Cybersicherheit 2.0: Die NIS-2-Richtlinie im Fokus

Von den Rechtsanwälten Esra Duran & Babak Tabeshian, Fachanwalt IT-Recht

Der Countdown läuft: Bis zum 18.10.2024 müssen die Mitgliedstaaten die NIS-2-Richtlinie in nationales Recht umgesetzt haben. Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) ist von zentraler Bedeutung, um die Cybersicherheit auf nationaler Ebene zu stärken. Doch warum ist die NIS-2-Richtlinie so wichtig? Welche signifikanten Veränderungen bringt sie mit sich? Und welche Auswirkungen hat ihre Umsetzung auf Unternehmen?

Wir haben die zentralen Punkte in einer Übersicht zusammengefasst.

Was regelt die NIS-2-Richtlinie?

Die NIS-2-Richtlinie, auch bekannt als "The Network and Information Security (NIS) Directive", hat einen bedeutenden Fortschritt im Bereich der Cybersicherheit ermöglicht. Veröffentlicht am 27.12.2022 im EU-Amtsblatt und in Kraft getreten am 16.01.2023, nimmt diese Richtlinie eine Schlüsselposition ein, um die digitale Sicherheit auf nationaler Ebene zu festigen.

Der Hauptzweck der NIS-2-Richtlinie besteht darin, die Widerstandsfähigkeit von Netz- und Informationssystemen in der Europäischen Union gegenüber Cyberbedrohungen zu erhöhen.

Was hat sich im Vergleich zu NIS-1 geändert?

Insgesamt zielt NIS-2 darauf ab, das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und zu verbessern. Die Reichweite der Richtlinie erstreckt sich nun über eine Vielzahl von Branchen, sodass ein größerer Kreis an Unternehmen betroffen ist. Auch wurden verschärft Sanktionen eingeführt, um die Cybersicherheit in der EU gezielt durchsetzen zu können.

Wer ist konkret betroffen?

Der Anwendungsbereich der neuen NIS-Richtlinie erstreckt sich erheblich über die bislang erfassten zentralen Unternehmen im Bereich kritischer Infrastrukturen hinaus. Genauer gesagt erfolgt in NIS-2 eine Differenzierung zwischen "wesentlichen Einrichtungen" und "wichtigen Einrichtungen“. Dabei wird die Unternehmensgröße anhand bestimmter Schwellenwerte festgelegt. Mittlere Unternehmen mit 50–250 Beschäftigten und einem Umsatz zwischen 10 und 50 Mio. EUR sowie große Unternehmen mit mehr als 250 Beschäftigten und mehr als 50 Mio. EUR Umsatz müssen die vorgeschriebenen Kriterien erfüllen.

Es können somit neben Sektoren mit hoher Kritikalität auch Lebensmittelunternehmen, Plattformen, Suchmaschinen, Cloud-Dienste und E-Commerce-Websites in den Geltungsbereich der Richtlinie fallen.

Welche Pflichten haben Unternehmer nach NIS-2?
 

• Unternehmen müssen regelmäßige Risikobewertungen ihrer IT-Systeme durchführen, potenzielle Risiken und Schwachstellen identifizieren und Abwehr- und Gegenmaßnahmen umsetzen.
• Die Richtlinie enthält Vorgaben zum Vorfallsmanagement in Unternehmen, indem entsprechende Berichtspflichten und Reaktionspläne bestehen. Damit sollen Unternehmen schnell und effektiv auf Sicherheitsvorfälle reagieren können, negative Auswirkungen minimieren und ähnliche Vorfälle für die Zukunft verhindern.
• Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen für die Absicherung ihrer Netz- und Informationssysteme einzurichten. Dazu gehören Maßnahmen zur Zugriffskontrolle und Verschlüsselung sowie die Einführung von digitalen Überwachungssystemen. Unternehmen müssen zudem Pläne zur Aufrechterhaltung des Betriebs inklusive Backup- und Wiederherstellungsplänen entwerfen.
• Die Umsetzung solcher Maßnahmen hilft Unternehmen, das Risiko von Cyberangriffen und Datenlecks zu verringern.
• Die NIS-2 enthält erstmals Vorgaben zur Absicherung der Lieferketten i.S.d. Zulieferer und Dienstleister.
• Darüber hinaus müssen betroffene Unternehmen einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden an die CSIRT oder die zuständige nationale Behörde melden. Eine Frühwarnung sollte innerhalb von 72 Stunden nach Kenntnisnahme erfolgen, gefolgt von einer Meldung des Vorfalls und eines Abschlussberichts binnen eines Monats.
• Zur effektiven Durchsetzung sind Mindestsanktionen für Verstöße gegen die NIS2-Richtlinie im Bereich des Cybersicherheitsrisikomanagements und der Berichterstattung vorgesehen.

Mit welchen Sanktionen müssen Unternehmen bei Nichteinhaltung rechnen?

Im Vergleich zu NIS-1 wurde das Überwachungs- und Durchsetzungssystem in NIS-2 weiterentwickelt. Den zuständigen Aufsichtsbehörden stehen u.a. folgende Mittel zur Wahl:

• Ausspruch von Warnungen
• Verhängung von Zwangsgeldern
• Ausschluss von Leitungspersonen
• Vor-Ort-Kontrollen
• Stichproben
• regelmäßige Sicherheitsaudits
• Anforderung von Daten und Zugängen

Die NIS-2-Richtlinie unterscheidet in Bezug auf Geldbußen zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen können Geldbußen von mindestens 10 000 000 EUR oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres erhalten. Für wichtige Einrichtungen beträgt die Geldbuße höchstens 7 000 000 EUR oder mindestens 1,4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Wie geht es weiter?

Die NIS-2-Richtlinie muss mitgliedstaatlich bis zum 17.10.2024 umgesetzt werden. NIS-1 wird damit zum 18.10.2024 aufgehoben. Die von NIS-2 betroffenen Einrichtungen werden nach bisheriger Prognose ihr Cybersicherheitsbudget möglicherweise erhöhen müssen.

Fazit

Die Nichteinhaltung der NIS-2-Richtlinie kann erhebliche Risiken für Unternehmen mit sich bringen. Ohne die Inanspruchnahme fachkundiger Betreuung besteht die Gefahr von Compliance-Verstößen, die zu rechtlichen Konsequenzen wie Bußgeldern führen können. Darüber hinaus können Sicherheitsvorfälle unentdeckt bleiben oder nicht angemessen behandelt werden, was zu schwerwiegenden Betriebsstörungen und finanziellen Verlusten führen kann.

Unsere Kanzlei bietet umfassende Beratung von Unternehmen im IT-Recht an. Wir unterstützen gerne bei der Umsetzung der NIS-2-Richtlinie und schlagen hierfür maßgeschneiderte Lösungen zur Erfüllung der regulatorischen Anforderungen und zur Reduzierung potenzieller Risiken vor.

Über #LFR Wirtschaftsanwälte

LFR Wirtschaftsanwälte sind Ihr Partner in allen Fragen des IT-Rechts. Wir unterstützen bei der Beratung und der Gestaltung von Software- und E-Commerce-Projekten, IT-Verträgen, IT-Sicherheitskonzepten und bei IT-rechtlichen Konflikten. Bei Interesse an einem Beratungsgespräch zur Umsetzung der Anforderungen der NIS-2-Richtlinie können Sie uns gerne kontaktieren.