Zum Thema NIS-2-Richtlinie hat Rechtsanwältin Carola Sieling zusammen mit dem geschätzten Kollegen Dr. Thomas Schwenke und Marcus Richter in einer Folge des Podcast Rechtsbelehrung ausführlich zu den Inhalten der NIS-2-Richtlinie informiert.
Die NIS2-Richtlinie ist ein neuer Rechtsakt der Europäischen Union, der die Sicherheit von Netz- und Informationssystemen verbessern soll. In diesem Blogbeitrag werden wir die wichtigsten Änderungen und Herausforderungen der NIS2-Richtlinie erläutern und Ihnen einige Tipps geben, wie Sie sich darauf vorbereiten können.
Am 14.12.2022 wurde die Richtlinie 2022/2555 des europäischen Parlamentes und des Rates im Amtsblatt der europäischen Union (NIS-2-Richtlinie) veröffentlicht und ist seit Januar 2023 wirksam. Die Richtlinie ersetzt die Richtlinie 2016/1148 (NIS-Richtlinie), die zwar erhebliche Fortschritte bei der Stärkung der Cyber-Resilienz der EU erzielt hat, jedoch auch Mängel offenbart hat, die ein wirksames Vorgehen gegen aktuelle und neue Herausforderungen im Bereich Cybersicherheit verhindern.
Die Umsetzung der NIS-1-RL in den Mitgliedsstaaten erfolgte sehr unterschiedlich, sodass der Gesetzgeber im Zuge der Ausweitung der Cyberbedrohungslage die Notwendigkeit erachtete, einen Mindestmaßstab für ein gemeinsames Cybersicherheitsniveau in der Union zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft zu erlassen. Mit Aufhebung der Richtlinie NIS-1-RL soll insbesondere der Anwendungsbereich auf einen größeren Teil der Wirtschaft ausgeweitet werden, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.
Die NIS-2-RL zielt insbesondere darauf ab, die Mängel bei der Differenzierung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste zu beheben, da sich dies als überholt erwiesen hat.
Damit einhergehende Registrierungs- und Berichtspflichten und auch die Zusammenarbeit der unterschiedlichen nationalen Behörden und Stellen sollen mit der neuen Richtlinie verbessert werden.
Zeitplan
Die NIS-2-RL legt konkrete Mindeststandards fest und löst die bisherige NIS-1-RL ab. Die EU-Staaten müssen die NIS-2-RL bis Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt bereits ein erstes NIS2 Umsetzungsgesetz vor, welches unterschiedliche Änderungen und Überarbeitungen in vorhandenen Gesetzen vorsieht. Bis dahin verbleibt es bei den Anforderungen des IT-Sicherheitsgesetzes 2.0, dem BSIG und der aktuellen KRITIS-Verordnungen und weiteren IT-Sicherheitsvorschriften und Branchenstandards.
Anwendungsbereich
Der Anwendungsbereich der NIS-2-RL umfasst öffentliche und private Einrichtungen der in Anhang 1 oder 2 genannten Art. In den Anhängen 1 und 2 sind insgesamt 18 Sektoren mit Teilsektoren aufgeführt, wobei es sich bei den in Anhang 1 dargestellten Sektoren um wesentliche Einrichtungen handelt (soweit es sich um ein großes Unternehmen handelt) und bei den in Anhang 2 genannten um sogenannte wichtige Einrichtungen (soweit es sich um ein Unternehmen mittlerer Größe handelt).
mittleres Unternehmen: 50-249 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
großes Unternehmen: >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro Bilanz
wesentliche Einrichtung | wichtige Einrichtung |
großes Unternehmen in Sektor gem. Anhang I | mittleres Unternehmen in Sektor gem. Anhang I oder II |
bestimmte Sonderfälle | bestimmte Sonderfälle |
In der NIS-2-RL hat der EU-Gesetzgeber leider sehr komplexe Regelungen zum Anwendungsbereich getroffen. Es ist ein sogenanntes EU-Sizecap eingeführt worden, was bedeutet, dass mittlere und große Betreiber ab einer Mitarbeiterzahl von 50 und einen Jahresumsatz von größer als 10 Millionen EURO in den Anwendungsbereich fallen. Darüberhinaus gibt es größenunabhängige Sonderfälle, die ebenfalls unter NIS-2 fallen, insbesondere bei Monopolstellung, grenzüberschreitenden oder kritischen Infrastrukturen.
Von NIS-2 in der Regel nicht betroffen sind Klein- und Kleinstunternehmen (< 50 Beschäftigte, bzw. < 10 Millionen Euro Jahresumsatz).
Die wesentlichen Einrichtungen erhöhen sich gemäß Anhang 1 auf 11 Sektoren und die wichtigen Einrichtungen wachsen auf 7 Sektoren, sodass insgesamt 18 NIS-2 Sektoren festgeschrieben wurden. Die Unterschiede zwischen wesentlich und wichtig beziehen sich dabei laut NIS2 Richtlinie vor allem auf den Umfang der staatlichen Aufsicht und die Sanktionsmöglichkeiten.
Überblick über die regulierten Sektoren gem. Anhang I der NIS-2-RL:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktstrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (z.B. Anbieter von Cloud-Computing-Dienstleistungen oder Rechenzentrumsleistungen)
- Verwaltung von IKT-Dientsen (B2B)
- Öffentliche Verwaltung
- Weltraum
Überblick über die regulierten Sektoren gem. Anhang II der NIS-2- RL:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/ Herstellung von Waren (z.B. Maschinenbau)
- Anbieter digitaler Dienste (z.B. Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Sozialen Netzwerken)
- Forschung
Neben den großen Betreibern aus dem Anhang 1 werden bestimmte Betreiber größenunabhängig reguliert; nationale Betreiber, die essenziell für Gesellschaft und Wirtschaft sind, sowie Betreiber, deren Ausfall einen signifikanten Effekt auf die öffentliche Sicherheit oder die Gesundheit hätte, Betreiber, deren Ausfall ein signifikantes systemisches Risiko für Sektoren und grenzüberschreitende Abhängigkeiten darstellt sowie Betreiber, die wegen spezieller nationaler und regionaler Wichtigkeit kritisch sind, sind unabhängig von ihrer Größe ebenfalls erfasst.
Kritische Betreiber, die unter die EU-Richtlinie (2022/2557) (CER-RL) fallen, sollen ebenfalls als wesentliche Einrichtungen unter NIS-2 fallen. Die CER-RL verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken. Auch bisherige kritische Betreiber, die bisher von NIS-1 betroffen waren, können als wesentliche Einrichtungen definiert werden.
Checkliste – Was ist zu tun? Was ist zu beachten?
1. Eigene Betroffenheit klären und Registrierungs- und Meldepflicht klären
2. Betroffenheit von Kunden und Lieferanten klären (Lieferkettensicherheit ist laut NIS-2 zu gewährleisten)
3. Registrierung und Meldepflichten beachten
Gemäß der Richtlinie müssen sich kritische Betreiber registrieren. Betreiber sind zudem verpflichtet, in einem abgestuften System binnen 24 Stunden eine Frühwarnung zu geben und ein Sicherheitsvorfall binnen 72 Stunden ausführlich zu melden und binnen eines Monats einen Abschlussbericht zu fertigen.
4. Erforderliche und geeignete Maßnahmen (TOOM = technische, operative, organisatorische Maßnahmen) ergreifen
5. Sanktionen beachten
Wesentliche Sektoren sollen bei Verstößen ein Bußgeld bis maximal 10 Millionen Euro bzw. 2 % des weltweiten Jahresumsatzes (je nachdem welcher Betrag höher ist) auferlegt bekommen.
Bei wichtigen Sektoren ist das Maximum 7 Millionen Euro bzw. 1,4 % des weltweiten Jahresumsatzes.
Ausblick
Die EU-NIS2 Richtlinie soll erstmals 2027 und dann alle drei Jahre seitens der EU auf dem Prüfstand stehen.
FAZIT
Sind Sie bereit für die neue NIS2-Richtlinie der Europäischen Union? Diese neue Richtlinie zielt darauf ab, die Sicherheit von Netz- und Informationssystemen zu verbessern und ersetzt die vorherige NIS-Richtlinie. Mit erweitertem Anwendungsbereich und konkreten Mindeststandards ist es wichtig, dass Sie sich auf die Änderungen vorbereiten. Wir können Ihnen dabei helfen, die Herausforderungen der NIS2-Richtlinie zu meistern und sicherzustellen, dass Ihr Unternehmen den neuen Anforderungen entspricht.
Klären Sie für Ihr Unternehmen, in wieweit es von NIS-2 betroffen ist! Wir beraten Sie gern, wenn es darum geht, ob Ihr Unternehmen in den Anwendungsbereich von NIS-2 fällt, ob und welche Registrierungs- und Meldepflichten bestehen.
[…] von Netz- und Informationssystemen verbessern soll. Dazu hat Carola Sieling bereits einen informativen Beitrag erstellt, in dem sie ausführlich über die Richtlinie informiert. Zusätzlich gibt sie zusammen mit dem geschätzten Kollegen Dr. Thomas Schwenke und Markus Richter […]