NIS-2 und die deutsche Umsetzung - Teil 1

Überblick 

Die Europäische NIS-2-Richtlinie (Network and Information Systems Directive) ist eine bedeutende Weiterentwicklung des Cyber Security Frameworks in Europa. Sie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die Richtlinie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Das deutsche NIS-2-Umsetzungsgesetz (NIS2UmsuCG) dient der Implementierung dieser Richtlinie in nationales Recht und bringt wesentliche Änderungen und Erweiterungen mit sich. Der Kreis der betroffenen Einrichtungen wird sich dabei um ca. 30.000 Unternehmen und öffentliche Einrichtungen erweitern. In diesem Artikel werden die Hauptmerkmale der NIS-2-Richtlinie und des deutschen Umsetzungsgesetzes sowie der aktuelle Stand des Gesetzgebungsprozesses erläutert. 

Hintergrund der NIS-2-Richtlinie 

Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 zielte darauf ab, die Cybersicherheit in der EU zu stärken, indem sie Maßnahmen zur Erhöhung der Sicherheit von Netz- und Informationssystemen einführte. Die NIS-2-Richtlinie baut auf diesen Grundlagen auf und adressiert die zunehmenden Cyberbedrohungen und Herausforderungen. 

Zu den wesentlichen Neuerungen der NIS-2-Richtlinie gehören: 

1. Erweiterter Anwendungsbereich: Die Richtlinie gilt für eine breitere Palette von Sektoren und Unternehmen, nun auch etwa für die Lebensmittelwirtschaft, die Abfallwirtschaft, für Post- und Kurierdienste, die Herstellung bestimmter kritischer Produkte sowie die Raumfahrt. 
2. Strengere Sicherheitsanforderungen: Unternehmen müssen umfangreiche Risikomanagementmaßnahmen implementieren, um die Sicherheit der Netz- und Informationssysteme einschließlich ihrer physischen Umwelt zu gewährleisten. 
3. Verstärkte Aufsicht und Durchsetzung: Nationale Behörden erhalten deutlich erweiterte Befugnisse zur Überwachung und Durchsetzung der Richtlinie, einschließlich der Möglichkeit, hohe Geldstrafen zu verhängen. 
4. Verpflichtende Meldung von Sicherheitsvorfällen: Unternehmen sind verpflichtet, relevante Sicherheitsvorfälle innerhalb von 24 Stunden zu melden.

Das deutsche NIS2 Umsetzungsgesetz

Das deutsche NIS2 Umsetzungsgesetz zielt darauf ab, die Anforderungen der NIS-2-Richtlinie in nationales Recht umzusetzen. Dies beinhaltet die Anpassung bestehender Gesetze, insbesondere des BSI-Gesetzes, des Telekommunikationsgesetzes und des Energiewirtschaftsgesetzes, um den erweiterten Anwendungsbereich und die verschärften Anforderungen zu erfüllen. Zu den wesentlichen Bestimmungen des Umsetzungsgesetzes gehören:

1. Anwendungsbereich: Das Gesetz gilt für Betreiber kritischer Infrastrukturen (KRITIS), für „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ bestimmter Sektoren und Unternehmensgrößen, für Bundeseinrichtungen sowie einige Sonderfälle.
2. Sicherheitsmaßnahmen: Unternehmen sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dies umfasst regelmäßige Risikobewertungen, die Implementierung von Sicherheitsvorkehrungen (einschließlich in der Lieferkette) und die Schulung des Personals.
3. Meldepflichten: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Kontinuität wesentlicher Dienste haben könnten, müssen innerhalb von 24 Stunden nach ihrer Entdeckung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, gefolgt von einer Aktualisierung und ersten Bewertung innerhalb von 72 Stunden nach der Meldung. Endgültige Berichte sind spätestens einen Monat nach Entdeckung des Vorfalls vorzulegen. 
4. Fristen: Betroffene Unternehmen müssen sich innerhalb von drei Monaten ab Bekanntgabe des Gesetzes beim BSI registrieren. Im Übrigen gibt es keine Übergangsfristen für die Umsetzung, das heißt, ab Tag eins der Geltung des Gesetzes sind seine Anforderungen von betroffenen Unternehmen zu erfüllen. Zwar gibt es für Unternehmen, die nicht KRITIS sind, keine einmaligen oder regelmäßigen Nachweispflichten; allerdings kann das BSI Stichproben durchführen und Maßnahmen anordnen. Und im Fall eines erheblichen Sicherheitsvorfalls muss man sich (mindestens) auf unangenehme Nachfragen vorbereiten, wenn bis dahin keine Maßnahmen umgesetzt wurden.
5. Strafen und Sanktionen: Verstöße gegen die Anforderungen des NIS-2-Umsetzungsgesetzes können mit hohen Geldstrafen geahndet werden. Die Höhe der Strafen hängt von der Schwere des Verstoßes und der Größe des Unternehmens ab. Es ist also dringend anzuraten, sich intensiv mit den im Gesetz vorgesehenen Risikomanagementmaßnahmen auseinanderzusetzen.

Wichtige Aspekte im Gesetzgebungsprozess der NIS2-Richtlinie in Deutschland

Der Gesetzgebungsprozess für das deutsche NIS-2-Umsetzungsgesetz befindet sich derzeit in einem fortgeschrittenen Stadium. Das Bundesinnenministerium hat den 4. Referentenentwurf des Gesetzes am 26. Juni 2024 veröffentlicht. Nach Medieninformationen geht selbst die Bundesregierung nicht davon aus, dass sie die von der EU gesetzte Umsetzungsfrist zum 17. Oktober 2024 einhalten wird. Allerdings ist inzwischen mit einem Inkrafttreten im Frühjahr 2025 zu rechnen. Im Vergleich zur Vorversion springt vor allem der Wegfall der Unwirksamkeit eines Verzichts des Unternehmens auf Schadensersatzansprüche gegenüber der Geschäftsleitung ins Auge. Allerdings muss die Geschäftsleitung die Risikomanagementmaßnahmen „umsetzen“ und ihre Umsetzung überwachen (§ 38 Abs. 1 NIS2UmsuCG). Im Übrigen wird nunmehr im Wesentlichen auf die allgemeinen gesellschaftsrechtsrechtlichen Haftungsregeln verwiesen. Mit dem Inkrafttreten des Gesetzes gelten sämtliche Vorschriften ohne weiteren Aufschub. Insbesondere gibt es keine Übergangsfristen – auch nicht für die Bußgeldparagrafen.

Herausforderungen und Chancen

Die Umsetzung der NIS-2-Richtlinie und des deutschen NIS-2-Umsetzungsgesetzes stellt Unternehmen vor erhebliche Herausforderungen, bietet aber auch Chancen:

1. Erhöhte Sicherheitskosten: Die erweiterten Anforderungen führen zu höheren Investitionen in Sicherheitsmaßnahmen und -technologien. Insbesondere solche Unternehmen, die erstmalig unter die Cyber Security-Regulierung fallen, müssen mit erheblichen Zusatzkosten rechnen.
2. Komplexe Compliance-Anforderungen: Unternehmen müssen umfangreiche Compliance-Maßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden und hohe Bußgelder zu vermeiden. Angesichts der Menge an zu betrachtenden Risiken und Systemen darf der Umfang und die benötigte Zeit für die Bearbeitung der NIS-2-Anforderungen nicht unterschätzt werden. 
3. Wettbewerbsvorteil: Unternehmen, die frühzeitig die Anforderungen der NIS-2 Richtlinie umsetzen, können sich einen Wettbewerbsvorteil verschaffen, indem sie als vertrauenswürdige und sichere Partner wahrgenommen werden. Eine Zertifizierung nach ISO/IEC 27001 unterstreicht den eigenen Anspruch an Cyber Security auch nach außen.

Fazit

Die NIS-2-Richtlinie und das deutsche NIS-2-Umsetzungsgesetz stellen einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der EU dar. Unternehmen müssen sich auf umfangreiche Änderungen einstellen und rechtzeitig entsprechende Maßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden. Langfristig bieten diese Regelungen jedoch die Möglichkeit, die Sicherheit und Resilienz der Netz- und Informationssysteme eines Unternehmens erheblich zu steigern und damit das Vertrauen in das eigene Leistungsangebot zu stärken.

Weitere Informationen zu dem Thema im nächsten Teil oder gern auch im direkten Dialog.