NIS 2: Erweiterter Anwendungsbereich, strengere IT-Sicherheitspflichten und ein jährlicher Mehraufwand von 1,65 Mrd. EUR

Die regulatorische Landschaft der Cybersicherheit in der Europäischen Union steht vor gravierenden Neuerungen. Bisher basiert die Cybersicherheitsregulierung auf der NIS-Richtlinie (EU-Richtlinie 2016/1148 zur Sicherheit von Netz- und Informationssystemen in der Union) und deren Umsetzung durch das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Zu Beginn dieses Jahres trat jedoch die Nachfolgeregelung NIS 2 (EU-Richtlinie 2022/2555über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) in Kraft, die am 18. Oktober 2024 die bisherige Richtlinie ablösen wird. Dies gibt der Bundesregierung eine Frist bis zum 17. Oktober 2024, um die neuen Bestimmungen in nationales Recht umzusetzen.

60 Prozent der betroffenen Unternehmen erfüllen die Vorgaben noch nicht

NIS 2 erweitert nicht nur den Anwendungsbereich auf bislang nicht verpflichtete Unternehmen, sondern erweitert auch das Pflichtenprogramm und etabliert ein neues Aufsichtssystem. Der Aufwand für die Umsetzung ist gewaltig: Laut dem geleakten Referentenentwurf mit dem Entwurf zum neuen BSIG (auf dem Stand nach dem Diskussionspapier) erhöht sich der jährliche (!) Erfüllungsaufwand für die Wirtschaft um 1,65 Milliarden Euro, zudem wird ein einmaliger Aufwand von rund 1,37 Milliarden Euro entstehen. Von den ca. 30.000 potenziell betroffenen Unternehmen treffen lediglich rund 40 Prozent bereits ausreichende Maßnahmen zur Erfüllung der neuen Sicherheitsvorgaben. Der Umsetzungsaufwand ist teils enorm und der dafür zur Verfügung stehende Zeitraum ist verhältnismäßig kurz. Potenziell betroffene Unternehmen sollten zur Umsetzung der neuen Vorgaben bereits jetzt anhand der Vorgaben von NIS 2 und des Entwurfs des Umsetzungsgesetzes prüfen, ob sie den neuen Cybersicherheitsvorschriften unterfallen und welche Maßnahmen sie ergreifen müssen.

Neue Differenzierung: „Besonders wichtige Einrichtungen“ und „Wichtige Einrichtungen“

NIS und BSIG unterscheiden in ihrem Pflichtenprogramm derzeit zwischen „Betreibern kritischer Infrastrukturen“ und „Anbietern digitaler Dienste“. Betreiber kritischer Infrastrukturen müssen eine Kontaktstelle benennen, IT-Störungen oder erhebliche Beeinträchtigungen melden, IT-Sicherheit auf dem „Stand der Technik“ umsetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisen (§§ 8a, 8b BSIG). Das Pflichtenprogramm für Anbieter digitaler Dienste fällt im Vergleich dazu wesentlich geringer aus. Zwar werden auch Anforderungen an die IT-Sicherheit gestellt, es besteht aber beispielsweise keine Pflicht, eine Kontaktstelle zu benennen oder eine Nachweispflicht (§ 8c BSIG).

NIS 2 streicht diese bisherige Unterscheidung und differenziert nur noch zwischen „wesentlichen“ (NIS) / „besonders wichtigen“ (BSIG-E) und „wichtigen Einrichtungen“. Diese Unterscheidung ist aber überwiegend nur hinsichtlich der maximalen Bußgeldhöhe (10 Mio oder bis zu 2 % des weltweiten Jahresumsatzes vs. 7 Mio. oder bis zu 1,4 % des weltweiten Jahresumsatzes) und des Aufsichtssystems (proaktiv vs. reaktiv) relevant. Die zu ergreifenden Maßnahmen, d.h. das durch NIS 2 erweiterte Pflichtenprogramm, sind zukünftig im Grundsatz für alle gleich. Neue Pflichten ergeben sich demnach nicht nur für die Unternehmen, die erstmals durch NIS 2 verpflichtet werden, sondern auch für die, welchen unter NIS als „Anbieter digitaler Dienste“ nur geringere Pflichten auferlegt wurden.

Anwendung von NIS 2 vom Tätigkeitssektor abhängig

Die Zahl der von NIS 2 erfassten Unternehmen hat sich im Vergleich zu NIS massiv erhöht. Die Anwendbarkeit von NIS 2 sollten alle Unternehmen prüfen, die in einem Sektor mit hoher Kritikalität („wesentliche Einrichtung“) oder einem sonstigen kritischen Sektor („wichtige Einrichtung“) tätig sind. Die Bandbreite der gelisteten Sektoren ist äußerst weit: Anhang 1 von NIS 2 listet Sektoren mit hoher Kritikalität auf: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Nach Anhang 2sind sonstige kritische Sektoren Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste und Forschungseinrichtungen.

Regelmäßig unterfallen Unternehmen, die in diesen Sektoren tätig sind, NIS 2, wenn sie 50 oder mehr Mitarbeiter beschäftigen und einen Jahresumsatz oder eine Bilanzsumme von über 10 Millionen Euro haben (Art. 2 Abs. 1, Art. 3 Abs. 1 a) NIS 2). In Ausnahmefällen, beispielsweise für Domain-Registierungsdienste, kann NIS aber auch bei Unternehmen, welche diesen Schwellenwert nicht erreichen, anwendbar sein (Art. 2 Abs. 2, Abs. 3, 4 NIS 2).

Aufgepasst: Praktische Verpflichtung auch für Unternehmen, die nicht NIS 2 unterfallen

Wer nun aufatmet, weil die vorgenannten Kriterien nicht auf sie oder ihn zutreffen, darf sich nicht zu früh freuen: Denn die unter NIS 2 verpflichteten Unternehmen müssen die „Sicherheit der Lieferkette“ gewährleisten und werden ihre Cybersecurityverpflichtungen deshalb regelmäßig an andere Unternehmen weitergeben. Kurz gesagt: Wer für Unternehmen, die unter NIS 2 verpflichtet werden, Dienstleistungen erbringt oder als Zulieferer agiert, muss sich ggf. darauf einstellen, selbst Vorgaben von NIS 2 einhalten zu müssen.

Registrierungspflicht für besonders wichtige und wichtige Einrichtungen

Eine Neuerung hinsichtlich des Pflichtenprogramms betrifft die Registrierungspflicht: Anders als unter NIS müssen sich unter NIS 2 alle Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik spätestens innerhalb von drei Monaten registrieren (§ 32 BSIG-E). Die Registrierung erfolgt unter Angabe verschiedener Unternehmensinformationen, u.a. unter Angabe des Sektors und Kontaktdaten. Unternehmen, die zum Zeitpunkt des planmäßigen Inkrafttretens des BSIG-E zum 17. Oktober 2024 ihre Dienste bereits anbieten, müssen dieser Registrierungspflicht somit spätestens bis zum 17. Januar 2025 nachgekommen sein. Zuwiderhandeln stellt eine bußgeldbewährte Ordnungswidrigkeit dar.

Revidierte Meldepflichten

Eine weitere wesentliche Neuerung betrifft die Meldepflichten bei Sicherheitsvorfällen. Zukünftig sind bei erheblichen Sicherheitsvorfällen mindestens drei Meldungen abzugeben (Art. 23 Abs. 4 NIS 2, § 31 BSIG-E):

• Erstmeldung unverzüglich bzw. spätestens innerhalb von 24 Stunden nach Kenntniserlangung mit der Angabe, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
• Meldung über den Sicherheitsvorfall unverzüglich bzw. spätestens innerhalb von 72 Stunden nach Kenntniserlangung mit Bestätigung oder Aktualisierung der Erstmeldung, einer ersten Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie ggf. Angabe der Kompromittierungsindikatoren; und
• Abschlussmeldung spätestens einen Monat nach Übermittlung der Meldung über den Sicherheitsvorfall mit einer Beschreibung des Sicherheitsvorfalls und Angaben zur zugrunde liegenden Ursache.

Pflicht zum Ergreifen von technischen, betrieblichen und organisatorischen Maßnahmen

Praktisch den größten Aufwand wird die Verpflichtung von Unternehmen mit sich bringen, technische, betriebliche und organisatorische Maßnahmen zu ergreifen, um Störungen und Sicherheitsvorfälle zu verhindern (Art. 21 Abs. 1 NIS 2, § 30 Abs. 1 BSIG-E). Alle Unternehmen müssen bestimmte Mindestanforderungen erfüllen, wie beispielsweise Konzepte und Verfahren in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, für den Einsatz von Kryptografie und Verschlüsselung oder für die Zugriffskontrolle und Management von Anlagen (Art. 21 Abs. 2 NIS 2, § 30 Abs. 4 BSIG-E). Welche Maßnahmen von einem Unternehmen darüber hinaus ergriffen werden müssen, hängt aber auch von weiteren möglichen Vorgaben der EU oder der Mitgliedstaaten, von dem Sektor des Unternehmens und von der konkreten Tätigkeit des Unternehmens ab. Es ist deshalb mit ausreichend Vorlauf und unter Berücksichtigung der jeweiligen Umstände des Einzelfalls zu prüfen, ob die ergriffenen technischen, betrieblichen und organisatorischen Maßnahmen den Vorgaben von NIS 2 und dem BSIG-E entsprechen oder welche zusätzlichen Maßnahmen ergriffen werden müssen.

Haben Sie Fragen zur Anwendbarkeit von NIS 2 auf Ihr Unternehmen oder zu den sich daraus ergebenden Pflichten? Aitava ist eine innovative Boutique Law Firm für Künstliche Intelligenz und IT-Recht. Wir beraten umfassend, interdisziplinär und effizient. Sprechen Sie uns gerne an. Wir sind bereit.