Umsetzung NIS-2: Zielgruppe, Pflichten und Haftung
Als zentrales Element der EU-Cybersicherheitsstrategie verfolgt die NIS-2 (Network and Information Security 2.0) das Ziel, Wirtschaft und Gesellschaft gegen Cyberbedrohungen angemessen zu schützen.
Bis zum 17. Oktober 2024 läuft die Frist für die EU-Mitgliedstaaten die Richtlinie in nationales Recht umzusetzen. Der deutsche Ableger ist das geplante NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz(NIS2UmsuCG), durch welches deutlich mehr Unternehmen verpflichtet sein werden, für ausreichende Cybersicherheit zu sorgen. Das NIS2UmsuCG wird ein Änderungsgesetz sein, welches im Wesentlichen das BSI-Gesetz ändern wird. Derzeit liegt hierzu der vierte Referentenentwurf (von Dezember 2023) vor.
Es sieht verschärfte Sanktionen bei Nichteinhaltung in ähnlichem Rahmen wie die DSGVO vor. Somit wird das Thema Cyber-Sicherheit immer mehr als zentrale Komponente in der unternehmerischen Governance etabliert.
1 Einführung
Der ursprüngliche Sinn der NIS (2016) war der europaweite Aufbau von Cybersicherheitskapazitäten, um der stark zunehmenden Bedrohung durch Cyberattacken zu begegnen.
Die Lage hat sich seitdem dramatisch verschlechtert. Vor diesem Hintergrund hebt die NIS-2 Richtlinie die ursprüngliche Richtlinie auf. Der Rechtsrahmen wird nachhaltig modernisiert, um der sehr deutlich zunehmenden Bedrohungen der Cybersicherheit gerecht zu werden.
Die neue NIS-2 erfordert ein frühes Einstellen der eigenen IT auf die neuen Anforderungen und eine Adressierung im Unternehmen, damit eine fristgerechte Umsetzung erfolgen kann.
2 Zielgruppe
Die NIS-2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen, was in der deutschen Umsetzung präzisiert wird. Dort gilt die Klassifizierung in „Kritische Anlagen“, „Besonders wichtige Einrichtungen“ und „Wichtige Einrichtungen“.
2.1 Kritische Anlagen
Diese werden definiert durch ihre hohe Bedeutung für das Funktionieren des Gemeinwesens. Durch den Ausfall würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten.
Es geht um folgende Branchen (Sektoren), die sich zum großen Teil bereits als kritische Infrastrukturen (KRITIS) im Fokus des IT-Sicherheitsgesetzes und der BSI-Kritisverordnung befinden:
- Gesundheitswesen
- Informationstechnik und Telekommunikation
- Siedlungsabfallentsorgung
- Trinkwasser
- Abwasser
- Energie
- Transport und Verkehr
- Finanz- und Versicherungswesen
- Weltraum
- Ernährung
Welche Unternehmen der jeweiligen Branche in diese Kategorie fallen, wird durch die BSI-Kritisverordnung festgelegt (in der Regel ≥ 500 Tsd. versorgte Personen).
2.2 Besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen sind Großunternehmen der Sektoren Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT/ITK und Weltraum. Großunternehmen beginnen bei 250 Mitarbeitern und 50 Millionen € Jahresumsatz (43 Mio. Bilanz).
Aus den mittleren Unternehmen, 50-249 Mitarbeiter, 10-49 Mio. € Umsatz, gehören die Anbieter öffentlicher TK-Netze und TK-Dienste dazu.
Unabhängig von der Unternehmensgröße zählen qualifizierte Vertrauensdienste, TLD-Registries und DNS Dienste zu den besonderns wichtigen Einrichtungen.Unabhängig von diesen Kriterien gehören Betreiber kritischer Anlagen (KRITIS) und Einrichtungen der Zentralregierung dazu.
2.3 Wichtige Einrichtungen
Die Definition der wichtigen Einrichtungen ist sehr weit gefasst. Als wichtige Unternehmen gelten:
- Mittlere Unternehmen aus den Sektoren Finanz- und Versicherungswesen, Gesundheitswesen, Abwasser, Trinkwasser, Transport und Verkehr, Energie, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten(B2B) oder Weltraum
- Hersteller oder Entwickler von Gütern im Sinne des Teils B der Kriegswaffenliste oder zugelassener Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten.
- Vertrauensdienstleister größenunabhängig
- Nach der Störfall-Verordnung oder diesen nach § 1 Abs. 2 der Störfall-Verordnung gleichgestellte Einrichtungen die einen Betriebsbereich der oberen Klasse betreiben.
3 Pflichten der betroffenen Einrichtungen
Mit inkrafttreten der NIS2-UmsuGG wird sich der Pflichtenkatalog zahlreicher Unternehmen erheblich ausweiten. Viele werden erstmalig von den Vorgaben betroffen sein und für die schon betroffenen wird es in hohem Umfang neue Pflichten geben. Vorhandene Pflichten können ggf. deutlich umfangreicher definiert sein.
Für alle betroffenen Einrichtungen sind Pflichten in den folgenden Themenfeldern vorgesehen:
- Umfangreiche Maßnahmen zum Risikomanagement
- Meldepflichten von erheblichen Sicherheitsvorfällen (innerhalb von 24 Std.)
- Registrierung der Unternehmen beim BSI
- Unterrichtungspflichten (Kunden)
- Leitungsorgane werden explizit in die Pflicht genommen (Billigung und Überwachung von Maßnahmen, Teilnahme an Schulgungen)
Für Betreiber kritischer Anlagen sind darüber hinaus noch weitere Pflichten vorgesehen:
- Höherer Maßstäbe als bei den wichtigen und besonders wichtigen Einrichtungen
- Einsatz von Systemen zur Angriffserkennung
- Nachweispflichten (z.B. durch Zertifizierungen, Sicherheitsaudits, Prüfungen)
Zu beachten ist, dass für einige Einrichtungen (z.B. die bereits anderweitig reguliert sind) Ausnahmen und Sonderregeln vorgesehen sind.
4. Verantwortlichkeit und Sanktionen
Ahndungen verletzter Vorgaben sehen Geldbußen von bis zu 10 Mio. € oder mindestens 2% des im vorangegangenen Geschäftsjahres erzielten Umsatzes vor. Die Geldbuße richtet sich nach Unternehmensstatus und den verletzen Vorgaben.
Geschäftsleitungen sind persönlich haftend für die Einhaltung diverser Pflichten aus dem Gesetz. Diese sollten in sogenannten Manager-Risikoversicherungen mitberücksichtigt werden.
Cybersicherheit wird damit eine sehr hohe Bedeutung für Manager von Unternehmen haben. Das BSI hat die Möglichkeit der zeitweisen Aussetzung der Genehmigung des Unternehmens und kann die Wahrnehmung von Leitungsaufgaben untersagen.
5. Zusammenfassung
Die Anforderungen an die Unternehmen werden durch NIS-2 deutlich erhöht und damit der aktuellen Gefährdungslage angepasst. Auch die Anzahl der betroffenen Unternehmen hat sich signifikant erhöht.
Es entstehen neue organisatorische und finanzielle Herausforderungen, denen sich die Unternehmen stellen müssen. Eine frühe Auseinandersetzung mit dem neuen Cybersicherheitsrecht ist notwendig, um entsprechend compliant zu bleiben.