4 Minuten Lesezeit 27 Januar 2023
Fingerabdruck Sensor

Neuerungen durch die NIS-2-Richtlinie

Sina Biermann
Von Sina Biermann

Senior Associate | Rechtsanwältin | Ernst & Young Law GmbH | Deutschland

Sina Biermann ist Rechtsanwältin bei EY Law und im Bereich IP/IT/Datenschutzrecht tätig.

4 Minuten Lesezeit 27 Januar 2023
Verwandte Themen Rechtsberatung
Gefällt mir

Weitere Materialien

Ist Cybersicherheit jetzt Chefsache? Was sich mit der NIS-2-Richtlinie für Unternehmen ändert

Überblick
  • Ransomware-Attacken sind für Unternehmen ein schwerwiegendes Problem mit vielfältigen Risiken. 
  • Die NIS-2-Richtlinie, die am 16.01.2023 in Kraft getreten ist und bis zum 17.10.2024 ins nationale Recht umzusetzen ist, ersetzt die bisherige NIS-1-Richtlinie; sie will ein einheitliches, erhöhtes Niveau der Cyberresilienz in der EU schaffen und den europäischen Binnenmarkt besser vor Cyberangriffen schützen.
  • Im Fokus der NIS-2-Richtlinie steht jetzt nicht mehr die einzelne (Kritis-)Anlage, sondern das gesamte Unternehmen. 
  • Die Unternehmen werden durch die NIS-2-Richtlinie verpflichtet, weitreichendere Risikomanagementmaßnahmen zu treffen, wobei auch die Lieferketten stärker in den Fokus rücken und Leitungsorgane zukünftig persönlich haften.

Ransomware-Attacken sind ein schwerwiegendes Problem für Unternehmen; es bestehen vielfältige Risiken:, nicht nur finanzielle Einbußen (Erpressung), sondern auch Betriebsausfall und Datenverlust. Im Jahr 2022 machten Cybersicherheitsvorfälle das größte Geschäftsrisiko weltweit aus (Quelle: 11th Allianz Risk Barometer 2022: Annual survey incorporates views of 2,650 respondents from 89 countries and territories). Mit Inkrafttreten der NIS-2-Richtlinie (im Folgenden „NIS-2-RL“) zum 16.01.2023 wird die bisherige NIS-1-Richtlinie abgelöst und durch ein weiter reichendes Regelwerk ersetzt. Ziel der Kommission ist es, ein einheitliches und erhöhtes Niveau der Cyberresilienz in der EU zu schaffen und so den europäischen Binnenmarkt besser vor Cyberangriffen zu schützen. Die NIS-2-RL verfolgt einen ganzheitlichen, gefahrenübergreifenden Ansatz, der nicht lediglich die einzelne (Kritis-)Anlage schützen soll, sondern das Unternehmen gesamthaft betrachtet. Damit kommen auf mehr Unternehmen höhere Anforderungen an das Risikomanagement zu. Insbesondere wird der Fokus auf die Lieferketten ausgeweitet und Leitungsorgane werden zukünftig persönlich haften. Die Umsetzungsfrist in das nationale Recht endet am 17.10.2024.

Anwendungsbereich

Der Anwendungsbereich der NIS-2-RL erfasst mehr Unternehmen, als dies bei der NIS-1-Richtlinie der Fall war. Unterschieden wird zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Der Anwendungsbereich wurde jetzt auf 18 Sektoren (11 wesentliche und 7 wichtige Sektoren) erweitert (Art. 3 NIS-2-RL). Die Liste der kritischen Sektoren in Anhang I der RL, die für die Beurteilung, ob es sich um eine „wesentliche“ Einrichtung handelt, maßgeblich ist, wurde um neue Unternehmen erweitert, die im Bereich der Abwasserwirtschaft, der Verwaltung von IKT-Diensten und im Weltraumsektor tätig sind, sowie auf die öffentliche Verwaltung (mit Ausnahme der nationalen Sicherheit, der öffentlichen Sicherheit, der Verteidigung oder der Strafverfolgung). Bei „wichtigen“ Einrichtungen kamen u. a. Post- und Kurierdienste, die Forschung und die Produktion von chemischen Stoffen und Lebensmitteln hinzu. Um in den Anwendungsbereich der NIS-2-RL zu fallen, müssen Unternehmen grundsätzlich die Schwelle der mittleren Unternehmen überschreiten. Dies ist bei 50 oder mehr Beschäftigten und einem Jahresumsatz von über 10 Mio. Euro der Fall (Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG). Unabhängig von der Größe fallen zudem u. a. Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen elektronischen Kommunikationsdiensten, Vertrauensdiensteanbieter und Diensteanbieter mit Alleinstellungsmerkmal eines Mitgliedstaates, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind, in den Anwendungsbereich (Art. 2 NIS-2-RL).

Verpflichtungen – Risikomanagementmaßnahmen und Berichtspflichten

„Wesentliche“ und „wichtige“ Einrichtungen haben umfangreiche Risikomanagementmaßnahmen zu ergreifen (Art. 21 NIS 2-RL). Hierzu zählen u. a. ein Backup-Management, Sicherheitskonzepte sowie Schulungen im Bereich der Cybersicherheit oder die Pflicht, zertifizierte IKT-Produkte, -Dienste und ­Prozesse zu verwenden (Art. 24 NIS-2-RL).
Im Fall eines erheblichen Sicherheitsvorfalls gelten unverzügliche Berichtspflichten (Art. 23 NIS-2-RL). Eine erste Frühwarnung hat dabei spätestens nach 24 Stunden zu erfolgen, eine ausführlichere Bewertung des Sicherheitsvorfalls innerhalb von 72 Stunden. Nach einem Monat ist dem Computer-Notfallteam (CSIRT) ein Abschlussbericht zu übermitteln. Die EU-Kommission kann Durchführungsrechtsakte erlassen, in denen die Einzelheiten zur Art der Angaben, zum Format und zum Verfahren der Meldung näher bestimmt werden (Art. 23, Abs. 10 NIS-2-RL).

Risikomanagement im Bereich der Lieferketten, Art. 22 NIS-2-RL

Beim Risikomanagement ergeben sich vor allem im Bereich der Lieferketten Neuheiten. Da diese bei der Datenweitergabe als Schnittstelle von mehreren Unternehmen besonders angreifbar und Unternehmen dabei besonders vulnerabel sind, hält die Kommission einen weiter gehenden Schutz von Lieferketten für notwendig (Erwägungsgrund 54 ff. NIS-2-RL). Bei der Risikobewertung von Lieferketten sollen daher kritische IKT-Dienste, -Systeme oder Produkte sowie relevante Bedrohungen und Schwachstellen ermittelt werden (Art. 22 Abs. 1 NIS-2-RL). Dabei sollen u. a. folgende Kriterien beachtet werden (Erwägungsgrund 91 NIS-2-RL):

  • der Umfang, in dem kritische IKT-Dienste, -Systeme oder -Produkte von wesentlichen und wichtigen Einrichtungen genutzt werden und diese darauf angewiesen sind
  • die Bedeutung von kritischen IKT-Diensten, -Systemen oder -Produkten für die Ausführung kritischer oder sensibler Funktionen
  • die Verfügbarkeit alternativer Dienste, Systeme und Produkte
  • die Resilienz der gesamten Lieferkette gegen destabilisierende Ereignisse

So unterstützen wir Sie

Digital Law

Die Digitalisierung transformiert nicht nur die Welt der Arbeit, Freizeit und Mobilität, sondern birgt auch immense rechtliche Herausforderungen. Mit unserer Practice Group Digital Law beraten wir unsere Mandanten dabei, die digitale Transformation rechtssicher zu gestalten.

Mehr lesen

Persönliche Haftung der Leitungsorgane, Art. 20 NIS-2-RL

Zu beachten ist die neu eingeführte Haftung und persönliche Verantwortung von Leitungsorganen (Art. 20 Abs. 1 NIS-2-RL). Nationale Rechtsvorschriften in Bezug auf die für die öffentlichen Einrichtungen geltenden Haftungsregelungen sowie die Haftung von öffentlichen Bediensteten und gewählten oder ernannten Amtsträgern bleiben unberührt (Art. 20 Abs. 1 NIS-2-RL). Geschäftsführer wesentlicher und wichtiger Einrichtungen sind zudem verpflichtet, an Schulungen teilzunehmen und solche allen Mitarbeitenden regelmäßig anzubieten (Art. 20 Abs. 2 NIS-2-RL).

Zuständigkeit, Durchsetzung und Bußgelder

Es gibt umfassende Aufsichts- und Durchsetzungsmaßnahmen, so z. B. Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen oder Auskunftspflichten bei „wichtigen“ Einrichtungen, Ad-hoc-Prüfungen, Stichprobenkontrollen, die vorübergehende Aussetzung der Zertifizierung oder der Genehmigung oder die Untersagung der Wahrnehmung von Leitungsaufgaben natürlicher Personen auf Geschäftsführungs- bzw. Vorstandsebene bei wesentlichen Einrichtungen (Art. 32, 33 NIS-2-RL).
Für die Aufsicht bezüglich der Einhaltung sind ein oder mehrere Cybersicherheitsbehörden zu benennen. Zu errichten bzw. zu bestimmen sind ferner Behörden für das Cyberkrisenmanagement und CSIRTs. Deren Aufgabe ist die Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf nationaler Ebene, die Unterstützung „wesentlicher“ und „wichtiger“ Einrichtungen hinsichtlich der Überwachung ihrer Netze und Informationssysteme in Echtzeit und die Erhebung und Analyse forensischer Daten und Frühwarnungen über Cyberbedrohungen. Das national zuständige CSIRT koordiniert die (anonyme) Offenlegung von Schwachstellen in einer Schwachstellendatenbank (Art. 12 NIS-2-RL).

Als Sanktionen sind dabei Geldbußen in empfindlichen Höhen vorgesehen. Bei wesentlichen Einrichtungen liegt der Höchstbetrag der Geldbuße bei 10 Mio. EUR oder 2 % des weltweiten Vorjahresumsatzes, bei wichtigen Einrichtungen etwas niedriger bei 7 Mio. EUR oder 1,4 % des weltweiten Vorjahresumsatzes (Art. 34 NIS-2-RL). (Hinweis: Wir gehen in diesem Beitrag davon aus, dass es sich hierbei um einen Höchstbetrag handelt. Es bleibt aber abzuwarten, wie die entsprechende Regelung ins nationale Recht umgesetzt wird.) Diese Bußgelder werden ausschließlich zusätzlich, nie anstelle von anderen angeordneten Maßnahmen verhängt. 

Verhältnis zum Datenschutz

Die DSGVO bleibt von der neuen NIS-2-Richtlinie unberührt (Erwägungsgrund 14 NIS-2-RL). Rechtsgrundlage zur Verarbeitung personenbezogener Daten zur Gewährleistung der Sicherheit von Netz- und Informationssystemen sind Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO (rechtliche Verpflichtung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) (Erwägungsgrund 121 NIS-2-RL). Die nach der NIS-2-Richtlinie zuständigen Behörden sollen mit den Datenschutzbehörden zusammenarbeiten (Erwägungsgrund 108 und Art. 31 Abs. 3 NIS-2-RL) und haben Datenschutzverstöße gem. Art. 33 DSGVO zu melden (Art. 35 NIS-2-RL). Zu beachten ist hierbei, dass der zum Teil in der Datenschutzrechtspraxis gelebte Nemo-tenetur-Grundsatz im Rahmen einer Meldung eines Datenschutzverstoßes möglicherweise keine Anwendung findet.

Fazit

Die NIS-2-RL stellt Mindestanforderungen auf, zudem haben Mitgliedstaaten eine nationale Cybersicherheitsstrategie zu erlassen (Art. 7 NIS-2-RL). Eine strengere Umsetzung durch den deutschen Gesetzgeber ist dabei nicht ausgeschlossen (es handelt sich lediglich um eine Mindestharmonisierung, Art. 5 NIS-2-RL). Dass die Umsetzung in Form eines IT-Sicherheitsgesetzes (IT-SiG) 3.0 und eines Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BISG) n. F. erfolgt, erscheint wahrscheinlich. Bis dahin sollten Unternehmen, die nach derzeit geltendem Recht bereits vom Anwendungsbereich des BSIG erfasst und demnach zu Schutzmaßnahmen verpflichtet sind, diese Schutzmaßnahmen beibehalten und kontinuierlich verbessern, da die Anforderungen durch die NIS-2-RL sogar noch erhöht werden. Schon jetzt ist ein besonderes Augenmerk auf die Sicherheit der Lieferketten zu werfen. Zudem sollten Mitarbeitende zum Thema IT-Sicherheit regelmäßig sensibilisiert und geschult werden und Leitungsorgane in die Umsetzung von Cybersicherheitsmaßnahmen einbezogen werden. Ein weiteres wichtiges Gesetz im Bereich Cybersicherheit ist der „Digital Operations Resilience Act“ (DORA). Diese Richtlinie zur Stärkung der Cybersicherheit von Finanzmarktakteuren stellt eine lex specialis zur NIS-2-RL dar und muss bis zum 17.01.2025 vom nationalen Gesetzgeber umgesetzt werden.

Über diesen Artikel

Sina Biermann
Von Sina Biermann

Senior Associate | Rechtsanwältin | Ernst & Young Law GmbH | Deutschland

Sina Biermann ist Rechtsanwältin bei EY Law und im Bereich IP/IT/Datenschutzrecht tätig.

Verwandte Themen Rechtsberatung
Gefällt mir