Die NIS2-Richtlinie (EU 2022/2555) ist eine europäische Rechtsvorschrift, die Mindeststandards für die Cybersicherheit von Unternehmen in der Europäischen Union festlegt. Sie ersetzt die bestehende NIS-Richtlinie von 2016 und erweitert sowohl die Anforderungen zur Informationssicherheit, als auch die von der Regulierung betroffenen Unternehmen erheblich. Die Cybersicherheit betrifft künftig nicht mehr nur „KRITIS-Betreiber“, sondern auch zahlreiche „wichtige Unternehmen ab bereits 50 Mitarbeitern.
Übersicht: Aktueller Stand NIS2UmsuCG
Hinweis: Dieser Artikel bezieht sich auf die europäische Richtlinie. Diese muss in den EU-Mitgliedsstaaten noch in nationales Recht umgesetzt werden. Dies bedeutet, dass die wesentlichen Inhalte und Anforderungen bereits bekannt sind, sich aber noch individuelle Anpassungen ergeben können, bspw. Zu Details der betroffenen Unternehmen, Anforderungen, Nachweispflichten und den Bußgeldern. In Deutschland erfolgt die Umsetzung mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG). Voraussichtlich betroffene Unternehmen sollten die weitere Entwicklung der nationalen Umsetzung verfolgen.
1. Betroffene Sektoren und Betreiber:
Die NIS2-Richtlinie identifiziert Unternehmen anhand der sogenannten Size-Cap Regulung und der Sektorzugehörigkeit. Auf dieser Grundlage wird dann eine Zuordnung in die zwei Kritikalitätsstufen (Essential Entities und Important Entities) vorgenommen.
Das bedeutet, dass die betroffenen Unternehmen zunächst anhand der Unternehmensgröße (Mitarbeiteranzahl, Jahresumsatz, Bilanzsumme) klassifiziert werden. Betroffen sind „Mittlere Unternehmen“ und „Große Unternehmen, wobei bereits Unternehmen mit nur 50 Mitarbeitern und 10 Mio € Jahresumsatz als „Mittleres Unternehmen“ gelten. Wenn das Unternehmen dann Dienstleistungen in einer der achtzehn Sektoren in der EU erbringt, ist es wahrscheinlich von der Regulierung betroffen.
Zu den 18 Sektoren zählen dabei u. a. Energie, Transport, Bankwesen, Gesundheit, digitale Infrastruktur, aber auch bisher nicht oder nur teilweise regulierte Bereiche wie etwa Managed Service Provider, Forschungseinrichtungen oder verarbeitendes Gewerbe (z. B. Maschinenbau und Fahrzeugbau). Aktuelle Schätzungen gehen von ca. 30.000 betroffenen Unternehmen in Deutschland aus.
Zur NIS2-Betroffenheitsprüfung
2. Anforderungen und Pflichten:
Betroffene Unternehmen müssen Mindeststandards für die Cybersicherheit einhalten. Dies umfasst ein Risikomanagement und daraus resultierende Maßnahmen wie Richtlinien, Incident Management, Business Continuity Management, Sicherheit in der Lieferkette, Kryptographie, Personalrichtlinien, Zugangskontrolle und mehr. Abhängig von der Kategorisierung des Unternehmen (Essential/Important) entstehen weitere Pflichten, etwa von Nachweisen durch verpflichtende Audits, Cybersicherheit in der Lieferkette, Registrierungspflichten und Meldepflichten gegenüber Aufsichtsbehörden und auch der Öffentlichkeit.
3. Sanktionen und Bußgelder:
Für Verstöße gegen die Anforderungen der NIS2-Richtlinie können nationale Strafen, Geldbußen und Sanktionen verhängt werden. In Deutschland sind derzeit Bußgeldtatbestände von von bis zu 20 Millionen Euro vorgesehen und werden in manchen Fällen anhand des weltweiten Umsatz des Unternehmens ermittelt.
4. Zeitplan nationale Umsetzung
Die NIS2-Richtlinie wurde im Dezember 2022 verabschiedet und ist seitdem in Kraft. Die Mitgliedstaaten haben bis Oktober 2024 Zeit, die Bestimmungen der NIS2-Richtlinie in nationales Recht zu überführen. Dies bedeutet, dass in Deutschland eine Verabschiedung des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) spätestens im Herbst 2024 zu erwarten ist. Die nationale Gesetzgebung wird dann wieder eigene Anforderungen bzgl. der Registrierungs-, Umsetzungs- und Nachweispflichten definieren.
5. Abgrenzung zur RCE-/CER-Richtlinie
Die NIS2-Richtlinie fokussiert die Cybersecurity für Unternehmen in der EU. Die RCE-Richtlinie hingegen fokussiert sich auf die allgemeine Resilienz und Ausfallsicherheit von „kritischen Einrichtungen“. Dies bedeutet, dass mit der RCE nicht mehr nur „informationstechnische Systeme“ berücksichtigt werden müssen, sondern alle zur Erbringung der Dienstleitung notwendigen Unternehmensprozesse unter Berücksichtigung der physischen Sicherheit. Die Anzahl der von der NIS2-Richtlinie betroffenen Betreiber wird deutlich größer ausfallen, als die von der RCE-Richtlinie betroffenen Unternehmen.