NIS-2-Richtlinie - gesetzliche Anforderungen zur IT-Sicherheit

NIS-2-Richtlinie wird in deutsches Gesetz umgesetzt

Die NIS-2-Richtlinie (NIS steht für „Network and Information Security“) soll die Cybersicherheit in der EU stärken, indem sie Unternehmen verpflichtet, ihre IT-Systeme besser gegen Angriffe zu schützen und Sicherheitsvorfälle frühzeitig zu melden.
Aktuell befindet sich das deutsche Umsetzungsgesetz zur NIS-2-Richtlinie in der finalen Phase und soll Ende 2025 oder spätestens Anfang 2026 in Kraft treten. Die ursprünglich gesetzte Frist zur Umsetzung in nationales Recht – der 17. Oktober 2024 – konnte Deutschland aufgrund der Bundestagswahl und der damit verbundenen Verzögerungen nicht einhalten. Die NIS-2-Richtlinie selbst wurde bereits 2023 auf EU-Ebene verabschiedet und hätte bis zur genannten Frist in deutsches Recht überführt werden müssen.
Wichtig: Auch wenn das deutsche Gesetz noch nicht gilt, ist die NIS-2-Richtlinie für deutsche Unternehmen bereits heute relevant. Denn EU-Richtlinien entfalten nach Ablauf der Umsetzungsfrist unmittelbare Wirkung (wenn sie inhaltlich hinreichend bestimmt sind und keine nationale Umsetzung erfolgt ist). Unternehmen sollten sich daher frühzeitig auf die Anforderungen vorbereiten.
Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten.

Registrierungspflicht

Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Frist beträgt drei Monate nach Inkrafttreten des Gesetzes in Deutschland oder nach Feststellung der Betroffenheit.

Betroffene Unternehmen

Prüfen Sie mit Hilfe von Tools, ob Ihr Unternehmen aufgrund Größe und Branche betroffen ist. Denn: Unternehmen werden nicht von offizieller Seite informiert, ob die Anforderungen von NIS-2 für Sie gelten.
Der Geltungsbereich der neuen Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der sog. kritischen Infrastrukturen hinaus. Konkret wird nun zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.
Wesentliche Einrichtungen sind demnach Unternehmen, die in folgenden Bereichen tätig sind:
  • Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
  • Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
  • Wasser – Trink- und Abwasserversorgungsunternehmen
  • Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
  • Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
  • Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
  • Öffentliche Verwaltung
  • Raumfahrt
Zu den wichtigen Einrichtungen werden Unternehmen folgender Bereiche gezählt:
  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Chemische Erzeugnisse – Produktion und Vertrieb
  • Lebensmittel – Produktion und Vertrieb
  • Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
  • Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
  • Forschungseinrichtungen
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
  • Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
  • Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, um das fünf- bis zehnfache erhöhen. NIS2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden. Allein in Deutschland werden nach Schätzungen etwa 30.000 Unternehmen betroffen sein.

Meldepflichten

Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI). Der dreistufige Prozess gemäß Artikel 23 der NIS-2-Richtlinie umfasst folgende Schritte:
  1. Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
  2. Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
  3. Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.

Verschärfung von Sanktionen

Zur Meldepflicht für Vorfälle werden auch die Sanktionen für die Missachtung der Vorgaben verschärft:
  • Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
  • Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Geschäftsleitungen haften gegenüber ihrer Organisation persönlich für Schäden, wenn sie ihre gesetzlichen Pflichten zur IT-Sicherheit schuldhaft verletzen. Daher sollten Unternehmen prüfen, ob ihr Gesellschaftsrecht bereits klare Regeln zur Haftung der Geschäftsleitung enthält – denn nur wenn solche fehlen, greift die neue persönliche Haftung bei Pflichtverletzungen.

Maßnahmen

Im Unternehmen müssen Personen festgelegt werden, die die Vorgaben operativ umsetzen. Sprechen Sie Ihren IT-Dienstleister darauf an. Es ist zu empfehlen, sich für die Umsetzung fachkundige Unterstützung zurückzugreifen.
Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten. Dazu gehören:
  • Dokumentierte Risikoanalyse und Sicherheitsmaßnahmen für Informationssysteme
  • Pläne zur Bewältigung von Sicherheitsvorfällen
  • Verfahren zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Einführung eines Krisenmanagements
  • Schaffung von Sicherheiten in der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netzwerk- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Schaffung von grundlegenden Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Konzepte für die Zugriffskontrolle und das Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Position der IHK-Organisation zum Gesetz

Das Ziel eines hohen gemeinsamen Cybersicherheitsniveaus wird ausdrücklich begrüßt. Gleichzeitig sollte darauf geachtet werden, dass kleine und mittlere Unternehmen durch zusätzliche Melde- und Nachweispflichten nicht überfordert werden. Praxistaugliche Unterstützung und aktuelle, relevante und konkret an den Bedarfen der Unternehmen ausgerichtete Lageinformationen sind notwendig. Für Unternehmen in der Lieferkette sollte der Nachweis bestehender Zertifizierungen wie z.B. ISO 27001 oder TISAX ausreichen, um unnötigen Aufwand und Kosten zu vermeiden. Hier finden sie die vollständige Stellungnahme der DIHK.