Die „NIS 2“ Richtlinie – erweiterter Anwendungsbereich zur regulierten Cyberabwehr
Mit der Network-and-Information-Security-Richtlinie 2 (EU 2022/2555 vom 14.12.2022, „NIS 2“) hat die Europäische Union den bisherigen Umfang der regulierten Cyberabwehr erweitert, um der gestiegenen Bedrohung durch Cyberkriminalität eine abgestimmte Vorgehensweise der jeweiligen EU-Mitgliedsstaaten entgegenzusetzen. Der deutsche Gesetzgeber hat bis zum 17.10.2024 die Pflicht zur Umsetzung der harmonisierten Mindeststandards in ein nationales Gesetz. Es wird jedoch erwartet, dass eine Umsetzung der Richtlinie („RL“) in diesem Bereich deutlich früher erfolgt.
BETROFFENE UNTERNEHMEN
In den Anwendungsbereich fallen als betroffene Unternehmen künftig deutlich mehr Einrichtungen als bisher. Die Schwellenwerte der BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) werden nicht mehr angewendet, sodass die Einrichtungsgröße nicht mehr zwingend eine Auswirkung darauf hat, ob die Einrichtung den künftigen Kategorien „wesentliche“ (Art. 3 Abs. 1 NIS 2 RL) oder „wichtige“ (Art. 3 Abs. 2 NIS 2 RL) Einrichtung unterfällt. Der bereits im Jahr 2021 erweiterte Katalog der vom „IT-Sicherheitsgesetz 2.0“ (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) betroffenen Einrichtungen bleibt unterhalb der künftigen Reichweite.
Die NIS 2 RL erfasst Sektoren mit hoher Kritikalität und sonstige kritische Sektoren. Damit können die einzelnen Mitgliedsstaaten nicht mehr selbst entscheiden, welche Bereiche adressiert werden.
Nach Zuordnung des Tätigkeitssektors
Als hochkritisch (wesentlich) werden die Sektoren Energie (mit diversen Teilsektoren), Verkehr (mit div. Teilsektoren), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (nur B2B), öffentliche Verwaltung sowie Weltraum eingestuft.
Als kritisch (wichtig) werden die Sektoren Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Warenproduktion und verarbeitendes Gewerbe (mit div. Teilsektoren) Anbieter digitaler Dienste sowie Forschung eingeordnet.
Nach Unternehmensgröße
Einrichtungen der vorgenannten Art (Sektoren), welche die Schwelle eines mittleren Unternehmens überschreiten, werden ohne weiteres von der NIS 2 RL erfasst. Gemäß der dortigen Verweisung (Empfehlung 2003/361/EG) handelt es sich dabei um alle Einrichtungen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von zehn bis 43 Millionen Euro. Werden Einrichtungen der Richtlinie zufolge als „kritisch“ eingestuft, fallen sie ebenfalls auch unterhalb der Schwelle in den Anwendungsbereich. Zusätzlich gibt es noch weitere Regelungen für Sonderfälle.
Nachdem jedoch auch ein kleineres Unternehmen innerhalb einer Lieferkette eines gemäß Sektorzugehörigkeit relevanten Unternehmens von größerer Bedeutung sein kann, wurde der Anwendungsbereich der NIS2 RL deutlich erweitert.
Neu definierte Anforderungen an Maßnahmen
Die betroffenen Einrichtungen sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Stand der Technik einzusetzen, um vor Sicherheitsvorfällen zu schützen. Neben den Cyber-Gefahren sind auch andere Gefahren beachtlich, wie bspw. unmittelbare physische Einwirkung durch Menschen oder Umweltgefahren. Gewisse Anforderungen werden in der Richtlinie aus Harmonisierungsgründen festgesetzt (Art. 21 Abs. 2 NIS2 RL).
Mögliche Registrierungspflicht und grundsätzliche Berichtspflichten
Gewisse Einrichtungen müssen sich gemäß Art. 27 Abs. 1 NIS 2 RL zwingende bei der ENISA (Agentur der Europäischen Union für Cybersicherheit) registrieren.
Eine betroffene Einrichtung ist grundsätzlich verpflichtet Sicherheitsvorfällen an die eigene Sicherheitsbehörde zu melden (Art. 23 NIS2 RL) – zukünftig in mehreren Schritten (24 Stunden zur „Frühwarnung“, 72 Stunden zur Aktualisierung der Meldung und innerhalb eines Monats ist der Abschlussbericht an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu übermitteln.
Persönliche Verantwortung der Leitungsorgane
Gemäß Art. 20 liegt die Verantwortung für die Maßnahmen zur Cybersicherheit bei den Leitungsorganen. Diesen droht daher eine persönliche Haftung bei Mängeln in der Umsetzung bzw. Überwachung.
Die NIS RL ist in Deutschland noch durch das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG) umzusetzen. Dieses enthält eine vollständige Überarbeitung und deutliche Expansion des Gesetzes über das Bundesamt in der Informationstechnik („BSIG“).
Mit der Verabschiedung ist im März 2024 zu rechnen. Bisher liegt lediglich ein aktueller Referentenentwurf vor, anhand dessen absehbar ist, welche Regelungen zu erwarten sind. Neben den Regelungen zum Informationssicherheitsmanagement des Bundes enthält der Entwurf auch viele Vorschriften, welche private Unternehmen adressieren, unter anderem etwa die Haftung der Geschäftsführung bei diesbezüglichen Pflichtverletzungen. Daher besteht bei den betroffenen Unternehmen dringlicher Handlungsbedarf.
Sollten Sie Fragen zur NIS-2-Richtlinie und deren Umsetzung haben stehen wir Ihnen für Ihre Anfrage gerne zur Verfügung.
Klemens M. Hellmann LL.M., Fachanwalt für Urheber- und Medienrecht sowie Gewerblicher Rechtsschutz