Einleitung
Mit fortschreitender Digitalisierung und zunehmenden globalen Konflikten mehren sich auch die Cyber-Risiken für Europa. Erstmals hatte die EU hierauf im Jahr 2016 mit dem Erlass einer EU-weiten Richtlinie, nämlich der NIS-Richtlinie reagiert. Hierdurch sollte eine Vereinheitlichung der Vorgaben zur Cybersicherheit innerhalb der EU erreicht werden.
Mit der neuen NIS2-Richtlinie soll das Niveau der Cybersicherheit in der EU weiter erhöht werden. Der Beitrag beschäftigt sich mit den Herausforderungen, welchen sich Unternehmen aufgrund der neuen NIS2-Richtlinie gegenübersehen.
Hintergrund
Im Jahr 2016 wurde die NIS-Richtlinie , also die Richtlinie “über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union”, erlassen. In dieser Richtlinie werden Betreiber wesentlicher Dienste definiert, welche aufgrund der Erbringung kritischer Dienste bestimmte IT-Sicherheitsanforderungen erfüllen mussten. Hierzu gehören etwa Unternehmen aus den Bereichen Energie, Verkehr oder Gesundheitswesen. Weitere Sicherheitsanforderungen werden an Anbieter digitaler Dienste, also Online-Marktplätze oder Suchmaschinen, gestellt. Vorgegeben werden bestimmte technische und organisatorische Maßnahmen, eine Prüfung durch externe qualifizierte Stellen sowie die Meldung von Sicherheitsvorfällen.
Anders als Verordnungen (wie z.B. die Datenschutz-Grundverordnung – DSGVO) wirken Richtlinien der EU nicht unmittelbar, sondern bedürfen der Umsetzung in nationales Recht. In Deutschland war zum Zeitpunkt des Erlasses der NIS-Richtlinie bereits das IT-Sicherheitsgesetz in der Fassung von 2015 in Kraft. Daher war in Deutschland ein Grundgerüst für die Erfüllung der Vorgaben der NIS-Richtlinie bereits vorhanden. Allerdings war für gewisse Anforderungen aus der NIS-Richtlinie eine weitere Anpassung des IT-Sicherheitsgesetzes erforderlich (z.B. erweiterter Anwendungsbereich, weitere Meldepflichten).
Neuerungen durch die NIS2-Richtlinie
Mit der NIS2-Richtlinie, der Richtlinie “über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union”, wird der Anwendungsbereich gegenüber der NIS-Richtlinie nochmals erheblich erweitert.
Zunächst einmal unterscheidet die NIS2-Richtlinie zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Zudem werden weitere Sektoren, etwa die öffentliche Verwaltung, in den Anwendungsbereich einbezogen. Weiterhin werden neben den bereits durch die NIS-Richtlinie einbezogenen Anbietern digitaler Dienste auch soziale Netzwerke und weitere digitale Dienste und Plattformen einbezogen.
Während die NIS-Richtlinie hauptsächlich auf größere Unternehmen abzielte, trifft die NIS2-Richtlinie auch viele mittlere und kleinere Unternehmen. Grundsätzlich sind von der NIS2-Richtlinie Unternehmen kaum von der Richtlinie betroffen, wenn sie weniger als 50 Mitarbeiter haben und einen Jahresumsatz von 10 Millionen Euro nicht überschreiten. Es gibt jedoch Unternehmen, die unabhängig von der Größe zu den kritischen Diensten gerechnet werden, etwa im Bereich der digitalen Infrastruktur.
Gravierende Sicherheitsvorfälle müssen gemäß der NIS2-Richtlinie den zuständigen nationalen Behörden gemeldet werden. Für einen vorläufigen Bericht ist eine Frist von 24 Stunden vorgesehen. Ein ausführlicher Bericht mit einer Analyse muss innerhalb von 72 Stunden abgegeben werden.
Auch im Übrigen erhöht die NIS2-Richtlinie die Anforderungen an der IT-Sicherheit der Unternehmen.
Erhebliche Verschärfungen gibt es auch bei der Höhe möglicher Bußgelder. Maximal können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Konzernjahresumsatzes verhängt werden.
Umsetzung in Deutschland
In Deutschland wird das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ die Vorgaben ins nationale Recht überführen. Bis spätestens 17. Oktober 2024 muss die Richtlinie in den EU-Mitgliedstaaten umgesetzt sein. Es ist davon auszugehen, dass das Gesetz in der ersten Jahreshälfte 2024 verabschiedet wird.
Während der Gesetzgeber somit die Frist aller Voraussicht nach halten wird, sieht die Lage bei den betroffenen Unternehmen vermutlich weniger gut aus. Insbesondere die Ausweitung des Anwendungsbereichs dürfte dazu führen, dass viele Unternehmen von der eigenen Betroffenheit überrascht werden. Auch dürfte die Zeit bereits jetzt knapp werden, um alle Anforderungen zu erfüllen. Dies gilt jedenfalls dann, wenn das Thema IT-Sicherheit bisher eher ein Schattendasein im Unternehmen gefristet hat.
Fazit
Die Situation ähnelt der Situation vor dem Inkrafttreten der DSGVO im Jahr 2018. Auch hier wurde bei vielen Unternehmen erst wenige Monate oder Wochen vor dem Inkrafttreten mit der Umsetzung begonnen. Dies führte zu reichlich Panik, hektischer Betriebsamkeit und erheblichen Umsätzen bei entsprechend spezialisierten Anwaltskanzleien und Beratungsunternehmen.
Es kann davon ausgegangen werden, dass sich dies teilweise wiederholen wird. Allerdings bestehen mit dem Inkrafttreten der DSGVO nun aus Erfahrungswerte. Und diese dürften eher etwas beruhigend wirken. Denn auch bei der DSGVO sind die befürchteten Maximalbußgelder zum größten Teil ausgebliben. Vielmehr sind die Aufsichtsbehörden anfangs mit Bedacht vorgegangen und haben erst mit der Zeit den Druck zur Maßnahmenumsetzung erhöht. Mit einer vergleichbaren Schonfrist wird, abhängig von der Erheblichkeit der Verstöße, wieder zu rechnen sein, auch wenn man sich hierauf natürlich nicht verlassen kann.
Ein weiterer Unterschied liegt in den befürchteten Auswirkungen für die Unternehmen. Während der Datenschutz außerhalb von Bußgeldern in erster Linie ein Reputationsrisiko darstellt, gibt es im Bereich der IT-Sicherheit existentielle Gefahren aufgrund von Hacker-Angriffen. Beispiele von über Wochen und Monate nicht arbeitsfähigen Behörden und Unternehmen sind laufend in der Presse. Wenn dieses Risiko nicht dazu führt, die IT-Sicherheit im Unternehmen zu stärken, wird die Angst vor Bußgeldern auch nur selten zu einem Umdenken führen.
Foto erstellt mit DALL-E 3