Die NIS-2 Richtlinie - Neue Cybersicherheitsanforderungen für Unternehmen

Die Uhr tickt: Bis zum 17. Oktober 2024 müssen die Mitgliedsstaaten der Europäischen Union (EU) die neu gefasste Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-2 Richtlinie) in nationales Recht umsetzen. Auch wenn derzeit noch nicht absehbar ist, ob die Umsetzung in Deutschland tatsächlich fristgerecht erfolgen wird, steht fest, dass betroffene Unternehmen die Anforderungen in naher Zukunft umsetzen müssen. Da die Umsetzung aufwendig sein kann und die Konsequenzen für Unternehmen und Management bei Nichteinhaltung gravierend sein können, gilt es, keine Zeit mehr zu verlieren.

Stefan Hessel gibt in diesem Gastbeitrag einen Überblick über die NIS-2-Richtlinie und weiß genau, was Unternehmen jetzt tun müssen.

Schon der Anwendungsbereich der neu gefassten Richtlinie wirft Fragen auf. Dabei scheint die Sache auf den ersten Blick klar zu sein: Die NIS-2 Richtlinie enthält Anhänge, in denen die Sektoren und Arten von Einrichtungen aufgeführt sind, die in den Anwendungsbereich der Richtlinie fallen. Außerdem gilt sie nur für Unternehmen, die die Schwelle zum mittleren Unternehmen überschreiten. Zur Bestimmung der Unternehmensgröße verweist die Richtlinie auf die Empfehlung der Kommission betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen vom 6. Mai 2003 (kurz: KMU-Definition). Danach gelten Unternehmen als mittlere Unternehmen, wenn Sie 50 oder mehr Personen beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Mio. EUR erzielen.

Auf den zweiten Blick gestaltet sich die Sache komplizierter. Die Arten von Einrichtungen, die nach den Anhängen in den Anwendungsbereich fallen sollen, sind zum Teil sehr weit gefasst. So reicht es aus, Energieerzeuger zu sein. Energie erzeugt, so die einschlägige Richtlinie (EU) 2019/944 über den Elektrizitätsbinnenmarkt, jede natürliche oder juristische Person, die Strom erzeugt. Fällt also jedes Unternehmen, das nach der KMU-Definition die Schwelle zum mittleren Unternehmen überschreitet, als Energieerzeuger in den Anwendungsbereich der NIS-2 Richtlinie, sobald es eine Photovoltaikanlage auf dem Dach hat? Eine systematische Durchsicht der Anhänge der NIS-2 Richtlinie spricht für diesen Befund. In einigen Bestimmungen wird explizit von Anbietern gesprochen, was begrifflich voraussetzt, dass eine Dienstleistung oder ein Dienst gerade Dritten zur Verfügung gestellt wird. Demgegenüber hat sich der Normgeber im Energiebereich für den Begriff der Erzeugung und nicht des Anbietens entschieden. Darüber hinaus kennt die NIS-2 Richtlinie im Einzelfall eine Beschränkung auf die Haupttätigkeiten eines Unternehmens: Im Bereich der Abfallentsorgung sind in Anhang II der NIS-2 Richtlinie ausdrücklich Unternehmen ausgenommen, bei denen die Abfallentsorgung nicht die Haupttätigkeit darstellt. Daraus folgt im Umkehrschluss, dass bei den anderen Arten von Einrichtungen Nebentätigkeiten gerade nicht ausgenommen sein sollen.

Da die Definition der Einrichtung auf die juristische Person abstellt, sollten Unternehmen zudem beachten, dass eine ggf. vorhandene IT-Tochtergesellschaft als Anbieterin von Rechenzentrumsdiensten oder Cloud-Computing-Diensten möglicherweise die Vorgaben der Richtlinie zu beachten hat. Unternehmen sollten sorgfältig prüfen, ob sie aufgrund der massiven Ausweitung des Anwendungsbereichs nunmehr von der Richtlinie erfasst werden. Auch wenn es auf den ersten Blick nicht danach aussieht, können völlig untergeordnete Tätigkeiten, wie eine Photovoltaik-Anlage, ein Unternehmen in den Anwendungsbereich katapultieren.

Kern der Verpflichtungen ist die Durchführung einer Bewertung der Risiken für die Cybersicherheit und geeignete Maßnahmen zum Risikomanagement unter Berücksichtigung des Standes der Technik. Dabei können auch internationale Normen und Standards, wie z.B. die ISO 27001, berücksichtigt werden. Der aktuelle Referentenentwurf des deutschen Umsetzungsgesetzes sieht zudem eine Dokumentationspflicht der getroffenen Maßnahmen für alle betroffenen Unternehmen vor. Eine aktive Nachweispflicht gegenüber Behörden besteht hingegen nur für Betreiber kritischer Anlagen und wesentliche Einrichtungen.

Die erforderlichen Maßnahmen sind vielfältig. Die Richtlinie nennt zehn Bereiche, in denen Unternehmen auf jeden Fall aktiv werden müssen. Dazu gehören naheliegende Maßnahmen wie Zugangs- und Zugriffskontrollkonzepte, Cybersicherheitsschulungen und Verfahren zum Einsatz von Kryptografie und ggf. Verschlüsselung. Aber auch die Sicherheit in der Lieferkette wird explizit erwähnt. Das bedeutet, dass Unternehmen nicht nur für sich selbst verantwortlich sind, sondern auch dafür sorgen müssen, dass ihre gesamte Lieferkette nicht angreifbar ist. Bei der Umsetzung dieser Anforderung wird es insbesondere auf eine geschickte Vertragsgestaltung ankommen, die Lieferanten und Dienstleistern entsprechende Pflichten auferlegt. Ausdrücklich müssen die Mitgliedsstaaten zudem Leitungspersonen verpflichten, an Schulungen zur Cybersicherheit teilzunehmen.

Darüber hinaus sieht die NIS-2 Richtlinie Informationspflichten vor. Es gibt ein fein abgestuftes System von Meldepflichten für erhebliche Sicherheitsvorfälle mit sehr kurzen Fristen. Unternehmen müssen die neuen Meldepflichten in ihren Incident Response Prozessen berücksichtigen und mit anderen Meldepflichten, z.B. nach Art. 33 DSGVO, verzahnen, um im Ernstfall gewappnet zu sein. Auch gegenüber Dritten, z.B. Kunden, bestehen Unterrichtungspflichten bei Sicherheitsvorfällen, insbesondere zu erforderlichen Abhilfemaßnahmen.

Die Konsequenzen bei Verstößen können sowohl für die Unternehmen als auch für die Geschäftsleitungen gravierend sein. Die NIS-2 Richtlinie verpflichtet die Mitgliedstaaten ausdrücklich, „abschreckende“ Geldbußen für Verstöße vorzusehen. Die von den Mitgliedsstaaten vorzusehenden Höchstbeträge müssen bei mindestens 10 Mio. Euro für wesentliche Anlagen und bei 7 Mio. Euro für wichtige Anlagen liegen. Dabei sieht der aktuelle Referentenentwurf des deutschen Umsetzungsgesetzes auch eine persönliche Haftung der Geschäftsführung vor. Als ultima ratio können Geschäftsführer wesentlicher Einrichtungen zudem durch die Aufsichtsbehörden vorübergehend von der Wahrnehmung von Leitungsaufgaben ausgeschlossen werden. Unternehmen sollten daher dringend prüfen, ob sie in den Anwendungsbereich der NIS-2 Richtlinie fallen und im Zweifelsfall den sichersten Weg wählen und die Vorgaben umsetzen.