Ab dem 16. Januar 2023 ist die Richtlinie (EU) 2022/2555, bekannt als „Network and Information Security Directive 2“ oder „NIS 2 Directive“, wirksam und muss bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden.
Die Zielsetzung der Richtlinie besteht darin, die Cybersicherheit innerhalb der gesamten Europäischen Union zu stärken. Hackerangriffe stellen nicht nur für einzelne Unternehmen eine erhebliche finanzielle Bedrohung dar, sondern bergen auch das Potenzial für wirtschaftliche und soziale Störungen, wie den Ausfall kritischer Internetknotenpunkte, Angriffe auf Ampelsysteme oder Beeinträchtigungen von Krankenhausbetrieben.
Zusätzlich besteht das Risiko (wirtschaftlicher) Spionage, wenn unzureichend geschützte IT-Systeme den Zugriff auf sensible Informationen ermöglichen.
Angesichts der erkannten Mängel in bestehenden Cybersicherheitsvorschriften, die sich hauptsächlich auf kritische Infrastrukturen und digitale Dienste konzentrieren, hat die EU reagiert, indem sie die Vorschriften verschärft hat. Dies umfasst die Einführung eines umfassenden Katalogs von Mindestsicherheitsmaßnahmen und die Erweiterung der verpflichteten Sektoren von 7 auf 18.
Die NIS 2-Richtlinie und das entsprechende Umsetzungsgesetz gelten für Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro. Die betroffenen Sektoren umfassen unter anderem Bankwesen, digitale Infrastruktur, Anbieter digitaler Dienste, Produktion, Lebensmittel, Energie, Chemie, Transport, Gesundheitswesen, ICT-Dienstleistungsmanagement (B2B), Post- und Kurierdienste, Forschung, öffentliche Verwaltung, Trink- und Abwasser, Abfallwirtschaft und Raumfahrt. Die Unternehmensgröße allein ist nicht das ausschlaggebende Kriterium; Verpflichtungen erstrecken sich auch auf Unternehmen basierend auf ihren Aufgaben oder Dienstleistungen, wie bestimmte IT-Dienstleister.
Den Mitgliedstaaten steht es frei, den Anwendungsbereich der Richtlinie auf Unternehmen auszudehnen, die bei einem Ausfall ihrer Dienste Risiken für die Gesellschaft oder die Wirtschaft darstellen.
Alle unter die NIS 2-Richtlinie fallenden Unternehmen sind verpflichtet, technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netzwerk- und Informationssysteme zu bewältigen und die Auswirkungen möglicher Vorfälle zu verhindern oder zu minimieren.
Ein wesentlicher Aspekt ist die regelmäßige Schulung, bei der die erforderlichen Maßnahmen anhand der Wahrscheinlichkeit und potenziellen Auswirkungen eines Sicherheitsvorfalls auf das Unternehmen, die Gesellschaft und die Wirtschaft bewertet werden. Die Richtlinie betont die Bedeutung der Dokumentation wirksamer Maßnahmen, darunter die Identifizierung und Vermeidung von Cybersicherheitsrisiken durch Zugriffskontrollen und Verschlüsselungstechniken. Mitarbeiter-Schulungen sind von entscheidender Bedeutung, um das erforderliche Wissen und die Fähigkeiten zur Identifizierung und Abwehr von Cybersicherheitsrisiken zu vermitteln. Umfassende Melde- und Berichtspflichten begleiten diese Maßnahmen im Falle eines Sicherheitsvorfalls, wobei ein besonderer Fokus auf der Sicherstellung der Sicherheit innerhalb der Lieferkette liegt.
Unternehmen, die als wesentliche Einrichtungen definiert sind, müssen nachweislich die Wirksamkeit ihrer Maßnahmen proaktiv demonstrieren und können von zuständigen Behörden ad hoc auf die Einhaltung der NIS 2 überprüft werden.
CEOs sind nun verpflichtet, das Cybersicherheitsrisikomanagement zu überprüfen und anzupassen, die Umsetzung und Einhaltung zu überwachen. Dies erfordert den Erwerb ausreichender Kenntnisse über Cyber-Risiken für eine genaue Bewertung und effektive Kommunikation mit IT-Teams aufgrund der sich entwickelnden Natur von Cyber-Risiken.
Verstöße gegen die Pflichten unterliegen Sanktionen, wobei Geldstrafen und die mögliche Aussetzung von Betriebslizenzen je nach Klassifizierung des Unternehmens verhängt werden können. CEOs haften auch persönlich für Verstöße gegen ihre unübertragbaren Pflichten, insbesondere bei Produktionsstopps.
Der Digital Operational Resilience Act (Verordnung [EU] 2022/2554; „DORA“) ergänzt diese Bemühungen und zielt speziell darauf ab, die digitale Widerstandsfähigkeit für nahezu alle Unternehmen des Finanzsektors zu erhöhen. Die Bestimmungen von DORA haben Vorrang vor denen der NIS 2-Richtlinie für diese Finanzsektor-Unternehmen.
Deutsche Gesetzesentwürfe deuten darauf hin, dass Finanzsektor-Unternehmen, die bereits DORA unterliegen, aus dem Anwendungsbereich des NIS 2-Umsetzungsgesetzes ausgeschlossen werden sollen.
Die Bedeutung und Auswirkungen der NIS 2-Richtlinie, insbesondere hinsichtlich der persönlichen Haftung von CEOs, dürfen nicht unterschätzt werden. Der deutsche Gesetzgeber hat bis zum 17. Oktober 2024 Zeit, die Richtlinie umzusetzen, und betont die Notwendigkeit eines frühzeitigen Beginns, um bestehende Cybersicherheitsmaßnahmen zu überprüfen, NIS 2-Konformität sicherzustellen, Sicherheitslücken zu schließen und NIS 2-Konformität detailliert zu dokumentieren.
Obwohl die Anpassung von Verträgen mit Geschäftspartnern innerhalb der Lieferkette an NIS 2 erhebliche Kosten verursachen kann, unterstreichen die potenziellen Geldbußen für Nicht-Konformität und die höheren Kosten bei erfolgreichen Angriffen auf Netzwerk- und Informationssicherheit die Bedeutung proaktiver Maßnahmen.