NIS-2-Richtlinie

Erhöhung des Cyber- und Informationssicherheitsniveaus von Unternehmen und Institutionen (Stand 10. April 2024)

Was ist NIS-2?

Die NIS-2-Richtlinie („The Network and Information Security Directive“, (EU) 2022/2555) befasst sich mit der Cybersichrheit und Informationssicherheit von Unternehmen und Institutionen. Zum jetzigen Zeitpunkt wurden in Deutschland mehrere Referenten­entwürfe des Umsetzungsgesetzes zur NIS-2-Richtlinie, das sog. NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz (NIS2UmsuCG,Bearbeitungsstand: 27.09.2023) veröffentlicht. Die Umsetzung in nationales Recht muss bis zum 17. Oktober 2024 erfolgen.

Welches Ziel hat die NIS-2-Richtlinie?

Ziel der Richtlinie ist die Harmonisierung und Erhöhung des Cyber- und Informations­sicherheitsniveaus von Unternehmen und Institutionen, insbesondere von solchen, die in kritischen Infrastrukturen tätig sind.
Darüber hinaus wird mit der NIS-2-Richtlinie die Cybersicherheit explizit zur Aufgabe der Geschäftsführung, da die Leitungsorgane für die Umsetzung von Risikomanagementmaßnahmen organschaftlich haftbar sind.

Wer muss NIS-2 beachten und welche Unternehmen sind von NIS-2 betroffen?

Die betroffenen Unternehmen und Institutionen lassen sich zukünftig voraussichtlich in drei Kategorien einordnen:

  • Betreiber besonders wichtiger Einrichtungen
  • Betreiber wichtiger Einrichtungen
  • Betreiber einer kritischen Anlage

Der Begriff der Einrichtung bezieht sich hierbei auf öffentliche sowie auf private Einrichtungen.

Jedes Unternehmen muss selbst feststellen, ob es in den Anwendungsbereich fällt. Es gibt keine behördliche Mitteilung über eine etwaige Betroffenheit.

 

Voraussetzungen für Betreiber einer besonders wichtigen Einrichtung:

  • Mind. 250 Mitarbeitende
    oder
  • einen Jahresumsatz > 50 Mio. € , Jahresbilanzsumme > 43 Mio. €

und

  • Tätigkeit in einem Sektor mit hoher Kritikalität (nach Anlage 1 des NIS2UmsuCG)* Energie, Transport und Verkehr, Finanz-und Versicherungswesen, Gesundheitswesen, Trink- und Abwasser,
    Informationstechnik und Telekommunikation und Weltraum.
  • Sonderfälle: qualifizierter Vertrauensanbieter, Top Level Domain Name Registeries, DNS, Telekommunikationsanbieter, öffentliche Verwaltung und kritische Anlagen*
    *Betreiber einer kritischen Anlage: Erbringen Betreiber ihre Dienstleistungen in einem Sektor mit hoher Kritikalität (nach Anlage 1 bzw § 28 Abs. 6 NIS2UmsuCG) in eigenen Anlagen und überschreiten damit den Schwellenwert (Richtwert: 500.000 versorgte Personen), werden als KRITIS-Betreiber eingestuft.

 

Voraussetzungen für Betreiber einer wichtigen Einrichtung:

  • Zwischen 50 und 249 Mitarbeitende
    oder
  • einen Jahresumsatz > 10 Mio. € und Jahresbilanzsumme > 10 Mio. €

und

  • Tätigkeit in einem Sektor mit hoher Kritikalität oder in einem sonstigen kritischen Sektor (nach Anlage 1 oder 2 des NIS2UmsuCG), u.a. Anbieter von Post- und Kurrierdiensten, Abfallwirtschaft, chemische Erzeugnisse, Lebensmittel, verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschungseinrichtungen u.a.
  • Sonderfälle: Vertrauensdienste

Hinweis: Die genannten Sektoren stellen keinen abschließenden Überblick über die Sektoren dar.

Unsicher, ob Ihr Unternehmen betroffen ist?
Nehmen Sie Kontakt mit uns auf, wir unterstützen Sie gerne mit Ihrer Betroffenheitsanalyse!

Was müssen Unternehmen jetzt tun?

Die Richtlinie sieht eine Vielzahl an Pflichten vor, die grob unter die folgenden Begriffe gefasst werden können:

  • Risikomanagement: Auswahl und Identifizierung geeigneter Cybersicherheitsmaßnahmen
  • Unverzügliche Meldepflicht von erheblichen Sicherheitsvorfällen (3 Stufen)
  • Registrierungspflicht
  • Unterrichtungspflichten bei einem erheblichen Sicherheitsvorfall
  • Umsetzungs-, Überwachungs- und Schulungspflicht des Geschäftsleiters
  • Nachweispflichten über die Erfüllung der Anforderungen an das Risikomanagement bspw. in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen

Diese Pflichten können weitgehend durch ein Information Security Management System (ISMS, englisch für „Managementsystem für Informationssicherheit“) aufgefangen werden.

Insbesondere beim Risikomanagement darf die Lieferkette nicht vernachlässigt werden. Es ist unerlässlich, dass die betroffenen Einrichtungen in Zukunft klare vertragliche Vereinbarungen mit ihren Dienstleistern treffen müssen, um eine umfassende Umsetzung der Cybersicherheit zu gewährleisten.

Cybersicherheit und Datenschutz sind eng miteinander verbunden, da beide auf den Schutz sensibler Daten abzielen. Dabei gehen die Regeln der NIS-2 jedoch noch deutlich über die Anforderungen u.a. der DSGVO hinaus und zielen nicht nur auf personenbezogene Daten. Gerade deswegen können jedoch Maßnahmen zur Verbesserung der Cybersecurity gemäß der NIS-2-Richtlinie auch dazu beitragen, den Datenschutz zu stärken.

Welche Leistungen bieten wir Ihnen zur Erfüllung Ihrer gesetzlichen Pflichten im Bereich der Cybersecurity?

  • Betroffenheitsanalyse: Prüfen der Anwendbarkeit der Richtlinie auf Ihr Unternehmen, u.a. zur Entlastung der Leitung sowie zur Sicherstellung einer erforderlichen Dokumentation
  • GAP-Analyse: Erstellung einer Abweichungsanalyse zur Identifikation von Lücken in Bezug auf die Anforderungen der NIS 2 Richtlinie mit Ihren betrieblichen Abläufen und Prozessen
  • NIS-2-Policy: Bereitstellung einer NIS-2-Policy für Ihr Managementsystem und Compliancesystem
  • Compliance: Unterstützung und Beratung beim Aufbau und Betrieb von praxisnahen Compliancestrukturen
  • Risk Management: Unterstützung beim Risikomanagement und Entwicklung eines darauf basierenden Maßnahmenkatalogs zur Beherrschung der möglichen Risiken
  • Lieferkettensicherheit: Anwaltliche Prüfung und erforderliche Anpassungen und Erstellung von Dienstleistungs- und Zuliefererverträgen
  • Rechenschaftspflicht: Gesetzeskonforme Dokumentation von sicherheitsrelevanten Angriffen
  • Meldeprozess: Aufbau eines effizienten und praxiserprobten Prozesses zur Meldung von Sicherheitsvorfällen gemäß den gesetzlichen Vorgaben
  • Registrierung: Beratung und Unterstützung im Zusammenhang mit der Registrierungspflicht
  • Unterrichtungspflicht: Bereitstellung aller erforderlichen Dokumente zur Unterrichtung betroffener Personen im Falle eines erheblichen Sicherheitsvorfalls
  • Risk Management: Unterstützung bei der Dokumentation und Nachweisführung über die Erfüllung der Anforderungen des Risikomanagements durch Sicherheitsaudits, Prüfungen oder Zertifizierungen
  • Informationssicherheit: Dokumentation der IT-Sicherheitsstruktur und Weiterentwicklung bestehender Sicherheitsstrukturen
  • Informationssicherheit: Unterstützung Ihrer Unternehmensorganisation bei der Weiterentwicklung und Dokumentation interner Informationssicherheitsstrukturen zur Erreichung geeigneter Zertifizierungen, u.a. nach ISO Bereitstellung aller erforderlichen Nachweise und Unterlagen zur Berücksichtigung der NIS2-Richtlinie in Ihren Zertifizierungen u.a. nach ISO 27001 oder TISAX
  • Awareness: Bereitstellung von Schulungsmaterial für die Geschäftsleitung und Mitarbeitende sowie Durchführung von Schulungen
  • Datenschutz: Vorlagen zur Ergänzung der Datenschutz-Compliance zur Erfüllung aller datenschutzrechtlichen Informationspflichten gegenüber betroffenen Personen sowie Errichtung von internen Datenschutzprozessen und Meldeprozessen, Ergänzung und Bereitstellung weiterer erforderlicher datenschutzrechtlicher Unterlagen wie z.B. Meldung zum Verzeichnis der Verarbeitungstätigkeiten oder Verträge zur Auftragsverarbeitung

Schreiben Sie uns an!

Konsequenzen bei Nichterfüllung

Was sind die möglichen Konsequenzen für Unternehmen, die die NIS2-Richtlinie nicht befolgen, und welche Sanktionsmaßnahmen und Haftungsregelungen sind in der Richtlinie vorgesehen?

Bei Verstößen gegen die Cybersecurity-Richtlinie können empfindliche Geldbußen drohen. Der Bußgeldrahmen der Gesellschaftshaftung bestimmt sich anhand der Einordnung des Unternehmens als eine wesentliche Einrichtung oder eine wichtige Einrichtung. Im Falle einer wesentlichen Einrichtung können Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Bei Vorliegen einer wichtigen Einrichtung ist der Rahmen niedriger angesetzt mit einem Höchstbetrag von Bußgeld bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Hier ist ebenfalls der höhere Betrag maßgeblich.

Zusätzlich sind die Leitungsorgane sind nach den anwendbaren Regeln des Gesellschaftsrechts (wie bspw. nach § 43 GmbHG oder § 93 AktG) im Falle einer Verletzung ihrer Umsetzungs-, Überwachungs- und Schulungspflicht (§ 38 Abs. 1 NIS2UmsuCG) mit dem Resultat eines schuldhaft verursachten Schadens haftbar. Es ist besonders wichtig zu beachten, dass diese Verpflichtung nicht durch Beauftragung eines Dritten erfüllt werden kann.

Kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch!

Kurz und knapp

Was ist eine Richlinie?

Eine Richtlinie ist ein Rechtsakt der EU, der keine unmittelbare rechtliche Wirkung in den Mitgliedsstaaten besitzt. Die Mitgliedstaaten müssen die Richtlinie innerhalb einer bestimmten, in der Regel in der Richtlinie selbst festgelegten, Frist in nationales Recht umsetzen.

Kurz und knapp

Für welchen Begriff steht die Abkürzung NIS?

Die Abkürzung NIS steht für „Network and Information Security“, also die Sicherheit von Netzwerk und Informationen. Diese Bezeichnung wird in der EU-Richtlinie „The Network and Information Security Directive“, (EU) 2022/2555 verwendet. Umgangssprachlich wird diese Richtlinie oft als NIS-2-Richtlinie bezeichnet. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen.