NIS-2-Richtlinie: Neue Cybersicherheitsanforderungen für Unternehmen

Dr. André Schmidt

Dr. Philipp Knitter

Am 17. Oktober 2024 endet die Umsetzungsfrist für die NIS-2-Richtlinie (RL (EU) 2022/2555) . Die NIS-2-Richtlinie zielt darauf ab, das Cybersicherheitsniveau in der EU insgesamt zu erhöhen. Im Unterschied zu der bisherigen Regulierung (insb. KRITIS) wird ein breiterer Regelungsansatz gewählt, der zahlreiche Sektoren in den Blick nimmt: Allein in Deutschland sind über 30.000 Unternehmen betroffen, sobald die Richtlinie ins nationale Recht umgesetzt wird.

Wer sind die Adressaten der NIS-2-Richtlinie?

Die NIS-2-Richtlinie bezieht sich auf zahlreiche risikogeneigte Sektoren und unterscheidet nach besonders wichtigen Einrichtungen und wichtigen Einrichtungen:

  • Besonders wichtige Einrichtungen: Betreiber kritischer Anlagen und qualifizierte Vertrauensdiensteanbieter, Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur und Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum;
  • Wichtige Einrichtungen: Post- und Kurierdienste, Abfallbewirtschaftung, chemische Industrie, Lebensmittelindustrie, Teile des verarbeitenden Gewerbes, Anbieter digitaler Dienste und Forschung.

Für einzelne Bereiche gilt die NIS-2-Richtlinie unabhängig von der Unternehmensgröße, für die meisten Bereiche sind Mitarbeiter- und Umsatzschwellen vorgesehen. Insgesamt wird sich die Zahl der Unternehmen, die Maßnahmen zur Stärkung der Cybersicherheit ergreifen müssen, mit Umsetzung der Richtlinie signifikant erhöhen. Auch die öffentliche Hand ist Adressat der Richtlinie.

Welche Pflichten kommen auf Einrichtungen zu?

Betroffene Einrichtungen müssen Risikomanagementsysteme im Bereich der Cybersicherheit implementieren, also technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme und deren physischer Umwelt zu minimieren.

Zudem gelten besondere Melde- und Unterrichtungspflichten bei erheblichen Sicherheitsvorfällen Hinzu kommen eine Registrierungspflicht für Einrichtungen und Nachweispflichten für Betreiber kritischer Anlagen sowie Governance-Vorgaben für Einrichtungen.

Gilt die NIS-2-Richtlinie unmittelbar?

Nein, als EU-Richtlinie muss die NIS-2-Richtlinie zunächst ins nationale Recht umgesetzt werden, damit sie Geltung erlangt. Das soll in Deutschlang durch umfassende Änderungen des BSI-Gesetztes geschehen. Am 22. Juli 2024 veröffentlichte die Bundesregierung einen Gesetzesentwurf für ein Umsetzungsgesetz.

Scharfe Sanktionen

Außerdem sieht die NIS-2-Richtlinie empfindliche Bußgelder bei Verstößen gegen die Risikomanagement- und Meldepflichten vor: Gegenüber besonders wichtigen Einrichtungen können Geldbußen bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes verhängt werden, jeweils je nachdem welcher Betrag höher ist.

Der Entwurf des deutschen Umsetzungsgesetzes sieht sogar eine Geschäftsleiterhaftung vor. Anderslautende Vereinbarungen, die eine Enthaftung der Geschäftsführung vorsehen, dürften unwirksam sein.

Was ist jetzt zu tun?

  • Zunächst kann mit Spannung erwartet werden, wann und wie die NIS-2-Richtlinie in nationales Recht umgesetzt wird. Dass dies bis zum Ablauf der Umsetzungsfrist am 17. Oktober 2024 gelingt, ist fraglich. Der Regierungsentwurf aus Juli 2024 muss zunächst von Bundestag und Bundesrat verabschiedet werden.
  • Unternehmen, die in risikogeneigten Branchen sind, sollten sorgfältig prüfen, ob sie in den Anwendungsbereich der neuen Regulierung fallen.
  • Wenn ja, sollte ermittelt werden, ob das Unternehmen eine besonders wichtige oder wichtige Einrichtung ist; hiernach unterscheidet sich der Pflichtenkatalog.