NIS2-Richtlinie – neue Cybersicherheitsanforderungen für Unternehmen

Die neue NIS2-Richtlinie („Network and Information Security Directive“) ist am 16.01.2023 in Kraft getreten und muss bis zum 17.10.2024 in deutsches Recht umgesetzt werden. Die neue Richtlinie zielt darauf ab, in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sicherzustellen. Da cybersicherheitsrelevante Vorfälle immer häufiger auftreten, komplexer werden und mit schwerwiegenderen Folgen verbunden sind, erweitert die neue NIS2-Richtlinie den Anwendungsbereich und schärft die Anforderungen an Unternehmen.

Welche Anforderungen stellt die neue Richtlinie?

Die neue Richtlinie soll erreichen, dass die betroffenen Unternehmen verpflichtet werden, geeignete und verhältnismäßige Maßnahmen zu treffen, um die Risiken für die Sicherheit der verwendeten Netz- und Informationssysteme zu beherrschen. Geeignete Cyber-Risiko-Management-Systeme sollen die betroffenen Unternehmen in die Lage versetzen, die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten. Zu solchen Risikomanagementmaßnahmen gehören zum Beispiel Konzepte für Zugriffskontrollen, Verschlüsselungen und Multi-Faktor-Authentifizierungen, Mechanismen zur Sicherung der Lieferkette und Schulungen im Bereich der Cybersicherheit. Der Umfang der konkreten Maßnahmen hängt dabei von dem Ausmaß der Risikoexposition des betroffenen Unternehmens, der Größe des betroffenen Unternehmens sowie der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere ab.

Bei Verstößen gegen die Richtlinie können Bußgelder in Höhe von bis zu 10 Millionen Euro oder – je nach Art des betroffenen Unternehmens – 7 Millionen Euro oder 2 % bzw. 1,4 % des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahrs drohen. Außerdem sollen die Leitungsorgane der betroffenen Unternehmen für Verstöße verantwortlich gemacht werden können.

Wer ist betroffen?

Die NIS2-Richtlinie betrifft bestimmte private Einrichtungen aus 18 verschiedenen Sektoren, wobei zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren zu unterscheiden ist.

Folgende Bereiche gehören beispielsweise zu den Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen und Gesundheitswesen. Als sonstige kritische Sektoren gelten u.a. Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitende Gewerbe bzw. Herstellung von Waren sowie Anbieter digitaler Dienste.

Die nationalen Gesetze, welche die Richtlinie umsetzen, sollen grundsätzlich auf mittlere Unternehmen (50 bis 250 Beschäftigte + Jahresumsatz von 10 bis 50 Millionen Euro oder größere Bilanz als 43 Millionen Euro) sowie auf große Unternehmen zielen.

Können trotzdem auch kleine Unternehmen oder Unternehmen aus anderen Sektoren betroffen sein?

Jedenfalls mittelbar kann sich die neue Richtlinie bzw. deren Umsetzung in deutsches Recht auch auf die verschiedensten Unternehmen auswirken. Denn die Richtlinie sieht vor, dass die unmittelbar betroffenen Unternehmen ihre Risikomanagementmaßnahmen im Bereich der Cybersicherheit auch in die Verträge mit ihren direkten Lieferanten oder Dienstleistern einbeziehen. So dürfte es zukünftig nicht selten vorkommen, dass betroffene Unternehmen ihre Vertragspartner ebenfalls zur Gewährleistung eines hohen Cyber-Sicherheitsniveaus verpflichten werden und hierauf im Rahmen von Vertragsverhandlungen auch nicht verzichten können. Hierdurch werden die Vertragspartner der betroffenen Unternehmen mittelbar verpflichtet, geeignete Risikomanagementmaßnahme zu treffen.

Ausblick

In weniger als 3 Monaten muss die NIS2-Richtlinie in deutsches Recht umgesetzt sein. Da Unternehmen keine Benachrichtigung – etwa von der zuständigen Aufsichtsbehörde – erhalten, ob sie von der Richtlinie bzw. dem deutschen Umsetzungsgesetz betroffen sind, sollten mittlere sowie große Unternehmen bereits jetzt prüfen, ob sie in den Anwendungsbereich fallen. Darüber hinaus sollten auch kleinere Unternehmen ihre Geschäftsbetriebe hinsichtlich möglicher Risikofaktoren analysieren und entsprechende Cyber-Sicherheitskonzepte entwickeln. Dies dient nicht nur der Stärkung der eigenen Position im Rahmen von Vertragsverhandlungen, sondern gerade auch dem Schutz des eigenen Unternehmens vor Cyber-Angriffen.

Fortsetzung folgt, sobald das deutsche Umsetzungsgesetz verabschiedet ist.