NIS2-Richtlinie

Es ist so weit: Die NIS2-Richtlinie wird endlich kommen. Schon Ende des Jahres 2020 hatte man erkannt, dass die bisherige NIS-Richtlinie den Anforderungen nicht mehr hinreichend gewachsen ist und es wurde – entsprechend der Mitteilung über die Gestaltung der digitalen Zukunft Europas – die Überprüfung der Richtlinie bis Ende des Jahres 2020 beschleunigt, eine Folgenabschätzung durchgeführt und ein neuer Vorschlag vorgelegt.

In diesem Beitrag (zuletzt aktualisiert im März 2023) finden Sie wesentliche Informationen rund um die NIS2-Richtlinie und deren Wirkungen auf Unternehmen.

Verlauf der Verhandlungen zur NIS2-Richtlinie

Die Verhandlungen haben sich dann hingezogen, bis dann am 13.05.2022 der Berichterstatter des Europäischen Parlaments Bart Groothuis twitterte, dass man sich (nach den Verhandlungen im Ausschuss) geeinigt habe und der dazu auch ein Interview gegeben hat:

Ende November 2022 hat dann der Rat die Rechtsvorschriften für „ein hohes gemeinsames Niveau der Cybersicherheit in der gesamten Union“ angenommen. Die nun kommende neue Richtlinie mit der Bezeichnung „NIS2“ wird die derzeitige Richtlinie über die Sicherheit von Netz- und Informationssystemen (die NIS-Richtlinie) ersetzen.

NIS2: Mehr Cybersicherheit für Europa

Während die bisherige NIS-Richtlinie gewissermaßen die Grundfesten der IT-Sicherheit in der EU geschaffen hat, wird nun durch die nächste Version NIS2 ein Ausbau vorgenommen. Die NIS2 wird die Grundlage für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und für Meldepflichten in allen von der Richtlinie erfassten Sektoren wie Energie, Verkehr, Gesundheit und digitale Infrastruktur bilden.

An erster Stelle steht also ein erweiterter Anwendungsbereich der bisher bestehenden NIS-Richtlinie, indem neue Sektoren auf der Grundlage ihrer Bedeutung für Wirtschaft und Gesellschaft hinzufügt werden – was bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Gleichzeitig wird den Mitgliedstaaten ein gewisser Spielraum gelassen, um kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil zu ermitteln. Die NIS2-Richtlinie wird auch für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten. Weiterhin können die Mitgliedstaaten beschließen, dass sie auch für solche Stellen auf lokaler Ebene gilt.

Die bisher klare Unterscheidung zwischen kritischen Diensten und sonstigen Diensten wird voraussichtlich (und wohl nicht ganz zu Unrecht) verwässert werden. Damit werden aber auch die bisherigen gesetzgeberischen Intentionen, speziell zu Meldepflichten, zu überarbeiten sein. Die Meldepflichten der Art. 33, 34 DSGVO nach Datenvorfällen orientieren sich an konkreten Gefährdungen – während sich die Meldepflichten der NIS, die sich im BSI-Gesetz widerspiegeln, an abstrakter Ausfallsicherheit orientieren. Ich prognostiziere schon länger, dass hier in absehbarer Zukunft eine Verschiebung stattfinden wird, was durch NIS2 sicherlich beschleunigt werden dürfte.

Wesentliche Änderungen durch NIS2

Neben der Erweiterung des Anwendungsbereichs gibt es einige Details, die man schon jetzt kennen sollte, da sie einen Ausblick darauf geben, was in der IT-Sicherheitspolitik auf die betroffenen Unternehmen zukommt:

  • Verschärft werden die Sicherheitsanforderungen für Unternehmen, indem ein Risikomanagementkonzept vorgeschrieben wird, das eine Mindestliste grundlegender Sicherheitselemente enthält, die angewandt werden müssen (siehe auch unten);
  • Es wird noch konkretere Bestimmungen über das Verfahren zur Meldung von Vorfällen, den Inhalt der Berichte und die Fristen geben (siehe auch unten);
  • Im Fokus wird die Sicherheit von Lieferketten und Lieferbeziehungen („Supply-Chain„) stehen. Ausgewählte Unternehmen werden verpflichtet, sich mit Cybersicherheitsrisiken in Lieferketten und Lieferbeziehungen zu befassen. Dies unter Berücksichtigung der Empfehlung der Kommission zur Cybersicherheit von 5G-Netzen;
  • Neu und mit Spannung im Detail zu erwarten sein sind die neuen Regelungen zur Sanktion: Es waren bereits strengere Aufsichtsmaßnahmen für die nationalen Behörden und strengere Durchsetzungsanforderungen vorgesehen. Nun ist, so wurde aus den Verhandlungen verlautbart, ein Bußgeld nach DSGVO-Vorbild bei Verstößen gegen Sicherungsmaßnahmen vorgesehen. NIS2 wird wohl insoweit einen Meilenstein darstellen, als dass nun endlich ein scharfes Schwert zur Durchsetzung einer IT-Sicherheitspolitik für die Behörden geschaffen wird;
  • Außerdem wird ein grundlegender Rahmen geschaffen, in dem zentrale Verantwortungen für die koordinierte Offenlegung neu entdeckter Sicherheitslücken in der EU und die Einrichtung eines EU-Registers, das von der Agentur der Europäischen Union für Cybersicherheit (ENISA) geschaffen werden;
  • Die überarbeitete Richtlinie zielt zudem darauf ab, die Cybersicherheitsanforderungen und die Umsetzung von Cybersicherheitsmaßnahmen in den verschiedenen Mitgliedstaaten zu harmonisieren. Um dies zu erreichen, werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden in jedem Mitgliedstaat festgelegt. Sie aktualisiert die Liste der Sektoren und Tätigkeiten, die den Cybersicherheitsverpflichtungen unterliegen, und sieht Rechtsmittel und Sanktionen vor, um die Durchsetzung zu gewährleisten.
  • Mit der NIS2-Richtlinie wird das Europäische Verbindungsnetz für Cyberkrisen (EU-CyCLONe) förmlich eingerichtet, das die koordinierte Bewältigung großflächiger Cybersicherheitsvorfälle und -krisen unterstützen wird.
NIS2: Rechtsanwalt und Fachanwalt für IT-Recht Jens Ferner berät zur NIS2-Ricntlinie

Mit der NIS2 wird Cybersicherheit endgültig zur Chefsache. Schmale Budgets und oberflächliche Fortbildungen werden betroffene Unternehmen zukünftig schnell teuer zu stehen kommen.

Andere Änderungen, die durch NIS2 eingeführt werden

Ferner wurde die neue NIS2-Richtlinie an sektorspezifische Rechtsvorschriften angepasst, insbesondere an die Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors (DORA) und die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER), um Rechtsklarheit zu schaffen und die Kohärenz zwischen NIS2 und diesen Rechtsakten zu gewährleisten.

Ausgewählte Details zur NIS2

Von der NIS2 erfasste Sektoren

Die NIS-Richtlinie 2 fügt neue Sektoren hinzu, aber auch neue Arten von Anlagen innerhalb der bestehenden Sektoren. Die Sektoren sind in zwei Gruppen unterteilt.

Die besonders kritischen Sektoren (siehe Anhang I der Richtlinie) sind:

  • Energie (Strom, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen
  • Infrastruktur der Finanzmärkte
  • Gesundheit (dazu gehören nicht mehr nur Krankenhäuser, sondern auch Referenzlabors, Hersteller von medizinischen Geräten oder pharmazeutischen Präparaten und andere)
  • Trinkwasser
  • Abwässer
  • Digitale Infrastruktur
  • IKT-Dienstleistungsmanagement
  • Öffentliche Verwaltung (zentral und regional)
  • Weltraum

Weitere kritische Sektoren (siehe Anhang II der Richtlinie) sind

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
  • Herstellung von medizinischen Geräten und In-vitro-Diagnostika; Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen; elektrischen Ausrüstungen; Maschinen und Ausrüstungen a. n. g., Kraftfahrzeugen, Anhängern und Sattelanhängern; sonstigen Fahrzeugen)
  • Digitale Anbieter
  • Forschung

Anwendungsbereich der NIS2

Ist mein Unternehmen von NIS2 betroffen?

Der Anwendungsbereich der NIS 2-Richtlinie wurde im Vergleich zur NIS 1-Richtlinie erheblich erweitert und ist nicht mehr zwangsläufig an eine vorherige Identifizierung der betroffenen Anlagen durch die zuständigen nationalen Behörden gebunden. Alles zusammen ergibt ein recht komplexes System des Anwendungsbereichs.

Grundsätzlich fällt ein Unternehmen in den Anwendungsbereich, wenn es

  • in einem der in den Anhängen der Richtlinie aufgeführten (Teil-)Sektoren und Dienstleistungsarten tätig ist,
  • und
  • eine bestimmte Größe hat (Alle Einzelheiten, Ausnahmen und Nuancen finden sich im Abschnitt „Neue Konzepte“ weiter unten sowie in den Artikeln 2 und 3 und den Anhängen I und II der Richtlinie).

Abgesehen von einigen Ausnahmen gibt es im Bereich der NIS2 keine aktive Identifizierung mehr. Ein Unternehmen, das in den oben genannten Sektoren tätig ist, fällt in den Anwendungsbereich, wenn es ein großes oder mittleres Unternehmen ist. Das heißt, es hat mehr als 50 Beschäftigte oder einen Jahresumsatz von mehr als 10 Millionen Euro.

Von bestimmten Ausnahmen abgesehen sind Klein- und Kleinstunternehmen (mit weniger als 50 Beschäftigten und einem Jahresumsatz (oder einer Jahresbilanzsumme) von weniger als 10 Mio. Euro – kumulative Voraussetzungen) vom Anwendungsbereich der Richtlinie ausgenommen.

Die bisherige Unterscheidung zwischen „Anbietern wesentlicher Dienste“ (OES) und „Anbietern digitaler Dienste“ (DSP) wird aufgehoben und durch eine Unterscheidung zwischen „wesentlichen“ und „bedeutenden“ Einrichtungen ersetzt. Diese Unterscheidung wird automatisch auf der Grundlage der Unternehmensgröße und der Art des Unternehmens getroffen Der Unterschied zwischen „wesentlichen“ und „bedeutenden“ Unternehmen besteht hauptsächlich in der Strenge der Aufsicht und der Sanktionen. Wesentliche Unternehmen werden strenger kontrolliert und sanktioniert als wichtige Unternehmen:

  • Wesentliche Unternehmen sind große Unternehmen*, die zu den in Anhang I der Richtlinie aufgeführten Sektoren mit hoher Kritikalität gehören. Ein großes Unternehmen ist definiert als ein Unternehmen mit mindestens 250 Mitarbeitern ODER einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Jahresbilanzsumme von mindestens 43 Millionen Euro
  • Bedeutende Unternehmen sind mittlere Unternehmen, die in den in Anhang I der Richtlinie genannten Sektoren mit hoher Kritikalität tätig sind, ODER große oder mittlere* Unternehmen in den in Anhang II der Richtlinie genannten Sektoren, die (aufgrund ihrer Größe oder Art) nicht in die Kategorie der wesentlichen Unternehmen fallen. Ein mittleres Unternehmen ist definiert als ein Unternehmen mit mindestens 50 Beschäftigten ODER einem Jahresumsatz (oder einer Jahresbilanzsumme) von mindestens 10 Millionen Euro, aber weniger als 250 Beschäftigten UND einem Jahresumsatz von höchstens 50 Millionen Euro oder einer Jahresbilanzsumme von höchstens 43 Millionen Euro.

Es gibt jedoch einige Ausnahmen. In einigen Sektoren werden Einrichtungen unabhängig von ihrer Größe als „wesentlich“ eingestuft, z. B. Betreiber öffentlicher elektronischer Kommunikationsnetze, Einrichtungen, die auf nationaler Ebene im Rahmen der Gruppenfreistellungsverordnung als kritisch eingestuft werden, staatliche Dienste (auf zentraler Ebene), Anbieter qualifizierter Vertrauensdienste und Betreiber von Registern für Bereichsnamen oberster Stufe und DNS-Dienste.

Zusätzlich zu diesen Bestimmungen können die nationalen Behörden auch Einrichtungen als „wesentlich“ oder „wichtig“ einstufen, z. B. wenn sie der einzige Diensteanbieter sind oder wenn eine Unterbrechung der Dienste erhebliche Auswirkungen auf die öffentliche Sicherheit, die öffentliche Ordnung oder die öffentliche Gesundheit haben könnte.


Stärkung der Maßnahmen zum Risikomanagement

Wesentliche und bedeutende Einrichtungen, die in den Anwendungsbereich fallen, müssen angemessene und verhältnismäßige Maßnahmen ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und Zwischenfälle zu verhindern oder deren Auswirkungen auf die Nutzer ihrer Dienste und auf andere Dienste zu mindern (siehe insbesondere Artikel 20 bis 25 der NIS2).

NIS2: Management in der Pflicht


Die Leitungsorgane oder das Management wesentlicher und wichtiger Einrichtungen sollten Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen und deren Umsetzung überwachen und können für Verstöße haftbar gemacht werden. Dazu auch bei uns: Geschäftsführer müssen IT-Sicherheit verstehen!

Um sicherzustellen, dass sie die vom Management ergriffenen Maßnahmen verstehen, sollten die Mitglieder der Leitungsorgane wesentlicher und kritischer Einrichtungen an Cybersicherheitsschulungen teilnehmen und ihren Mitarbeitern regelmäßig ähnliche Schulungen anbieten. Führungskräfte sollten ausreichende Kenntnisse und Fähigkeiten erwerben, um die Risiken für ihre Organisation zu erkennen und Cybersicherheitsmaßnahmen und deren Auswirkungen auf ihre Organisation zu bewerten.

Diese IT-Sicherheits-Maßnahmen im Rahmen der NIS2 beruhen auf einem alle Gefahren abdeckenden Konzept, das darauf abzielt, Netz- und Informationssysteme sowie deren physische Umgebung vor Zwischenfällen zu schützen. Diese Maßnahmen umfassen mindestens:

  • Risikoanalyse und Sicherheitsstrategien für Informationssysteme;
  • Behandlung von Vorfällen;
  • Geschäftskontinuität, z. B. Backup-Management und Disaster Recovery, sowie Krisenmanagement;
  • Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen den einzelnen Unternehmen und ihren direkten Zulieferern oder Dienstleistern in Bezug auf die Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich des Umgangs mit Schwachstellen und deren Offenlegung;
  • Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken;
  • Grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit;
  • Richtlinien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung;
  • Sicherheit der Humanressourcen, Zugangskontrollpolitik und Vermögensverwaltung;
  • Einsatz von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Meldepflichten im Rahmen von NIS2

Wesentliche und bedeutende Einrichtungen müssen den zuständigen nationalen Behörden unverzüglich jeden bedeutenden Zwischenfall melden. Das bedeutet, dass die unter NIS 2 fallenden Unternehmen die zuständigen nationalen Behörden unverzüglich über jeden Vorfall informieren müssen, der die Dienstleistungen in den Sektoren oder Teilsektoren, die in den Anhängen I und II der Richtlinie aufgeführt sind, ernsthaft beeinträchtigt. Gegebenenfalls müssen die Unternehmen auch ihre Kunden unverzüglich über erhebliche Zwischenfälle informieren, die ihre Dienste beeinträchtigen könnten. Ein wichtiges Ereignis ist ein Ereignis, das

  1. eine schwere Betriebsstörung der Dienste in den Sektoren oder Teilsektoren, die in den Anhängen I und II der Richtlinie aufgeführt sind, oder einen finanziellen Verlust für den betroffenen Betreiber verursacht hat oder verursachen kann oder
  2. anderen natürlichen oder juristischen Personen durch die Verursachung erheblicher materieller oder immaterieller Schäden geschadet hat oder schaden könnte.

Diese Meldung sollte dabei in mehreren Schritten erfolgen

  • Frühwarnung (spätestens 24 Stunden nach Bekanntwerden des Vorfalls) mit Mindestinformationen, einschließlich der Angabe, ob sich der Vorfall auf andere Sektoren oder das Ausland ausbreiten könnte und ob böswillige Absichten vermutet werden;
  • einen vollständigen Unfallbericht (spätestens 72 Stunden nach Bekanntwerden des Ereignisses)
  • ggf. einen Zwischen- oder Fortschrittsbericht (auf Anfrage des nationalen CSIRT)
  • einen Abschlussbericht (einen Monat nach Vorlage des Unfallberichts). Wenn das Ereignis nach einem Monat noch nicht abgeschlossen ist, wird ein Zwischenbericht nach einem Monat und ein Abschlussbericht nach Abschluss des Ereignisses erwartet.

NIS2-Sanktionen

Die Mitgliedstaaten müssen wirksam sicherstellen, dass die in den Anwendungsbereich der NIS 2 fallenden Stellen die erforderlichen Maßnahmen ergreifen und Vorkommnisse melden. Zu diesem Zweck können sie insbesondere regelmäßige externe Audits oder Inspektionen durchführen oder bestimmte Unterlagen anfordern.

Die zuständigen nationalen Behörden sollten auch befugt sein, Maßnahmen zu ergreifen, um die Unternehmen zur Ergreifung geeigneter Maßnahmen zu veranlassen. Diese Maßnahmen können von der Erteilung von Verwarnungen oder verbindlichen Anweisungen zur Behebung von Mängeln bis hin zur Information der Kunden reichen. Neben diesen Verwaltungsmaßnahmen können auch wirksame, verhältnismäßige und abschreckende Geldbußen verhängt werden.

Die Mitgliedstaaten können auch die Befugnis vorsehen, Zwangsgelder zu verhängen, um ein großes oder bedeutendes Unternehmen zu zwingen, einen Verstoß gegen die Richtlinie gemäß einer vorherigen Entscheidung der zuständigen Behörde abzustellen. Um die Unternehmensleitung zur Einhaltung der in dieser Richtlinie festgelegten Verpflichtungen zu „motivieren“, können natürliche Personen, die ein wesentliches Unternehmen vertreten, im Falle der Nichteinhaltung haftbar gemacht werden.

Wesentliche Einrichtungen

Geldbußen von bis zu 10.000.000 € oder mindestens 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens, zu dem die wesentliche Einrichtung gehört, je nachdem, welcher Betrag höher ist.

Bedeutende Unternehmen

Geldbußen von bis zu 7.000.000 € oder mindestens 1,4 % des weltweiten Gesamtjahresumsatzes des Unternehmens, zu dem das wichtige Unternehmen gehört, je nachdem, welcher Betrag höher ist.

Fachanwalt für IT-Recht Jens Ferner