AssCompact suche
Home
Steuern & Recht
24. März 2023
Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt
Cybersecurity-Richtlinie der EU– Was die NIS-2-Richtlinie bringt

Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt

Nie war die Bedrohung im Cyberraum höher als heute. Darin sind sich alle Behörden, die für die Abwehr von Cybergefahren zuständig sind, einig. Auch die Europäische Union hat dies erkannt und hat am 28.11.2022 eine neue Richtlinie zur Stärkung der Cybersicherheit verabschiedet.

Ein Artikel von Hagen Küchler, Rechtsanwalt und zertifizierter Datenschutzbeauftragter (DSC) bei der Kanzlei FPS

Die neue EU-weite Richtlinie zur Cybersicherheit namens NIS-2 hat das Ziel, ein einheitliches Schutzniveau systemrelevanter IT-Infrastrukturen in der Europäischen Union (EU) zu schaffen, um schneller auf Cyberkrisen reagieren zu können. Zur Zielerreichung werden im Vergleich zum Vorgänger – der NIS-1-Richtlinie – hierzu der Kreis der betroffenen Unternehmen deutlich vergrößert, die Pflichten der einzelnen Betroffenen umfangreicher und die Befugnisse der Behörden zur Aufsicht und Sanktionierung erweitert.

Zeit für die Umsetzung in nationales Recht haben die Mitgliedsstaaten bis Oktober 2024. Obwohl 2024 noch weit weg erscheint, können sich bereits heute Unternehmen als Vorreiter im Bereich Cybersicherheit positionieren und durch eine frühzeitige Planung der geforderten Maßnahmen Wettbewerbsvorteile gegenüber Konkurrenten erzielen.

Anwendungsbereich

Die NIS-2-Richtlinie erfasst öffentliche und private Einrichtungen, die ihre Dienste in der Union erbringen. Nach Schätzungen der Europäischen Union sollen über 100.000 Einrichtungen vom Anwendungsbereich der Richtlinie erfasst sein.

In den von der Richtlinie europaweit einheitlich definierten Anwendungsbereich fallen – mit wenigen Ausnahmen – alle Einrichtungen, die über 50 Personen beschäf­tigen, einen Jahresumsatz von mehr als 10 Mio. Euro ausweisen und einem der geregelten systemrelevanten Sektoren angehören. Bei den geregelten Sektoren wird zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren unterschieden, für die teilweise leicht abweichende Regelungen gelten. Sektoren mit hoher Kritikalität sind:

  • Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
  • Gesundheit (Versorger, Labore, Pharma)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Banken- und Finanzmärkte
  • Trink- und Abwasser
  • Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten)
  • Raumfahrt und öffentliche Verwaltung

Sonstige kritische Sektoren sind Post und Kurierdienste, die Abfallwirtschaft, Chemie, Ernährung, Industrie (Technik und Ingenieurwesen), digitale Dienste (Online-Marktplätze, Suchmaschinen und soziale Netzwerke) und Forschung. Unter bestimmten Voraussetzungen kann die NIS-2-Richtlinie auch für Unternehmen unabhängig von ihrer Größe gelten.

Pflichten der Betroffenen

Die betroffenen Unternehmen müssen geeignete und verhältnis­mäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. In der Praxis wird dies durch ein detailliertes Risikomanagementsystem umgesetzt werden müssen. An diese Managementsysteme stellt die EU zahlreiche Mindestanforderungen. Das Risikomanagementsystem muss mindestens die folgenden Punkte abdecken:

  • die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten einschließlich Maßnahmen zur Bewältigung von Sicherheitsvorfällen
  • Maßnahmen zur Aufrechterhaltung des Betriebs (wie Back-up-Management)
  • Sicherheit der Lieferketten
  • sonstige Sicherheitsmechanismen wie beispielsweise: Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor-Authentifizierung, sichere Kommunikationsmittel und Zugriffskontrollen.

Zusätzlich besteht für Unter­nehmen eine Pflicht, Bericht über Sicherheitsvorfälle an die zuständige Behörde zu erstatten. Bei Sicherheitsvorfällen, die Auswirkungen auf die von Unternehmen erbrachten Dienste haben, ist in einem abgestuften Verfahren binnen 24 und 72 Stunden Bericht zu erstatten. In besonders schweren Fällen sind zudem die Nutzer der Dienste zu informieren.

Nachdruck verleiht der NIS-2-Richtlinie das in ihr verankerte Haftungsrisiko für die Unternehmensleitung. Leitungsorgane haben die Umsetzung geeigneter Schutzmaßnahmen zu überwachen. Für Verstöße dagegen können sie persönlich haftbar gemacht werden. Die genaue Ausgestaltung der Haftungsregeln unterliegt jedoch den Mitgliedsstaaten bei der Umsetzung in nationales Recht.

Aufsicht und Durchsetzung

Zur Durchsetzung der Cyber­sicherheitsvorgaben werden die nationalen Behörden mit weitreichenden Befugnissen ausgestattet. Diese Befugnisse lassen sich in drei Kategorien unterteilen:

Erstens dürfen Behörden zur Aufsicht über Unternehmen Vor-Ort-Kontrollen und Sicherheit-Scans durchführen oder Zugang zu Daten und Dokumenten verlangen.

Zweitens dürfen sie zur Durchsetzung der NIS Warnungen zur IT-Sicherheit eines Unternehmens an die Öffentlichkeit herausgeben, Zwangsgelder festsetzen, oder verbindliche Anweisungen gegenüber dem Unternehmen erteilen.

Drittens ist es den Behörden möglich, zur Sanktionierung von Sicherheitsverstößen Bußgelder von bis zu 10 Mio. Euro oder 2% des gesamten weltweiten Jahresumsatzes zu verhängen. Angst, dass ein Verstoß sowohl mit einem Bußgeld nach der NIS-2-Richtlinie als auch nach der Datenschutzgrundverordnung (DSGVO) geahndet wird, muss kein Unternehmen haben. Die NIS-2-Richtlinie sieht vor, dass jedes Verhalten, das gegen beide Regelwerke verstößt, nur einmal mit einer Geldbuße geahndet werden soll.

Darüber hinaus wird der innereuropäische Aspekt des Themas Cybersicherheit verstärkt. Die nationalen Behörden sollen in einem ständigen Informationsaustausch miteinander stehen und es wird ähnlich wie bei den Datenschutz­behörden eine Kooperationsgruppe der Cybersicherheitsbehörden eingerichtet. Diese Kooperationsgruppe soll unterstützend bei der strategischen Zusammenarbeit unterschiedlicher nationaler Behörden tätig werden. Das Ergebnis mit dem größten praktischen Anwendungsbereich dieser europaweiten Zusammenarbeit dürfte das Schwachstellen-Register sein. Damit sollen Schwachstellen von IT-Systemen in einem einheitlichen Register veröffentlicht werden, sodass Anwender, Hersteller und Behörden fortlaufend ihre Systeme verbessern können.

Fazit: richtige Reaktion

Die NIS-2-Richtlinie ist die richtige Reaktion auf die derzeitigen Cyberbedrohungen. Umsetzungsschwierigkeiten dürften die wenigsten Unternehmen haben. Denn die Anforderungen der NIS-2-Richtlinie decken sich häufig mit denen der DSGVO – Stichwort: technische und organisatorische Maßnahmen. Die Umsetzung der DSGVO zeigt aber auch, dass die Zeit zum Handeln jetzt ist. Wer heute bereits handelt, kann kurzfristige kostenintensive Lösungen vermeiden und sich einen Vorsprung im Markt verschaffen.

Diesen Artikel lesen Sie auch in AssCompact 03/2023, S. 108 f., und in unserem ePaper.

Bild: © merklicht.de – stock.adobe.com

 
Ein Artikel von
Hagen Küchler