NIS2 – Neue EU-Anforderungen an die IT-Sicherheit in Deutschland

NIS2 – Neue EU-Anforderungen an die IT-Sicherheit in Deutschland

Mit zunehmender Digitalisierung und Automatisierung steigt die Bedrohung durch Cyberkriminalität kontinuierlich. Insbesondere kritische Infrastrukturen oder Organisationen, die gesellschaftlich und wirtschaftlich relevante Dienstleistungen erbringen, sind erheblichen Cyberrisiken ausgesetzt. Der daraus resultierende Schaden für deutsche Unternehmen betrug laut Bundeslagebild Cybercrime 2022 allein im Jahr 2022 mehr als 200 Milliarden Euro und hat sich seit 2019 fast verdoppelt. Dazu zählen vor allem Schäden durch sogenannte Ransomware, DDoS-Attacken und andere Cyberangriffe auf die IT-Systeme von Unternehmen. Besonders betroffen ist der öffentliche Sektor, da staatliche Unternehmen häufig Betreiber von kritischen Infrastrukturen (KRITIS) sind. Ein Ausfall bestimmter kritischer Dienste und Systeme kann schwerwiegende Folgen für das Funktionieren der Gesellschaft, der Wirtschaft und damit auch der öffentlichen Sicherheit haben. Darüber hinaus wird auch der rechtliche Rahmen im Bereich der IT-Sicherheit immer komplexer.

Um Risiken zu mindern und europaweit für ein angemessenes Niveau an Cybersicherheit zu sorgen, wurde Ende 2022 die aktualisierte Richtlinie zur Netz- und Informationssicherheit (NIS2) vom Europäischen Parlament und dem Rat der EU verabschiedet. Die NIS2 gibt den Mitgliedstaaten einen Regelungsrahmen vor, der festlegt, für welche öffentlichen und nicht-öffentlichen Organisationen die Richtlinie gilt und welche Pflichten zu erfüllen sind, um ein ausreichendes Maß an Cybersicherheit gewährleisten zu können. Die Mitgliedsstaaten der EU sind verpflichtet, die Richtlinie spätestens bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Wir stellen nachfolgend die NIS2-Richtlinie und ihre Umsetzung in Deutschland näher vor.

Das NIS2UmsuCG und seine Umsetzung in Deutschland

In Deutschland sollen die Regelungen der NIS2 mit dem „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) in nationales Recht überführt werden. Der kürzlich veröffentlichte Referentenentwurf des Bundesministeriums des Innern gibt einen Ausblick darauf, welche Organisationen betroffen sind und welche neuen Verpflichtungen auf diese Organisationen zukommen werden.

Die in der NIS2-Richtlinie genannten Organisationen werden im Referentenentwurf konkretisiert. Es ist davon auszugehen, dass die geplanten gesetzlichen Anforderungen dazu führen werden, dass deutlich mehr Unternehmen als bisher in das gesetzliche IT-Sicherheitsregime einbezogen werden. Hierbei wird zwischen „wichtigen“, „besonders wichtigen“ und „kritischen“ Einrichtungen, die bereits von der sogenannten CER-Richtlinie über die Resilienz kritischer Einrichtungen (Richtlinie (EU) 2022/2557) und dem – derzeit noch im Entwurfsstadium befindlichen –  KRITIS-Dachgesetz zur Umsetzung der CER-Richtlinie genannt werden, unterschieden. Zudem wird eine Auflistung von Sektoren vorgenommen, in denen die in der Richtlinie definierten Einrichtungen tätig sind.

„Besonders wichtige Einrichtungen“ sind solche, die in bestimmten Sektoren der Kategorie I tätig sind (siehe nachstehende Tabelle) und die mehr als 250 Beschäftigten haben oder mehr als 50 Millionen Euro Umsatz erwirtschaften und eine Bilanzsumme von mehr als 43 Millionen Euro ausweisen. Zudem gibt es Einrichtungen, die ebenfalls als Sonderfälle dazu zählen, auch wenn ihre Beschäftigtenzahlen oder die Finanzkennzahlen abweichen: (Qualifizierte Trust Service Provider (QTSP), Top Level Domain Provider (TLD), Domain Name System Provider (DNS), Telekommunikationsanbieter, kritische Einrichtungen, sowie Einrichtungen der Bundesregierung).

„Wichtige Einrichtungen“ sind solche, die in den spezifischen Sektoren I und II tätig sind, mehr als 50 Beschäftigten oder mehr als 10 Millionen Euro Umsatz erwirtschaften beziehungsweise deren Bilanzsumme mehr als 10 Millionen Euro beträgt. Auch Vertrauensdienste werden dieser Gruppe zugeordnet.

Entscheidend für die Ermittlung der Mitarbeiterzahl, des Jahresumsatzes und der Jahresbilanzsumme ist die Geschäftstätigkeit der Organisation. Es ist daher spezifisch zu prüfen, ob ein Unternehmen den neuen aufsichtsrechtlichen Anforderungen unterworfen sein wird.

Als relevante Sektoren wurden bisher die nachfolgend aufgeführten Bereiche festgelegt.

Da eine genauere Definition der betroffenen Unternehmen noch nicht im Gesetzesentwurf vorliegt, bleibt es abzuwarten, welche Unternehmen und welche Art von Einrichtungen genau in den Anwendungsbereich des nationalen Rechtsrahmens fallen werden.

Vorbereitung auf das NIS 2-Umsetzungsgesetz

Gemäß der Richtlinie müssen “besonders wichtige“ und „wichtige“ Einrichtungen sowie Betreiber kritischer Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen in der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Verfahren, die sie zur Erbringung ihrer Dienste nutzen, zu verhindern. Zusätzlich sollten sie darauf abzielen, die Auswirkungen von Sicherheitsvorfällen auf ihre eigenen Dienste und andere Dienste zu verhindern oder zu minimieren. Zwar liegt der deutsche Gesetzentwurf noch nicht in seiner endgültigen Form vor. Jedoch wird erwartet, dass die Anforderungen im Wesentlichen unverändert bleiben. Unternehmen, die voraussichtlich unter das neue Gesetz fallen werden, sollten sich daher in jedem Fall rechtzeitig mit den folgenden Themen befassen:

• Erstellung von Konzepten zur Risikoanalyse und Sicherheit von Informationssystemen, Management von Sicherheitsvorfällen
• Geschäftskontinuität, wie zum Beispiel Backup-Management und Disaster Recovery, sowie Krisenmanagement
• Sicherheit der Lieferkette
• Sicherheitsmaßnahmen bei der Beschaffung, Entwicklung und Wartung von IT-Systemen, -Komponenten und -Prozessen, einschließlich des Managements und der Offenlegung von Schwachstellen
• Erarbeitung von Konzepten und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
• Cyber-Hygiene-Verfahren und Cybersicherheitsschulungen
• Erarbeitung von Konzepten und Verfahren für den Einsatz von Kryptographie und Verschlüsselung
• Personalsicherheit, Konzepte für die Zugangskontrolle und das Management von Einrichtungen
• Einsatz von Mehrfaktor- oder kontinuierlichen Authentifizierungslösungen, gesicherte Sprach-, Video- und Textkommunikation und gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Bei Verstößen können Geldbußen zwischen 100.000 Euro und 20 Millionen Euro verhängt werden. Geschäftsführer werden zur Verantwortung gezogen und können persönlich für die (unterbliebene) Umsetzung von Sicherheitsmaßnahmen in ihrer Firma haftbar gemacht werden.

Fazit zur NIS-2-Richtlinie und dem deutschen Umsetzungsgesetz

Spätestens mit dem Inkrafttreten der nationalen Regelungen durch das NIS2UmsuCG ist es für jede Organisation wichtig, in einem ersten Schritt anhand der bisher bekannten und hier dargelegten Kriterien festzustellen,  ob sie in den Anwendungsbereich der NIS2-Richtlinie fallen. Sofern sich aus den bisher bekannten Parametern bereits Berührungspunkte ergeben, erscheint es sinnvoll, sich im Vorfeld mit der Thematik zu befassen und sich – wie von uns dargestellt – auf eine mögliche Umsetzung vorzubereiten. In einem zweiten Schritt sind die entsprechenden Pflichten nach der jeweiligen Kategorisierung im Einzelnen zu identifizieren.

Ihr Experte für Datenschutzrecht

Dr. Philip Lüghausen, Rechtsanwalt | Partner
Telefon: +49 221 / 270 956 – 210, E-Mail: philip.lueghausen@bho-legal.com