaßnahmen treffen, die dem aktuellen Stand der Technik entsprechen. Und die Geschäftsleitung trägt die Hauptverantwortung für die Implementierung und Überwachung dieser Schutzmaßnahmen. Sie muss regelmäßig an entsprechenden Schulungen teilnehmen und soll – bei Verstößen – persönlich mit ihrem Privatvermögen haften.
• Meldepflicht bei Sicherheitsvorfällen: Bei einem Sicherheitsvorfall haben die Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Meldungen zu erstatten, darunter eine Erstmeldung innerhalb von 24 Stunden und eine Detailmeldung innerhalb von 72 Stunden, gefolgt von einem detaillierten Bericht innerhalb eines Monats.
• Risikomanagement und IT-Sicherheit: Unternehmen müssen ihre Risikomanagementstrategien überprüfen und an die neuen Anforderungen anpassen, um die Sicherheit ihrer Informationssysteme zu gewährleisten.
• Weitere Pflichten: Registrierungspflicht, Implementierung von Systemen zur Angriffserkennung, etc. (Link)

Bußgelder

Bei Nichteinhaltung der neuen Vorgaben drohen erhebliche Geldbußen, nämlich bis zu 20 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes.

Unternehmen sollten die Entwicklungen rund um das NIS2UmsuCG genau beobachten und sich bereits jetzt auf die kommenden Änderungen vorbereiten.