Der Russland-Ukraine-Krieg hat im vergangenen Jahr nicht nur Deutschland, sondern ganz Europa erneut vor Augen geführt, dass die Cybersicherheitslage im europäischen Raum angespannt ist. Schon vorher gab es reichlich Anlass, die Sicherheit der europäischen Netz- und Informationssysteme und mögliche Gefahren für das Funktionieren des europäischen Binnenmarkts zu überprüfen. Vor diesem Hintergrund haben der Rat und das Europäische Parlament im vergangenen Dezember die Network-and-Information-Security-Richtlinie (NIS-2-Richtlinie) verabschiedet und damit eine Reform der gesetzlichen Anforderungen an die IT-Sicherheit im europäischen Raum in Gang gesetzt. Nach Inkrafttreten am 16. Januar 2023 verbleiben Deutschland und anderen den EU-Mitgliedsstaaten nunmehr 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Doch auch für die betroffenen Unternehmen besteht bereits jetzt Handlungsbedarf. Welche Neuerungen ergeben sich und was müssen Unternehmen jetzt beachten? Wir geben Ihnen in diesem Beitrag einen Überblick.
Ziel und Zweck der NIS-2-Richtlinie
Das Bestreben, ein einheitliches Sicherheitsniveau von Netz- und Informationssystemen zu schaffen, ist keineswegs neu. Wie aus dem Namen ersichtlich, handelt es sich bei der nun beschlossenen NIS-2-Richtlinie um eine Neuauflage der bereits im Jahr 2016 in Kraft getretenen NIS-1-Richtlinie. Auch sie war bereits eine Reaktion auf die erhöhte Bedrohungslage und die damit verbundenen erhöhten Anforderungen an die IT-Sicherheit im europäischen Raum. Mit ihr sollten die mitgliedsstaatlichen Kapazitäten im Bereich der Cybersicherheit durch Errichtung nationaler Behörden und Anlaufstellen erhöht werden. Neben Vorgaben zur Auferlegung und Ergreifung technischer und organisatorischer Maßnahmen (sog. TOM) beinhaltete sie eine Meldepflicht von Sicherheitsvorfällen und ein Sanktionssystem. Sie gilt als eine der wichtigsten europäischen Rechtsvorschriften in Sachen Cybersicherheit. Dennoch war aus Sicht der EU-Kommission eine Reform nötig. Warum?
Die EU-Kommission wertet die NIS-1-Richtlinie seit ihrer Implementierung grundsätzlich als Erfolg, da sie ein Umdenken in Bezug auf die Belange der Cybersicherheit in den Mitgliedsstaaten bewirkt und die Vervollständigung der nationalen Rechtsrahmen über die Sicherheit von Netz- und Informationssystemen sichergestellt habe. Angesichts des schnellen digitalen Wandels sei sie jedoch nicht mehr zeitgemäß und ausreichend, um Cyberabwehrfähigkeit zu gewährleisten. Darüber hinaus bietet auch die Umsetzung der Richtlinie Anlass zu Kritik: Die Kommission bemängelt insbesondere oftmals nicht ordnungsgemäß durchgesetzte Sanktionen und den unzureichenden Austausch zwischen den Mitgliedsstaaten, vor allem hinsichtlich der Kategorisierung von Sicherheitsvorfällen. Außerdem habe sich herausgestellt, dass der Anwendungsbereich der Richtlinie zu eng sei.
Die NIS-2-Richtlinie soll nun Abhilfe schaffen. Als Konkretisierung der EU-Cybersicherheitsstrategie „The EU’s Cybersecurity Strategy for the Digital Decade“ von 2020 soll sie für eine Vereinheitlichung sowie Vertiefung und inhaltliche Erweiterung der Anforderungen an Cyberresilienz sorgen und damit kritische Infrastrukturen sowie digitale Dienste besser schützen. Dabei baut die NIS-2-Richtlinie inhaltlich auf der NIS-1-Richtlinie auf, verschärft jedoch entsprechend der Kritik an diversen Stellen die Anforderungen, Maßstäbe sowie Kontroll- und Sanktionsmöglichkeiten.
Modifizierter und erweiterter Anwendungsbereich
Zentrale Neuerungen betreffen daneben auch den Anwendungsbereich der Richtlinie. Die bisherige Differenzierung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste wird mit Inkrafttreten der NIS-2-Richtlinie aufgegeben. Stattdessen unterscheidet der Anwendungsbereich der Novelle nunmehr zwischen „wesentlichen“ und „wichtigen“ Einrichtungen, vgl. Art. 3 NIS-2-RL. Relevant wird die neue Unterteilung insbesondere im Rahmen der für die Einrichtungen neu festgeschriebenen Pflichten und die Aufsichts- und Durchsetzungsbefugnisse der hierfür zuständigen Behörden (hierzu unten mehr). Welche Einrichtungen wesentlich und wichtig sind, wird in den entsprechenden Anhängen I („hohe Kritikalität“) und II („sonstige kritische Sektoren“) ausgewiesen und richtet sich nach der Zugehörigkeit zu bestimmten Sektoren, Teilsektoren und Arten von Einrichtungen. Um allzu großen Divergenzen zwischen den Mitgliedsstaaten vorzubeugen, werden die exakten Schwellenwerte für wesentliche und nun auch wichtige Einrichtungen nicht mehr von den Staaten selbst bestimmt, sondern von der Richtlinie definiert und damit harmonisiert. Danach sind alle Unternehmen in den kritischen Sektoren, die mindestens 50 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt (mittlere und große Unternehmen) umfasst. Kleinstunternehmen und kleine Unternehmen (also solche die unterhalb des genannten Schwellenwerts liegen) sind demgegenüber zwar grundsätzlich ausgenommen. Doch Vorsicht: Über die Rückausnahme gelten auch für sie die neuen Regularien, soweit bestimmte, in Art. 2 II NIS-2-RL qualifizierende Kriterien erfüllt sind, nach denen sie eine Schlüsselrolle für die Wirtschaft und Gesellschaft einnehmen. Dies betrifft besondere kritische Dienste wie beispielsweise Dienste von Anbietern öffentlicher elektronischer Kommunikationsnetze oder Vertrauensdienste.
Auch wurden die Kataloge der erfassten Sektoren im Vergleich zur alten Richtlinie deutlich erweitert. Neu im Bereich der „wesentlichen Einrichtungen“ sind neben den schon von der alten Richtlinie erfassten nun die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft. Zu den „wichtigen Einrichtungen“ zählen nunmehr auch die Sektoren Postwesen, Abfallwirtschaft, Chemie, Lebensmittelwirtschaft und produzierendes Gewerbe sowie Digitalanbieter.
Erweiterter Pflichtenkatalog für Unternehmen
Von besonderem Interesse für Unternehmen dürfte der nunmehr erweiterte Pflichtenkatalog sein. Die NIS-2-Richtlinie hält hier einen ganzen Strauß neuer Regelungen bereit. Stärker als noch in der Vorgängerrichtlinie verpflichtet sie die adressierten Einrichtungen zu verschiedenen Risikomanagementmaßnahmen und Berichtspflichten.
Sicherheitsvorfall und Meldepflicht
Mithilfe von genauen Vorgaben über Ablauf, Inhalt und Zeitrahmen der Meldung eines Sicherheitsvorfalls sind die bislang schon bestehenden Meldepflichten klarer formuliert worden. Neu und umfassender ist dabei schon die Definition des Sicherheitsvorfalls. Bislang waren nur solche Vorfälle erfasst, die „tatsächlich nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen“ (Art. 4 Abs. 7 NIS-1-RL) hatten Das Erfordernis von nachteiligen Auswirkungen ist mit der Reform Geschichte. Stattdessen ist ein Sicherheitsvorfall „jedes Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt.“ (Art. 6 Nr. 6 NIS-2-RL). Damit reicht es für das Vorliegen eines Sicherheitsvorfalls aus, dass die Verfügbarkeit von Daten oder Diensten eingeschränkt ist.
Tritt ein „erheblicher Sicherheitsvorfall“ ein, so ist eine Erstanzeige ohne unangemessene Verzögerung und in jedem Fall binnen 24 Stunden nach Kenntnisnahme des Vorfalls bei der zuständigen Behörde zu erbringen (Art. 23 Abs. 4a NIS-2-RL) und auf Anfrage ein Zwischenbericht zu relevanten Neuigkeiten einzureichen. Nicht später als einen Monat nach ihrer Erstanzeige hat die jeweilige Einrichtung einen Abschlussbericht vorzulegen.
TOM
Die Prävention als weitere zentrale Säule der Cybersecurity Governance von Unternehmen wurde im Rahmen der Reform weiter gestärkt. Wesentliche und wichtige Einrichtungen müssen danach angemessene technische und organisatorische Maßnahmen (TOM) treffen, um die Risiken eines Netzwerks- und Informationssystems zu bewältigen. Bei der Beurteilung sind europäische und internationale Normen zur Informationssicherheit sowie die Beurteilung der Angemessenheit einer Maßnahme vor dem Hintergrund der individuellen Risikoexposition der Einrichtung zu berücksichtigen.
Die Richtlinie schlägt verschiedene Maßnahmen in Art. 21 Abs. 2 NIS-2-RL beispielhaft vor:
- Risikoanalyse
- Krisenmanagement
- Sicherheit der Lieferkette
- Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen des Risikomanagements
- Einsatz von Kryptografie und Verschlüsselung
Aufsichtsbefugnisse, Durchsetzungsmaßnahmen und Geldbußen
Vor allem im Rahmen der Aufsichts- und Durchsetzungsmaßnahmen wird die neue Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen deutlich. Insgesamt sieht die NIS-2-Richtlinie strengere Aufsichtsinstrumentarien vor. So können die Behörden nun etwa Vor-Ort-Kontrollen durchführen sowie bestimmte Informationen und Datenzugänge anfordern. Während bei wichtigen Einrichtungen (vgl. Art. 33 NIS-2-RL) ein reaktives Aufsichtssystem wirkt, unterliegen die wesentlichen Einrichtungen (vgl. Art. 32 NIS-2-RL) deutlich weitreichenderen Aufsichtsbefugnissen. Hier sind anlassunbezogene Maßnahmen möglich wie Audits, und zwar unabhängig von der jeweiligen Risikobewertung.
In Hinblick auf die Mittel, die den mitgliedsstaatlichen Behörden zur Durchsetzung der Pflichten zustehen, gilt: Grundsätzlich können Betreibern wichtiger Einrichtungen dieselben Maßnahmen auferlegt werden wie Betreibern wesentlicher Einrichtungen. Behörden steht ein reiches Instrumentarium zur Verfügung. So können sie beispielsweise verbindliche Anweisungen erteilen, Fristen setzen, Geldbußen verhängen und – nur im Falle wesentlicher Einrichtungen – als ultima ratio auch Leitungspersonen der jeweiligen Einrichtungen vorübergehend von ihren Aufgaben entbinden. Bei Verstößen können zudem gem. Art. 34 Abs. 4, 5 NIS-2-RL empfindliche Geldbußen drohen: Für Betreiber wesentlicher Einrichtungen beträgt die maximale Geldbuße entweder 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, für Betreiber wichtiger Einrichtungen sind es maximal 7 Mio. EUR oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Unternehmen sind dabei im europarechtlichen Kontext zu verstehen, sodass die wirtschaftliche Einheit zu betrachten ist (alle juristischen und natürlichen Personen und Personengesellschaften). Ob hingegen auch öffentliche Einrichtungen, die der NIS-2-Richtlinie unterfallen, in Deutschland mit den strengen Bußgeldern belegt werden können, bleibt abzuwarten. Diese Frage hat die EU den Mitgliedsstaaten zur Regelung in ihren Umsetzungsgesetzen überlassen, Art. 34 Abs. 7 NIS-2-RL.
Verhältnis zur DSGVO
Unternehmen, die Einrichtungen im Sinne der NIS-2-RL gelten, sollten bei einem erheblichen Sicherheitsvorfall immer die Vorschriften der DSGVO mitberücksichtigen. Denn es ist durchaus denkbar, dass im Zuge eines erheblichen Sicherheitsvorfalls zugleich auch personenbezogene Daten betroffen sind. Dann muss der Vorfall – ungeachtet der möglicherweise bereits erfolgten Meldung nach den Regularien der NIS-2-RL – nach wie vor auch der Datenschutzbehörde gem. Art. 33 DSGVO in einer angemessenen Frist gemeldet werden, vgl. Art 32 Abs. 1 NIS-RL.
Die einzige Vorrangregelung, die sich im Rahmen der neuen NIS-2-Richtlinie im Verhältnis zur DSGVO findet, betrifft die Bußgelder: Sofern die Datenschutzbehörde eine Geldbuße nach DSGVO verhängt, ist für denselben Verstoß ein Bußgeld nach Art. 31 Abs. 4 NIS-2-RL ausgeschlossen. Andere Durchsetzungsmaßnahmen hingegen sind weiterhin möglich.
Rahmenbedingungen für Europäische Cybersicherheitsstrategie und Zusammenarbeit
In der Richtlinie ist zugleich auch ein Vorstoß zur Stärkung der europäischen Cybersicherheitsstrategie und der besseren Zusammenarbeit der Mitgliedsstaaten enthalten. Die Mitgliedsstaaten sind nicht nur verpflichtet, eine nationale, anhand von Leistungsindikatoren überprüfbare Cybersicherheitsstrategie zu entwickeln, sondern künftig auch den Lieferkettenschutz stärker zu berücksichtigen. Sofern noch nicht vorhanden, müssen staatlicherseits zudem Computernotfall-Notfallteams (sog. CSIRTs) eingerichtet werden, die im Rahmen eines Netzwerks das Vertrauen zwischen den Mitgliedsstaaten und die operative Zusammenarbeit fördern sollen. Jeder Staat hat darüber hinaus eine Behörde zu benennen, die für für die Cybersicherheit und die Aufsichtsaufgaben gemäß der vorliegenden Richtlinie zuständig ist. In Deutschland ist hierfür grundsätzlich das BSI (Bundesamt für Sicherheit in der Informationstechnik) zuständig. In Hinblick auf die Verbesserung des Cyberkrisenmanagements werden zudem eine EU-Kooperationsgruppe für einen erleichterten Informationsaustausch aufgebaut und eine europäische Schwachstellendatenbank durch die europäische Agentur der EU für Cybersicherheit (ENISA) eingerichtet. Neu ist auch, dass in Zukunft mitgliedsstaatliche „Cybersecurity Peer Reviews“ durchgeführt werden, um die Cybersecurity-Maßnahmen der Mitgliedsstaaten im Nachgang zu beurteilen.
Fazit und Ausblick
Die NIS-2-Richtlinie beinhaltet etliche Neuerungen, um die EU für die erhöhten Anforderungen an die Cybersicherheitslage zu rüsten. Für ihre Mitgliedsstaaten wie auch für die betroffenen Unternehmen ergeben sich aus der Reform vielfache Verpflichtungen. Einrichtungen, die nun erstmalig von der Richtlinie erfasst sind, werden mit einer Erhöhung ihres Cybersicherheitsbudgets von ca. 22 Prozent rechnen müssen. Das geht aus dem Impact-Assessment der Europäischen Kommission zur NIS-2-Richtlinie hervor. Unternehmen, die hingegen bereits im Rahmen der Vorgängerregelung entsprechende Maßnahmen ergreifen mussten, haben zusätzliche Kosten von rund 12 Prozent zu erwarten. Abgesehen davon ist es für betroffene Unternehmen ratsam, die neue Richtlinie im Rahmen der notwendigen Umstellungen nicht allzu isoliert zu betrachten, sondern im Gefüge der einschlägigen europarechtlicher Regelungen. Denn es ist denkbar, als Adressat der NIS-2-Richtlinie zugleich auch Adressat anderer themenverwandter europäischer Rechtsakte zu sein. So kommt neben der bereits behandelten DSGVO je nach Fallgestaltung beispielsweise auch die Anwendung der KI-Verordnung oder des Digital Security Act in Frage.
Es bleibt abzuwarten, wie der deutsche Gesetzgeber das geltende Recht auf Grundlage der Neuerungen der NIS-2-Richtlinie anpassen wird. Bis zum 16. Oktober 2027 ist die Richtlinie in ihrer Anwendung und Überprüfung anzupassen, bevor ihre Vorgängerregelung mit Wirkung zum 18. Oktober 2027 aufgehoben wird.
Weitere spannende Beiträge
-
Meldung eines Datenschutzvorfalls – ein Leitfaden
Stellt ein Unternehmen fest, dass es zu einer Datenschutzpanne gekommen ist, fallen Mitarbeitern und Geschäftsführung in aller Aufruhr meist zuerst das Bußgeld ein. Wir zeigen Ihnen im Folgenden, wie Sie dabei am besten vorgehen und wann sie überhaupt einen Vorfall melden müssen.
-
Die Bedeutung von IT-Sicherheit für Unternehmen und wie sie sich schützen können
Cyber-Angriffe sind der Albtraum eines jeden Unternehmens. Je stärker die Geschäftsprozesse digitalisiert und Systeme vernetzt werden, desto größer wird auch das Risiko von Cyber-Angriffen. Wir werfen einen genaueren Blick auf die Folgen von IT-Angriffen und warum Unternehmen nicht länger zögern sollten, Maßnahmen zur Verbesserung ihrer IT-Sicherheit zu ergreifen.
-
KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien
Die Logistikbranche in Deutschland hat die Chancen und Möglichkeiten der Künstlichen Intelligenz (KI) erkannt und ist vielen anderen Wirtschaftszweigen bereits weit voraus. Dieser Blogbeitrag zeigt auf, welche konkreten Einsatzmöglichkeiten KI in der Logistik bietet und wie Datenschutzanforderungen bei der Implementierung von KI-Lösungen erfüllt werden können.