NIS-2 Strafen & Pflichten

IT-Sicherheit

NIS-2 Strafen & Pflichten

Als zentrales Element der EU-Cybersicherheitsstrategie verfolgt die NIS-2 (Network and Information Security 2.0) das Ziel, Wirtschaft und Gesellschaft gegen Cyberbedrohungen angemessen zu schützen.

Bis zum 17. Oktober 2024 läuft die Frist für die EU-Mitgliedstaaten, die Richtlinie in nationales Recht umzusetzen. Der deutsche Ableger ist das geplante NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), durch welches deutlich mehr Unternehmen verpflichtet sein werden

Das NIS2UmsuCG wird ein Änderungsgesetz sein, welches im Wesentlichen das BSI-Gesetz ändern wird. Derzeit liegt hierzu der vierte Referentenentwurf (von Dezember 2023) vor. Es sieht verschärfte Sanktionen bei Nichteinhaltung in ähnlichem Rahmen wie die DSGVO vor. NIS-2 Strafen gelten dabei als zentraler Bestandteil der Umsetzung.

Somit wird das Thema Cybersicherheit immer mehr als zentrale Komponente in der unternehmerischen Governance etabliert.

Einführung von NIS 2016

Der ursprüngliche Sinn der NIS (2016) war der europaweite Aufbau von Cybersicherheitskapazitäten, um der stark zunehmenden Bedrohung durch Cyberattacken zu begegnen. Die Lage hat sich seitdem dramatisch verschlechtert.

Vor diesem Hintergrund hebt die NIS-2 Richtlinie die ursprüngliche Richtlinie auf. Der Rechtsrahmen wird nachhaltig modernisiert, um der sehr deutlich zunehmenden Bedrohung der Cybersicherheit gerecht zu werden.

Die neue NIS-2 erfordert ein frühes Einstellen der eigenen IT auf die neuen Anforderungen und eine Adressierung im Unternehmen, damit eine fristgerechte Umsetzung erfolgen kann – um insbesondere NIS-2 Strafen zu vermeiden.

Zielgruppen der NIS-2

Kritische Infrastrukturen & Anlagen

Diese werden definiert durch ihre hohe Bedeutung für das Funktionieren des Gemeinwesens. Durch den Ausfall würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten.

Es geht um folgende Branchen (Sektoren), die sich zum großen Teil bereits als kritische Infrastrukturen (KRITIS) im Fokus des IT-Sicherheitsgesetzes und der BSI-Kritisverordnung befinden:

• Gesundheitswesen
• Informationstechnik und Telekommunikation
• Siedlungsabfallentsorgung
• Trinkwasser
• Abwasser
• Energie
• Transport und Verkehr
• Finanz- und Versicherungswesen
• Weltraum
• Ernährung

Welche Unternehmen der jeweiligen Branche in diese Kategorie fallen, wird durch die BSI-Kritisverordnung festgelegt (in der Regel ≥ 500.000 versorgte Personen).

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen (BwE) sind Großunternehmen der Sektoren Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT/ITK und Weltraum.

Großunternehmen beginnen bei 250 Mitarbeitern und 50 Millionen Euro Jahresumsatz (43 Millionen Euro Bilanz). Aus den mittleren Unternehmen, 50–249 Mitarbeiter, 10–49 Millionen Euro Umsatz, gehören die Anbieter öffentlicher Telekommunikationsnetze und -dienste dazu.

Unabhängig von der Unternehmensgröße zählen qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste zu den besonders wichtigen Einrichtungen. Unabhängig von diesen Kriterien gehören Betreiber kritischer Anlagen (KRITIS) und Einrichtungen der Zentralregierung dazu.

Wichtige Unternehmen und Einrichtungen

Die Definition der wichtigen Unternehmen und Einrichtungen ist sehr weit gefasst. Als wichtige Unternehmen gelten:

• Mittlere Unternehmen aus den Sektoren Finanz- und Versicherungswesen, Gesundheitswesen, Abwasser, Trinkwasser, Transport und Verkehr, Energie, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (B2B) oder Weltraum
• Hersteller oder Entwickler von Gütern im Sinne des Teils B der Kriegswaffenliste oder zugelassener Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten
• Vertrauensdienstleister größenunabhängig
• Nach der Störfall-Verordnung oder diesen nach § 1 Absatz 2 der Störfall-Verordnung gleichgestellte Einrichtungen, die einen Betriebsbereich der oberen Klasse betreiben

Pflichten und NIS-2 Strafen bei Verstoß

Mit Inkrafttreten der NIS-2-UmsuGG wird sich der Pflichtenkatalog zahlreicher Unternehmen erheblich ausweiten. Viele werden erstmalig von den Vorgaben betroffen sein, und für die schon betroffenen wird es in hohem Umfang neue Pflichten geben.

Vorhandene Pflichten können deutlich umfangreicher definiert sein. Für alle betroffenen Einrichtungen sind Pflichten in den folgenden Themenfeldern vorgesehen, deren Nichteinhaltung empfindliche NIS-2 Strafen nach sich ziehen kann:

• Umfangreiche Maßnahmen zum Risikomanagement
• Meldepflichten von erheblichen Sicherheitsvorfällen (innerhalb von 24 Stunden)
• Registrierung der Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Unterrichtungspflichten gegenüber Kunden
• Leitungsorgane werden explizit in die Pflicht genommen (Billigung und Überwachung von Maßnahmen, Teilnahme an Schulungen)

Pflichten für Betreiber kritischer Anlagen

Betreiber kritischer Anlagen sollten besondere Sorgfalt walten lassen, da sie bei Verstößen mit besonders hohen NIS-2 Strafen rechnen müssen.

• Höhere Maßstäbe als bei den wichtigen und besonders wichtigen Einrichtungen
• Einsatz von Systemen zur Angriffserkennung
• Nachweispflichten (zum Beispiel durch Zertifizierungen, Sicherheitsaudits, Prüfungen)

Zu beachten ist, dass für einige Einrichtungen (zum Beispiel die bereits anderweitig reguliert sind) Ausnahmen und Sonderregeln gelten. Dennoch besteht auch für diese das Risiko erheblicher NIS-2 Strafen, sofern relevante Mindestvorgaben nicht erfüllt werden.

NIS-2 Verantwortlichkeit und Sanktionen

Ahndungen verletzter Vorgaben sehen Geldbußen von bis zu 10 Millionen Euro oder mindestens zwei Prozent des im vorangegangenen Geschäftsjahr erzielten Umsatzes vor.

Die NIS-2 Strafen können sich je nach Pflichtverstoß, Einrichtungstyp und Branche unterscheiden, wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Auslegung und Durchsetzung übernimmt.

Geschäftsleitungen sind persönlich haftend für die Einhaltung diverser Pflichten aus dem Gesetz. Die mögliche Höhe der NIS-2 Strafen sollte bei allen Managemententscheidungen berücksichtigt werden.

Die Anforderungen an die Unternehmen werden durch NIS-2 deutlich erhöht und damit der aktuellen Gefährdungslage angepasst. Auch die Anzahl der betroffenen Unternehmen hat sich signifikant erhöht.

Es entstehen neue organisatorische und finanzielle Herausforderungen, denen sich die Unternehmen stellen müssen. Wer sich nicht rechtzeitig vorbereitet, riskiert schwerwiegende Konsequenzen durch NIS-2 Strafen und aufsichtsrechtliche Maßnahmen. Eine frühe Auseinandersetzung mit dem neuen Cybersicherheitsrecht ist notwendig, um entsprechend compliant zu bleiben.