Umsetzungsfrist der NIS-2-Richtlinie
Die NIS-2-Richtlinie ist derzeit noch nicht direkt anwendbar, sondern muss aufgrund ihrer Eigenschaft als Richtlinie in nationales Recht umgesetzt werden. Die EU-Mitgliedsstaaten hatten dafür seit Inkrafttreten 21 Monate Zeit – mithin bis zum 17. Oktober 2024. In Deutschland wird derzeit mit Hochdruck an einer Umsetzung in das sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gearbeitet. Das NIS2UmsuCG soll im März 2024 verkündet werden und dann wie geplant Oktober 2024 in Kraft treten.
Von der NIS-2-Richtlinie betroffene Unternehmen
Ob Unternehmen von der NIS-2-Richtlinie betroffen sind, hängt vom Tätigkeitsbereich sowie von der Unternehmensgröße ab. Unterschieden wird zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren. Zusätzlich zu dieser Unterscheidung gibt es die Kategorien wesentliche Einrichtungen und wichtige Einrichtungen. Letztere Unterteilung spielt hauptsächlich in Bezug auf die staatlichen Aufsichts- und Sanktionsmöglichkeiten eine Rolle.
- Unter den Sektoren mit hoherKriminalität fallen insbesondere Bereichen wie Energie, Verkehr, Gesundheitswesen, Trink- und Abwasser, Verwaltung, Banken und Finanzwesen sowie digitale Infrastruktur.
- Sonstigekritische Sektoren bilden daher Bereiche wie Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelindustrie, Warenherstellung (z.B. Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, Maschinenbau, Kraftwagen), Anbieter digitaler Dienste und der Forschung ab.
In einem zweiten Schritt muss die Größe des Unternehmens berücksichtigt werden, um zu definieren, ob es sich um eine wesentliche oder eine wichtige Einrichtung handelt.
Welche Maßnahmen müssen nach der NIS-2-Richtlinie ergriffen werden
Die NIS-2-Richtlinie verlangt von Unternehmen, umfassende Maßnahmen zum Risikomanagement für Cybersicherheit zu ergreifen. Für die EU ist es hier vor allem wichtig, dass wesentliche und wichtige Organisationen technische, operative und organisatorische Maßnahmen ergreifen. Dabei steht der Grundsatz der Verhältnismäßigkeit im Fokus. Es wird nicht verlangt, dass sich ein Unternehmen wegen der Maßnahmen in den Ruin treibt. Dabei sollen Maßnahmen getroffen werden, die dem Stand der Technik entsprechen. Solche Maßnahmen umfassen als Minimum u.a. Konzepte für Risikoanalysen und Sicherheitsvorfälle, Sicherheit der Lieferketten, Schulungen im Bereich der Cybersicherheit, außerdem Konzepte der Zugriffskontrolle sowie Multi-Faktor-Authentifizierung und vieles mehr.
Betroffene Unternehmen müssen gegenüber dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) die Erfüllung der vorgenannten Anforderungen nachweisen. Des Weiteren wird die bestehende Meldepflicht deutlich verschärft, wobei Unternehmen unverzüglich Sicherheitsvorfälle melden müssen. Der dreistufige Meldeprozess erfordert einen vorläufigen Bericht innerhalb von 24 Stunden, einen vollständigen Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.
Verstoß gegen die NIS-2-Richtlinie: Sanktionen und Haftung
Wurden keine oder nicht ausreichende Risikomanagementmaßnahmen getroffen, drohen mit der NIS-2-Richtlinie teils drastische Sanktionen. Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen gilt ein maximales Bußgeld von 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, auch hier gilt der jeweils höhere Betrag.
Daneben erhalten die Aufsichtsbehörden (in Deutschland das BSI) erweiterte Befugnisse. So können diese Vor-Ort-Kontrollen durchführen, gezielte Nachweise anfordern, verbindliche Anweisungen oder Anordnungen erlassen sowie Warnmeldungen über Verstöße herausgeben.
Der deutsche Gesetzesentwurf sieht außerdem vor, dass Geschäftsführer und Leitungsorgane für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können.
Fazit zur NIS-2-Richtlinie
Die NIS-2-Richtlinie stellt deutsche Unternehmen vor erhebliche Herausforderungen. Betroffene Unternehmen müssen sich auf eine zeitnahe Umsetzung vorbereiten. Die frühzeitige Umsetzung bietet die Möglichkeit, Risiken zu identifizieren und proaktiv zu handeln, was entscheidend für den langfristigen Erfolg des Unternehmens ist. Eine umfassende Umsetzung erfordert Ressourcen und eine sorgfältige Abwägung der notwendigen Maßnahmen. Daher sollten Unternehmen frühzeitig auf eine externe Unterstützung setzen, um sich bei der Umsetzung unterstützen zu lassen.
Demzufolge können Sie uns direkt kontaktieren, um einen persönlichen oder auch einen Telefon-Termin zu vereinbaren oder um uns sonstige Fragen zu stellen. Als Full Service-Kanzlei deckt die Beratung von Steinbock & Partner nicht nur die gesamte Bandbreite des IT-Rechts sowie Datenschutzrechts ab, sondern auch die Vertretung von Mandanten in Gerichtsverfahren.
Wir freuen uns auf Ihre Kontaktaufnahme – telefonisch unter der 0931-22222 oder per E-Mail an info@steinbock-partner.de. Außerdem bieten wir Ihnen einen unverbindlichen Rückrufservice.