Auswirkungen der NIS-2-Richtlinie auf Unternehmen

Die Bedrohung durch Cyberangriffe ist so hoch wie noch nie. Nicht mehr nur große finanzstarke Unternehmen werden zum Opfer von Cyberkriminalität, sondern die Angreifer nehmen zunehmend kleinere und mittlere Betriebe ins Visier – es gibt kein Unternehmen mehr, das für die Cyber Kriminellen nicht interessant wäre. Um der gestiegenen Bedrohungslage durch Cyberangriffe Rechnung zu tragen hat die EU die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (kurz „NIS-2-Richtlinie“) verabschiedet.

Die Richtlinie legt verschiedene Maßnahmen fest, um in der gesamten EU ein einheitlich hohes Cybersicherheitsniveau sicherzustellen. Es handelt sich um die Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016, die bereits zum Ziel hatte, wichtige Einrichtungen vor Cyberangriffen zu schützen. Der Anwendungsbereich der NIS-2- Richtlinie wurde allerdings stark erweitert.

Die NIS-2-Richtlinie muss bis Mitte Oktober 2024 in deutsches Recht umgesetzt werden. Dann werden bis zu 30.000 Unternehmen in Deutschland mit einer ganzen Reihe neuer Pflichten konfrontiert, deren Verletzung Schadensersatzansprüche und Bußgelder nach sich ziehen kann. Nach einer Umfrage eines IT-Sicherheitsunternehmens haben dennoch 36 Prozent der befragten Unternehmensentscheider noch nie von der NIS-2-Richtlinie gehört, weitere 20 Prozent der Befragten kennt den Inhalt der Richtlinie nicht.

Diese Unternehmen müssen sich kümmern
Ob ein Unternehmen von der NIS-2-Richtlinie betroffen ist, hängt maßgeblich von der Größe des Unternehmens und der Branche, in dem das Unternehmen tätig ist, ab. Erfasst sind grundsätzlich Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von über zehn Millionen Euro, wenn die Firma gleichzeitig in einem „gesellschaftlich relevanten Sektor“ tätig ist. Hierzu zählen etwa die Sektoren Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, Produktion, Verarbeitung und Vertrieb von Lebensmitteln sowie das verarbeitende Gewerbe beziehungsweise die Herstellung von Waren. Durch die im Verhältnis zu den bisherigen Vorschriften neu hinzugekommenen Sektoren „verarbeitendes Gewerbe“ und „Herstellung von Waren“ erfasst die Richtlinie deutlich mehr Unternehmen, insbesondere auch des Maschinen und Fahrzeugbaus.

In bestimmten Fällen können Unternehmen jedoch auch unabhängig von ihrer Größe von der NIS-2-Richtlinie betroffen sein. Das ist etwa dann der Fall, wenn sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, Sicherheit oder Gesundheit auswirken könnte. Es ist also unbedingt erforderlich, dass Unternehmen prüfen, ob ihr konkretes Geschäftsfeld von der Richtlinie erfasst ist.

Wesentliche Pflichten
Die NIS-2-Richtlinie enthält eine Reihe von Verpflichtungen, die die betroffenen Unternehmen umsetzen und einhalten müssen. Eine wesentliche Verpflichtung besteht in der Ergreifung geeigneter Maßnahmen zum Schutz ihrer Netzwerk- und Informationssysteme. Welche Maßnahmen konkret erforderlich sind, muss jedes Unternehmen für sich individuell bestimmen. Hierbei sind etwa die Wahrscheinlichkeit eines Sicherheitsvorfalls, die voraussichtliche Schwere eines solchen Vorfalls, die Auswirkungen auf die Gesellschaft, aber auch die Größe des betroffenen Unternehmens zu berücksichtigen. Auf diese Weise wird sichergestellt, dass kleinere Betriebe nicht die gleichen Anforderungen wie große Unternehmen erfüllen müssen. Die Richtlinie enthält allerdings auch eine Reihe von Risikomanagementmaßnahmen, die jedes betroffene Unternehmen als Mindestvorgabe umsetzen muss. Diese reichen von Konzepten für die Sicherheit der Informationssysteme über ein Backup-Management und Zugriffskontrollen bis hin zur Verwendung von Multi-Faktor Authentifizierungen.

Daneben sieht die Richtlinie bei erheblichen Sicherheitsvorfällen gestufte Meldepflichten des betroffenen Unternehmens vor. Hierbei ist zu beachten, dass einige Informationen bereits innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls an die zuständigen Behörden zu übermitteln sind. Es ist zwingend, dass Unternehmen Notfallpläne mit konkret festgelegten Abläufen aufstellen und regelmäßig überprüfen und anpassen, denn anderenfalls werden die gesetzlichen Fristen im Falle von Sicherheitsvorfällen nicht einzuhalten sein.

Um die Einhaltung dieser Vorgaben sicherzustellen, unterliegen betroffene Unternehmen der Behördenaufsicht. Diese übernimmt in Deutschland voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI erhält hierfür umfangreiche Befugnisse, wie etwa die Möglichkeit vor-Ort-Kontrollen durchzuführen oder Informationen anzufordern. Handelt es sich bei dem betroffenen Unternehmen um eine sogenannte wesentliche Einrichtung im Sinne der Richtlinie stehen dem BSI weitergehende Rechte zu. Zu den wesentlichen Einrichtungen zählen insbesondere größere Firmen, die in einem Sektor mit hoher Kritikalität tätig sind (Anhang I der NIS-2-Richtlinie).

Leitungsorgane betroffener Unternehmen sind verpflichtet, an Schulungen teilzunehmen. Darüber hinaus soll Mitarbeitenden der Unternehmen ebenfalls die Teilnahme an Schulungen angeboten werden. Die Leitungsorgane der betroffenen Firmen müssen die ergriffenen Risikomanagementmaßnahmen billigen und überwachen, da sie für Verstöße haftbar gemacht werden können. Immerhin: Die Geschäftsleitung soll die Aufgabenerfüllung auch an Hilfspersonen übertragen dürfen. Damit sieht der Gesetzgeber von der anfangs noch im Referentenentwurf vorgesehenen persönlichen Erfüllung dieser Pflicht ab. An der Letztverantwortlichkeit des Leitungsorgans ändert das indes nichts. Betroffene Unternehmen müssen sich außerdem bei der zuständigen Behörde registrieren. Hierfür sind unter anderem der Name und die Anschrift des Unternehmens zu übermitteln.

Rechtsfolgen bei Verstößen
Verstoßen betroffene Unternehmen gegen die Verpflichtung geeignete Risikomanagementmaßnahmen zu ergreifen oder halten sie die vorgegebenen Berichtspflichten nicht ein, drohen empfindliche Bußgelder. Diese können bei wesentlichen Einrichtungen bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Vorjahresumsatzes betragen, bei wichtigen Einrichtungen immerhin noch bis zu sieben Millionen Euro oder 1,4 Prozent des gesamten weltweit im vorangegangenen Geschäftsjahr getätigten Umsatzes (!). Dabei genügt bereits fahrlässiges Handeln. Schon die unvollständige Registrierung kann mit einem Bußgeld von bis zu 500.000 Euro sanktioniert werden. Neben den gesetzlichen Sanktionen ist auch zu bedenken, dass Geschäftspartner des Unternehmens, deren Daten oder vertrauliche Informationen bei einem Cyber-Angriff unberechtigten Dritten zugänglich wurden, wohl ohne Weiteres Schadensersatzansprüche gegen das Unternehmen geltend machen können, wenn die gesetzlichen Pflichten der NIS-2- Richtlinie nicht eingehalten wurden.

Ab 18. Oktober 2024 wird es ernst
Die NIS-2-Richtlinie ist bereits am 16. Januar 2023 in Kraft getreten. Die Richtlinie muss durch die Mitgliedstaaten in ein nationales Gesetz umgesetzt werden. Die zuständigen Stellen haben bis zum 17. Oktober 2024 Zeit, ein entsprechendes Gesetz zu erlassen. Seit Juli 2023 gibt es verschiedene Referentenentwürfe und ein Diskussionspapier. Der konkrete Inhalt des NIS-2 -Umsetzungs- und-Cybersicherheitsstärkungsgesetz (kurz „NisIS2UmsuCG“) wird derzeit noch diskutiert. Insgesamt wird es jedoch nicht hinter dem Rahmen der NIS-2-Richtlinie zurückbleiben, so dass Unternehmen sich bis zur Veröffentlichung an den Vorgaben der Richtlinie orientieren können. Mit Inkrafttreten des „NIS2UmsuCG“ werden die gesetzlichen Pflichten voraussichtlich ohne weitere Frist unmittelbar gelten.

Handlungsempfehlung
Unternehmen müssen auf jeden Fall prüfen, ob sie in den Anwendungsbereich der NIS-2-Richtlinie fallen. Ist dies der Fall, muss das Unternehmen sich einen Überblick über den Status quo der bereits bestehenden Sicherheitsmaßnahmen und möglicher Bedrohungslagen verschaffen. Bereits bestehende Maßnahmen sind mit den Vorgaben der Richtlinie abzugleichen und bei Bedarf zu ergänzen und anzupassen. Interne Zuständigkeiten sind festzulegen und Notfallpläne aufzustellen, um im Falle eines Sicherheitsvorfalles fristgerecht alle Meldepflichten erfüllen zu können.

CHECKLISTE ZUR NIS-2-RICHTLINIE

Anwendungsbereich
Grundsätzlich ab 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro und Tätigkeit in einem der 18 definierten Unternehmenssektoren (z.B. Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe)

Wesentliche Pflichten
Einführung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Beachtung der Meldepflichten

Registrierungspflicht

Pflicht der Leitungsorgane an Schulungen teilzunehmen, Mitarbeitenden sollen Schulungen angeboten werden

Aufsicht
Durch die zuständige Behörde (BSI) mit umfangreichen Befugnissen

Umsetzungsfrist
Vorgaben sollten bis zum 18. Oktober 2024 im Unternehmen umgesetzt sein

Sanktionen
Bußgelder bis zehn Millionen Euro oder zwei Prozent des Vorjahresumsatzes (wesentliche Einrichtungen) bzw. bis zu sieben Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes (wichtige Einrichtungen)

(Persönliche) Haftung der Leitungsorgane gegenüber dem Unternehmen


Erschienen in DIE NEWS, Fachzeitschrift für Familienunternehmen, Juni 2024.