NIS-2-Richtlinie: Handlungsbedarf für digitale Infrastrukturdienste

NIS-2-Richtlinie: Handlungsbedarf für digitale Infrastrukturdienste

6. März 2024-

© Gorodenkoff / shutterstock.com


Die NIS-2-Richtlinie der EU (RL (EU) 2022/2555) markiert einen entscheidenden Schritt in Sachen Cybersicherheit innerhalb der Mitgliedstaaten. Mit ihrem Inkrafttreten am 16. Januar 2023 hat sie den Anwendungsbereich der ursprünglichen NIS-Richtlinie von 2016 deutlich erweitert, um das EU-weite Cybersicherheitsniveau weiter anzuheben. Hierzu wurden die Anforderungen an die Cybersicherheit nicht nur für Betreiber kritischer Infrastrukturen (KRITIS), sondern auch für eine breitere Palette von Unternehmen, einschließlich mittelgroßer Unternehmen, verschärft. In Deutschland betrifft dies schätzungsweise 30.000 Unternehmen.

Die notwendige nationale Umsetzung der Richtlinie in Deutschland in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) lässt allerdings noch auf sich warten. Die Umsetzungsfrist läuft jedoch bereits zum 17.10.2024 aus. Mit einer Verkündung des fertigen Gesetzes ist wohl im April 2024 zu rechnen, sodass die neuen Regelungen pünktlich im Oktober in Kraft treten können.

Wir fassen im Folgenden zusammen, was bisher bekannt ist, und werfen dabei insbesondere einen Blick auf die von der NIS-2-Richtlinie betroffenen Anbieter digitaler Infrastrukturdienste.

1. Wer ist von NIS-2-RL betroffen?

Auf welche Unternehmen die neuen Regelungen Anwendung finden, bestimmt in erster Linie der nationale Gesetzgeber im Rahmen des Umsetzungsgesetzes. Aufgrund des noch laufenden Gesetzgebungsverfahrens können hierzu noch keine abschließenden Informationen gegeben werden. Der Anwendungsbereich wird sich jedoch an der EU-Richtlinie orientieren müssen.

Die beiden wesentlichen Faktoren, die über die Anwendbarkeit der NIS-2-Richtlinie entscheiden, sind

  • die Zugehörigkeit des Unternehmens zu einem bestimmten Sektor sowie 
  • eine bestimmte Unternehmensgröße. 

Zudem ist die Richtlinie grundsätzlich nur auf Unternehmen anwendbar, die Dienste in der EU erbringen oder Ihre Tätigkeit dort ausüben.

Eine vollständige Auflistung der betroffenen Sektoren findet sich im Anhang der Richtlinie. Hierzu zählen verschiedene essenzielle Infrastrukturunternehmen wie Stromversorger, Verkehrsunternehmen oder Kreditinstitute. Aber auch Anbieter von digitalen Infrastrukturdiensten sind betroffen. Hierzu zählen z.B. 

  • Betreiber von Internet-Knoten, 
  • DNS-Dienstanbieter, 
  • TLD-Namenregister, 
  • Anbieter von Cloud-Computing-Diensten und 
  • Anbieter von Rechenzentrumsdiensten. 

Die genaue Definition dieser Begriffe wird letztlich der finalen Fassung des Umsetzungsgesetzes zu entnehmen sein. Zuletzt hat der Bundesverband der Deutschen Industrie (BDI) in einer Stellungnahme die Präzisierung der Definitionen gefordert. Insbesondere könne der Begriff “Rechenzentrumsdienste” ansonsten auch alle Arten von Hosting-Diensten umfassen.

Das weitere wesentliche Anwendungskriterium der NIS-2-Richtlinie ist die Unternehmensgröße. Die Regelungen gelten bereits für Unternehmen mittlerer Größe, wobei sich die geltenden Schwellenwerte aus der KMU-Definition der EU ergeben. Ein Unternehmen mittlerer Größe weist demnach folgende Kennzahlen auf:

  • 50 – 249 Beschäftigte und 
  • 10 – 50 Mio. Euro Jahresumsatz oder bis zu 43 Mio. Euro Jahresbilanzsumme.

Werden diese Schwellenwerte überschritten, handelt es sich um ein “großes” Unternehmen.

Für Unternehmen von besonderer Bedeutung (z.B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen) kommt es dagegen nicht auf die Unternehmensgröße an. Die NIS-2-Richtlinie ist für diese Unternehmen also auch bei Unterschreitung der Schwellenwerte anwendbar. 

2. Welche Pflichten gelten für betroffene Unternehmen?

Die NIS-2-Richtlinie verlangt von betroffenen Unternehmen die Umsetzung verschiedener Maßnahmen, die vor allem auf eine Prävention gegen Sicherheitsvorfälle wie z.B. Hackerangriffe abzielen.

Der Pflichtenkatalog ist für alle betroffenen Unternehmen weitestgehend gleich, unterscheidet bezüglich der Intensität der erforderlichen Maßnahmen aber zwischen verschiedenen Klassen von Unternehmen. Der Referentenentwurf des Umsetzungsgesetzes differenziert diesbezüglich nach “kritischen Anlagen” sowie “wichtigen” und “besonders wichtigen” Einrichtungen. 

Folgende Pflichten für betroffene Unternehmen sieht der Entwurf des NIS-2-Umsetzungsgesetzes vor:

  • Risikomanagementmaßnahmen,
  • Meldepflichten bei einem Sicherheitsvorfall,
  • Registrierungspflichten,
  • Nachweispflichten über die Umsetzung von Maßnahmen,
  • Unterrichtungspflichten gegenüber den Empfängern des jeweiligen Dienstes,
  • Billigungs-, Überwachungs- und Schulungspflichten für Geschäftsleiter,
  • Einsatz von Systemen zur Angriffserkennung.

Bezüglich der Meldepflichten sieht die NIS-2-Richtlinie eine Neuerung in Form eines nun dreistufigen Meldungssystems vor. Im Falle eines Sicherheitsvorfalls gelten folgende Meldepflichten:

  • Erstmeldung innerhalb von 24 Stunden, 
  • Bestätigungs- und/oder Aktualisierungsmeldung innerhalb von 72 Stunden,
  • Abschlussmeldung spätestens einen Monat nach der Bestätigungs- und/oder Aktualisierungsmeldung.
3. Überwachung und Sanktionen

Die zuständige Aufsichtsbehörde für die Überwachung der Pflichten wird das Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Dem BSI werden verschiedene Befugnisse eingeräumt, um die Einhaltung der Pflichten zu überprüfen und ggf. durchzusetzen:

  • Durchführung von Vor-Ort-Überprüfungen, Anordnung von Audits,
  • Anforderung von Dokumenten und Nachweisen,
  • Anordnung gezielter Maßnahmen zur Behebung von Mängeln,
  • Veröffentlichung von Warnungen über Verstöße bei den betroffenen Unternehmen,
  • Einsetzung eines Überwachungsbeauftragten, 
  • vorübergehende Aussetzung der Genehmigung einer Einrichtung, 
  • vorübergehendes Untersagen der Wahrnehmung von Leitungsaufgaben durch das Management.

Zudem kann das BSI Bußgelder verhängen, wobei wegen der Höhe nach der Einrichtungskategorie und Art des Verstoßes differenziert wird.

Für besonders wichtige Einrichtungen sieht das Gesetz Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Gesamtumsatzes des vergangenen Geschäftsjahres vor. Für wichtige Einrichtungen beträgt das maximale Bußgeld noch 7 Mio. EUR oder 1,4 % des Gesamtumsatzes.

Besonders heikel: Auch die Geschäftsführung der betreffenden Unternehmen haftet mit ihrem Privatvermögen. Das Bußgeld beträgt hier maximal 2 % des weltweiten Jahresumsatzes des Unternehmens.

4. Handlungsempfehlung

Angesichts der erweiterten Anforderungen der NIS-2-Richtlinie und des baldigen Inkrafttretens des Umsetzungsgesetzes sollten betroffene Unternehmen schnellstmöglich proaktiv handeln, um ihr aktuelles Cybersicherheitsniveau zu überprüfen und gegebenenfalls anzupassen. Dazu kann z.B. eine Investition in entsprechende Technik oder eine Schulung des Personals erforderlich sein. Insbesondere sollten Maßnahmenpläne aufgestellt werden, um im Falle eines Sicherheitsvorfalls die Meldefristen einhalten zu können. Kommen Sie wegen einer konkreten rechtlichen Beratung gerne auf uns zu.

Aufgrund des noch laufenden Gesetzgebungsverfahrens muss die finale Ausgestaltung des NIS-2-Umsetzungsgesetzes abgewartet werden, bevor verbindliche Aussagen zum Anwendungsbereich und zu den konkreten Unternehmenspflichten möglich sind. Über die rechtliche Entwicklung halten wir Sie auf dem Laufenden.

Ihr Ansprechpartner

Stefan Kutzner
Rechtsanwalt
info@hb-ecommerce.eu

Nach oben