NIS2-Richtlinie – Ein Überblick

11/09/2024
Cyber Sicherheit
Mit der NIS2-Richtlinie beginnt in Europa eine neue Ära der Cybersicherheit. Sie stellt komplexe Anforderungen an betroffene Unternehmen sowie deren Geschäftspartner. Angesichts dieser Herausforderungen ist es wichtig, einen klaren Überblick über die NIS2-Richtlinie, ihren Anwendungsbereich und ihre Bedeutung für Unternehmen zu gewinnen.

Was bedeutet NIS?

NIS steht für Network and Information Security (Netz- und Informationssicherheit). Mit der neuen NIS2-Richtlinie (RL EU 2022/2555), die am 18. Oktober 2024 in Kraft tritt, erleben wir in Europa eine bedeutende Weiterentwicklung in diesem Bereich. Die NIS2-Richtlinie aktualisiert und erweitert die Vorgaben der ursprünglichen NIS-Richtlinie, um die Netz- und Informationssicherheit in der EU zu stärken. Unternehmen und Organisationen müssen sich auf wichtige Änderungen vorbereiten, da die EU-Mitgliedstaaten bis zum Stichtag die Richtlinie in nationales Recht umsetzen müssen. Dieser Prozess der Rechtsangleichung ist entscheidend für die Gewährleistung einer kohärenten Cybersicherheitsstrategie in ganz Europa.

Was ist neu an NIS2?

Die NIS2-Richtlinie der EU regelt die Cyber- und Informationssicherheit von Institutionen und Unternehmen. Ein Schlüsselaspekt dieser neuen Richtlinie ist die erhebliche Erweiterung ihres Anwendungsbereichs. Im Vergleich zur vorherigen NIS-Richtlinie betrifft NIS2 nun eine deutlich größere Anzahl von Institutionen und Unternehmen. Diese sind verpflichtet, spezifische Sicherheitsmaßnahmen zu implementieren und bei Sicherheitsvorfällen entsprechende Meldungen zu machen. Diese Ausweitung sorgt dafür, dass ein breiteres Spektrum von Organisationen aktiv zur Stärkung der Cybersicherheit in der EU beiträgt.

Welche Unternehmen fallen in den Anwendungsbereich von NIS2?

Die NIS2-Richtlinie spricht von großen und mittleren Unternehmen und unterscheidet zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.

  • Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung und Weltraum.
  • Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Zunächst ist zu prüfen, ob ein Unternehmen als klein, mittel oder groß eingestuft wird:

  • Kleine Unternehmen
    • Weniger als 50 Beschäftigte und
    • Weniger als 10 Millionen Euro Jahresumsatz oder
    • Weniger als 10 Millionen Euro Jahresbilanzsumme
  • Mittlere Unternehmen
    • Weniger als 250 Beschäftigte und
    • Weniger als 50 Millionen Euro Jahresumsatz oder
    • Weniger als 43 Millionen Euro Jahresbilanzsumme
  • Große Unternehmen
    • Mehr als 250 Beschäftigte oder
    • Mehr als 50 Millionen Euro Jahresumsatz und
    • Mehr als 43 Millionen Euro Jahresbilanzsumme

Anschließend ist zu unterscheiden, ob das Unternehmen eine wesentliche oder eine wichtige Einrichtung ist:

  • Wesentliche Einrichtungen: Große Unternehmen aus Sektoren mit hoher Kritikalität.
  • Wichtige Einrichtungen: Mittlere Unternehmen aus Sektoren mit hoher Kritikalität sowie große und mittlere Unternehmen aus den sonstigen kritischen Sektoren.

Welche Folgen hat die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen?

Die NIS2-Richtlinie unterscheidet nicht nur zwischen Unternehmensgrößen, sondern klassifiziert ihre Anforderungen nach der Einstufung als wesentliche oder wichtige Einrichtung. Obwohl beide Kategorien grundsätzlich die gleichen Cybersicherheitsmaßnahmen umsetzen müssen, gibt es Unterschiede in der Aufsicht und den Sanktionen.

  • Aufsicht: Wesentliche Einrichtungen unterliegen strengeren Sicherheitsprüfungen, einschließlich regelmäßiger Überwachungen und Stichprobenkontrollen. Wichtige Einrichtungen werden hauptsächlich bei Verdachtsmomenten kontrolliert, wobei sowohl Vor-Ort-Kontrollen als auch externe Maßnahmen anwendbar sind.
  • Sanktionen: Wesentliche Einrichtungen können mit Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen beträgt die Obergrenze bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes.

Sind kleine Unternehmen vom Anwendungsbereich ausgenommen?

Kleine Unternehmen mit weniger als 50 Beschäftigten und weniger als 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme fallen grundsätzlich nicht unter die Vorgaben von NIS2. Ausnahmen gelten jedoch für:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
  • TLD-Namenregister und DNS-Diensteanbieter (ausgenommen Betreiber von Root-Namenservern)
  • Unternehmen, die alleiniger Anbieter eines essenziellen Services in einem Mitgliedstaat sind

Zudem müssen Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten (sogenannte Sicherheit in der Lieferkette). Daher wird sich NIS2 auch auf kleine und mittlere Unternehmen auswirken.

Was ist „Sicherheit der Lieferkette“?

Unternehmen, die unter den Anwendungsbereich der NIS2-Richtlinie fallen, müssen die Sicherheit ihrer Lieferketten gewährleisten. Dies umfasst die Überprüfung der Cybersicherheitspraktiken ihrer Anbieter und Dienstleister, die Identifizierung von Schwachstellen und die Beurteilung der Qualität der gelieferten Produkte und Dienstleistungen. Umfassende Sicherheitsmaßnahmen sind erforderlich, um diese Anforderungen zu erfüllen.

Die Bestätigung der Lieferkettensicherheit kann durch Audits, Zertifizierungen oder individuelle Nachweise erbracht werden. In Österreich empfiehlt die NIS-Behörde die Anwendung anerkannter Informationssicherheitsstandards, wie die ISO-Norm 27001. Diese Standards helfen Unternehmen, die Anforderungen der NIS2-Richtlinie effektiv zu erfüllen und ein hohes Maß an Cybersicherheit zu gewährleisten.

Welche Risikomanagementmaßnahmen sieht NIS2 vor?

Die NIS2-Richtlinie definiert zehn essenzielle Risikomanagementmaßnahmen als grundlegende Compliance-Anforderungen:

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, einschließlich Backup-Management und Notfallwiederherstellung
  4. Sicherheit der Lieferkette
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement
  6. Bewertung der Wirksamkeit der Risikomanagementmaßnahmen zur Cybersicherheit
  7. Cyberhygiene und Schulungen zur Cybersicherheit
  8. Einsatz von Kryptographie und Verschlüsselungen
  9. Sicherheit des Personals
  10. Zugriffskontrollen und Anlagenmanagement, einschließlich Multi-Faktor-Authentifizierung und gesicherter Kommunikationssysteme

Bei der Umsetzung sollten Unternehmen den aktuellen Stand der Technik, europäische und internationale Normen, die Implementierungskosten und das bestehende Risiko berücksichtigen.

Welche Berichtspflichten sieht die NIS2-Richtlinie vor?

Betroffene Unternehmen müssen im Falle eines Cybersicherheitsvorfalls Meldungen an das zuständige „Cybersecurity Incident Response Team“ (CSIRT) oder an die zuständigen Behörden weitergeben:

  • Frühwarnung innerhalb von 24 Stunden: Bei Verdacht auf rechtswidrige Handlungen oder grenzüberschreitende Auswirkungen.
  • Meldung innerhalb von 72 Stunden: Informationen über Schweregrad, Auswirkungen und bekannte Indikatoren zur Kompromittierung.
  • Abschlussbericht innerhalb eines Monats nach der Frühwarnung: Detaillierte Beschreibung des Vorfalls, Schweregrad, Auswirkungen, Art der Bedrohung, Ursachen und ergriffene Abhilfemaßnahmen.

Das CSIRT oder die zuständigen Behörden können zudem Zwischenberichte anfordern.

Bei Vorfällen, die auch eine Datenschutzverletzung gemäß der Datenschutz-Grundverordnung (DSGVO) darstellen, müssen Unternehmen die entsprechenden Meldepflichten sowohl der NIS2-Richtlinie als auch der DSGVO erfüllen. Dies unterstreicht die Notwendigkeit einer integrierten Herangehensweise an Cybersicherheit und Datenschutz.

AI Credits

Bilder: Midjourney

Textunterstützung: ChatGPT

Weitere Blogartikel

Sie benötigen rechtliche Unterstützung?

Gerne stehe ich Ihnen bei rechtlichen Fragestellungen zur Seite. Bitte kontaktieren Sie mich telefonisch oder via Kontaktformular um ein kostenloses Erstgespräch zu vereinbaren. 

Dr. LUKAS STAFFLER, LL.M.

@lukasstaffler

Kontaktformular