NIS-2-Richtlinie der Europäischen Union

Das müssen Unternehmen beachten, um Cybersicherheit zu gewährleisten

In der heutigen digitalen Ära sind Unternehmen mehr denn je von den Vorteilen moderner Technologien abhängig. Doch mit dieser fortschreitenden Digitalisierung gehen auch erhöhte Risiken einher, insbesondere im Hinblick auf Cyberangriffe und Datenschutzverletzungen. Um die Sicherheit von Informationssystemen zu gewährleisten und den Schutz von Daten zu stärken, wurde die neue NIS-2-Richtlinie eingeführt.

Als Unternehmen sollten Sie die NIS-2-Richtlinie nicht unterschätzen, denn sie legt umfangreiche Pflichten fest, die Sie einhalten müssen, um den Schutz Ihrer IT-Infrastruktur und die Cybersicherheit zu gewährleisten. Damit Sie den Anforderungen dieser neuen Gesetzgebung gerecht werden, haben wir Ihnen im Folgenden die wichtigsten Punkte zusammengefasst.

Die NIS-2-Richtlinie gilt nun auch für kleinere Unternehmen als zuvor. Unternehmen mit mindestens 50 Mitarbeitern, einem Jahresumsatz von 10 Millionen Euro oder einer Jahresbilanzsumme von 10 Millionen Euro fallen unter diese Richtlinie. Bei Verstößen gegen die Richtlinie drohen ähnlich wie bei der Datenschutz-Grundverordnung (DSGVO) empfindliche Sanktionen. Die Mitgliedstaaten der Europäischen Union haben die Verpflichtung, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Obwohl das nationale Umsetzungsgesetz noch nicht vorliegt, ist es ratsam, dass Unternehmen sich bereits jetzt mit den erweiterten Pflichten und den möglichen Sanktionen der neuen Richtlinie auseinandersetzen.

 1. Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?

Die Richtlinie gilt grundsätzlich für Unternehmen, die entweder einem „Sektor mit hoher Kritikalität“ gemäß Anhang I der Richtlinie oder einem „sonstigen kritischen Sektor“ gemäß Anhang II angehören. Zusätzlich müssen diese Unternehmen als mittelgroß eingestuft werden, das bedeutet, sie beschäftigen mindestens 50 Personen oder erzielen einen Jahresumsatz von mindestens 10 Millionen Euro bzw. haben eine Jahresbilanzsumme von mindestens 10 Millionen Euro. Des Weiteren müssen sie ihre Dienste innerhalb der Europäischen Union erbringen.

Zu den „Sektoren mit hoher Kritikalität“ gehören beispielsweise Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Zu den „sonstigen kritischen Sektoren“ zählen unter anderem Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren (Datenverarbeitungsgeräte, Maschinenbau, Herstellung von Kraftwagen, sonstiger Fahrzeugbau), Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke) und Forschung.

2. Risikomanagementmaßnahmen

Die NIS-2-Richtlinie legt großen Wert auf eine effektive Risikomanagementkultur in Unternehmen. Wesentliche und wichtige Einrichtungen sind dazu verpflichtet, angemessene technische, operative und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören beispielsweise Risikoanalysen, Sicherheitskonzepte, Backup- und Krisenmanagement, Zugriffskontrollen sowie Verschlüsselungskonzepte. Es ist wichtig, dass diese Maßnahmen dem Stand der Technik entsprechen und den individuellen Risiken angemessen sind.

3. Gefahrenübergreifender Ansatz

Cyberbedrohungen können unterschiedliche Ursachen haben, daher sollten Ihre Risikomanagementmaßnahmen einen gefahrenübergreifenden Ansatz verfolgen. Dies bedeutet, dass Sie nicht nur vor Cyberangriffen, sondern auch vor physischen Gefahren wie Diebstahl, Brand oder unbefugtem Zugang zu Ihren Informationen und Datenverarbeitungsanlagen schützen müssen. Die Entscheidung über die getroffenen Risikomanagementmaßnahmen sollte auf der Risikoexposition Ihres Unternehmens basieren und in einem angemessenen Verhältnis zu den gesellschaftlichen und wirtschaftlichen Auswirkungen eines Sicherheitsvorfalls stehen.

4. Meldepflichten bei Sicherheitsvorfällen

Gemäß der NIS-2-Richtlinie sind wesentliche und wichtige Einrichtungen dazu verpflichtet, Sicherheitsvorfälle, die erhebliche Auswirkungen auf ihre Dienstleistungen haben, unverzüglich zu melden. Diese Meldungen erfolgen in einem mehrstufigen Prozess, der eine Frühwarnung, eine Meldung des Vorfalls selbst und einen Abschlussbericht umfasst. Zusätzlich können Sie verpflichtet sein, betroffene Kunden und Nutzer über erhebliche Sicherheitsvorfälle zu informieren, die Auswirkungen auf die Erbringung Ihrer Dienste haben könnten.

5. Governance und Verantwortlichkeit

Die NIS-2-Richtlinie legt großen Wert auf die Verantwortung der Leitungsorgane in Unternehmen. Sie müssen sicherstellen, dass angemessene Ressourcen für die Gewährleistung der Cybersicherheit bereitgestellt werden und dass eine klare Aufteilung der Verantwortlichkeiten innerhalb des Unternehmens erfolgt. Darüber hinaus sollten regelmäßige Bewertungen der Cybersicherheit durchgeführt und gegebenenfalls Anpassungen vorgenommen werden, um mit den sich wandelnden Bedrohungen Schritt zu halten.

6. Durchsetzung und Bußgelder

Die NIS-2-Richtlinie stattet die Aufsichtsbehörde mit weitreichenden Befugnissen aus und unterscheidet dabei zwischen wesentlichen und wichtigen Einrichtungen. Behörden haben nun die Befugnis, Vor-Ort-Kontrollen durchzuführen und bestimmte Informationen und Datenzugänge anzufordern. Wesentliche Einrichtungen unterliegen umfangreicheren Aufsichtsbefugnissen, einschließlich nicht anlassbezogener Maßnahmen wie Audits, unabhängig von der Risikobewertung.

Bei der Durchsetzung der Pflichten können den Behörden gegenüber Betreibern wichtiger Einrichtungen dieselben Maßnahmen ergriffen werden wie gegenüber Betreibern wesentlicher Einrichtungen. Die Behörden verfügen über verschiedene Instrumente, wie die Erteilung verbindlicher Anweisungen, das Setzen von Fristen und die Verhängung von Geldbußen. Bei wesentlichen Einrichtungen kann die Behörde sogar die vorübergehende Entbindung von Leitungspersonen verfügen.

Daneben drohen bei Verstößen empfindliche Geldbußen. Für Betreiber wesentlicher Einrichtungen beträgt die maximale Geldbuße entweder 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Betreiber wichtiger Einrichtungen sind es maximal 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. 

Unternehmen, die den Einrichtungen gemäß NIS-2-Richtlinie unterliegen, sollten bei einem erheblichen Sicherheitsvorfall immer auch die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) beachten. Es ist möglich, dass bei einem erheblichen Sicherheitsvorfall auch personenbezogene Daten betroffen sind. Unabhängig von einer Meldung gemäß den Vorschriften der NIS-2-Richtlinie muss der Vorfall in angemessener Frist auch der Datenschutzbehörde gemäß Artikel 33 der DSGVO gemeldet werden.

Im Verhältnis zur DSGVO gibt es eine einzige Vorrangregelung in der NIS-2-Richtlinie. Wenn die Datenschutzbehörde eine Geldbuße gemäß der DSGVO verhängt, ist für denselben Verstoß eine Geldbuße gemäß Artikel 35 Absatz 2 der NIS-2-Richtlinie ausgeschlossen. Andere Durchsetzungsmaßnahmen bleiben jedoch möglich.
 

Nehmen Sie noch heute Kontakt zu uns auf und lassen Sie uns gemeinsam Ihre Cybersicherheit stärken!