NIS2 FAQ - Enobyte

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen. Sie zielt darauf ab, das Cybersicherheitsniveau in der gesamten Europäischen Union zu erhöhen. Die Richtlinie baut auf der bisherigen NIS-Richtlinie auf und verschärft deren Anforderungen.

Sie verpflichtet Unternehmen und Organisationen in einer Vielzahl kritischer und wichtiger Sektoren, darunter Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und verarbeitendes Gewerbe, unter anderem zu Risikomanagementmaßnahmen, zur Meldung erheblicher Sicherheitsvorfälle, zum Management von Lieferkettenrisiken sowie zur Einbindung und Aufsicht durch die Unternehmensleitung.

Welche Unternehmen fallen in den Anwendungsbereich der NIS2-Richtlinie?

Ob ein Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, hängt zunächst davon ab, ob seine Tätigkeit einem der in Anhang I oder Anhang II der NIS2-Richtlinie genannten Sektoren oder Dienste zuzuordnen ist.

Anschließend ist zu prüfen, ob bestimmte Größenkriterien erfüllt sind, insbesondere in Bezug auf die Zahl der Beschäftigten, den Jahresumsatz oder die Jahresbilanzsumme.

Grundsätzlich gilt: Unternehmen, die in einem erfassten Sektor tätig sind oder einen erfassten Dienst erbringen und mindestens als mittlere Unternehmen einzustufen sind, fallen in der Regel in den Anwendungsbereich der NIS2-Richtlinie. Bestimmte Anbieter, etwa DNS-Diensteanbieter, Register für Top-Level-Domains oder Vertrauensdiensteanbieter, können jedoch unabhängig von ihrer Unternehmensgröße erfasst sein.

Zur ersten Einschätzung, ob Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, stellen wir Ihnen außerdem einen Kurzcheck zur Verfügung.

Jetzt NIS2 Anwendbarkeitprüfung starten!

Welche NIS2-Maßnahmen sollten zuerst umgesetzt werden?

Zu Beginn sollten insbesondere folgende Maßnahmen geprüft und umgesetzt werden:

Registrierung bei der zuständigen Aufsichtsbehörde
Teilnahme der Unternehmensleitung an einer Cybersicherheitsschulung
Durchführung einer Gap-Analyse, um den konkreten Handlungsbedarf im Vergleich zu den Anforderungen der NIS2-Richtlinie zu ermitteln

Sollte man sich auch dann noch registrieren, wenn die Registrierungsfrist bereits abgelaufen ist?

Ja.

Wenn ein Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, sollte die Registrierung bei der zuständigen Aufsichtsbehörde auch nach Ablauf der Frist so bald wie möglich nachgeholt werden.

Nach der Registrierung kann das Unternehmen von der Aufsichtsbehörde Informationen zur Umsetzung der NIS2-Anforderungen erhalten.

Unterbleibt die Registrierung, besteht das Risiko, dass die Aufsichtsbehörde dies beanstandet und gegebenenfalls Sanktionen verhängt.

Sollte man Maßnahmen ergreifen, auch wenn unklar ist, ob die NIS2-Richtlinie überhaupt anwendbar ist?

Wenn unklar ist, ob ein Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, sollte zunächst geprüft werden, ob die NIS2-Anforderungen anwendbar sind. Gegebenenfalls empfiehlt es sich, fachkundige Beratung einzuholen oder die Informationen der zuständigen Behörden zu prüfen.

Auch wenn ein Unternehmen nicht unmittelbar in den Anwendungsbereich der NIS2-Richtlinie fällt, kann es sinnvoll sein, zentrale Grundsätze der Richtlinie zu übernehmen. Dazu gehören insbesondere Risikomanagement, Incident Response, Lieferkettenmanagement sowie die Einbindung der Unternehmensleitung. Diese Maßnahmen können wesentlich zur Verbesserung des eigenen Cybersicherheitsniveaus beitragen.

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Die NIS2-Richtlinie unterscheidet je nach Art der erbrachten Dienste und Unternehmensgröße zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen.

Unabhängig davon, ob ein Unternehmen als wesentliche Einrichtung oder als wichtige Einrichtung eingestuft wird, muss es die grundlegenden Anforderungen der NIS2-Richtlinie erfüllen. Unterschiede bestehen jedoch insbesondere bei der Art und dem Zeitpunkt der behördlichen Aufsicht sowie bei der Höhe möglicher Bußgelder.

Wesentliche Einrichtungen unterliegen in der Regel einer aktiveren, auch präventiven Aufsicht. Bei wichtigen Einrichtungen steht demgegenüber vor allem eine nachträgliche Aufsicht im Vordergrund, etwa wenn Hinweise auf mögliche Verstöße vorliegen.

Welche Sanktionen drohen bei Verstößen gegen die NIS2-Richtlinie?

Die NIS2-Richtlinie verpflichtet betroffene Unternehmen zur Stärkung ihrer Cybersicherheitsmaßnahmen. Bei Verstößen können Sanktionen einschließlich erheblicher Bußgelder verhängt werden.

Artikel 34 der Richtlinie sieht folgende Höchstbeträge für Geldbußen vor:

Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
Wichtige Einrichtungen: bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist

Darüber hinaus legt die NIS2-Richtlinie besonderen Wert auf die Einbindung und Verantwortung der Unternehmensleitung.

Die nationalen Umsetzungsgesetze der Mitgliedstaaten können Pflichten der Leitungsorgane zur Genehmigung und Überwachung von Risikomanagementmaßnahmen sowie Verantwortlichkeiten bei Pflichtverletzungen vorsehen.

Damit können sich neben Sanktionen gegen das Unternehmen auch Verantwortlichkeiten für Geschäftsleiter, Vorstände oder andere Vertreter ergeben.

Die Umsetzung der NIS2-Anforderungen ist daher nicht nur eine Frage der IT-Sicherheit, sondern auch ein Thema der Unternehmensführung, Governance und des Risikomanagements.

Welche Pflichten zur Meldung von Sicherheitsvorfällen bestehen nach der NIS2-Richtlinie?

Bei erheblichen Sicherheitsvorfällen müssen betroffene Unternehmen nach der NIS2-Richtlinie eine gestufte Meldung an die zuständige Aufsichtsbehörde oder das zuständige CSIRT vornehmen.

Innerhalb von 24 Stunden nach Kenntnis des Vorfalls: Frühwarnung
Innerhalb von 72 Stunden nach Kenntnis des Vorfalls: Meldung mit erster Bewertung
Innerhalb eines Monats nach der Meldung des Vorfalls: Abschlussbericht

Auf Verlangen der zuständigen Aufsichtsbehörde oder des CSIRT kann vor dem Abschlussbericht zusätzlich ein Zwischenbericht erforderlich sein.

Ist der Vorfall innerhalb eines Monats noch nicht abgeschlossen, ist anstelle des Abschlussberichts zunächst ein Fortschrittsbericht einzureichen.

Der Abschlussbericht ist dann innerhalb eines Monats nach Abschluss der Vorfallsbearbeitung vorzulegen.

Ist die NIS2-Aufsichtsbehörde dieselbe wie die Datenschutzaufsichtsbehörde nach der DSGVO?

Nein.

Die DSGVO betrifft den Schutz personenbezogener Daten und wird in Deutschland von den Datenschutzaufsichtsbehörden des Bundes und der Länder überwacht. Die NIS2-Richtlinie betrifft dagegen die Cybersicherheit.

In Deutschland spielt hierbei insbesondere das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, eine zentrale Rolle.

In der Praxis können jedoch beide Regelungsbereiche gleichzeitig relevant sein.

Kommt es beispielsweise infolge eines Cybervorfalls zu einer Verletzung des Schutzes personenbezogener Daten, können neben den Meldepflichten nach der NIS2-Richtlinie auch Meldepflichten nach der DSGVO bestehen.

Welche Cybersicherheitsmaßnahmen verlangt die NIS2-Richtlinie?

Artikel 21 der NIS2-Richtlinie verpflichtet betroffene Unternehmen, angemessene technische, betriebliche und organisatorische Maßnahmen zu ergreifen, die dem jeweiligen Risiko entsprechen. Welche Maßnahmen konkret erforderlich sind, hängt unter anderem von der Branche, der Art der erbrachten Dienste, der Unternehmensgröße und dem konkreten Cyberrisiko ab.

Typischerweise sind insbesondere folgende Bereiche relevant:

Risikoanalyse und Sicherheitskonzepte für Informationssysteme
Aufbau und Pflege eines Incident-Response-Prozesses
Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellungsplanung und Krisenmanagement
Sicherheit der Lieferkette
Sicherheit bei Beschaffung, Entwicklung und Wartung von IKT-Systemen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
Cyberhygiene und Cybersicherheitsschulungen
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Asset-Management
Multi-Faktor-Authentifizierung und sichere Kommunikationsmittel für Notfälle

Die Unternehmensleitung ist dafür verantwortlich, diese Maßnahmen zu genehmigen, ihre Umsetzung zu überwachen und die erforderlichen Ressourcen bereitzustellen.

Cybersicherheit ist damit nicht allein Aufgabe der IT-Abteilung, sondern als Management- und Governance-Thema zu behandeln.

Ist die NIS2-Geschäftsleitungsschulung verpflichtend oder freiwillig?

Für Unternehmen, die in den Anwendungsbereich der NIS2-Richtlinie fallen, ist die NIS2-Geschäftsleitungsschulung nicht lediglich eine freiwillige Weiterbildung.

Die Richtlinie sieht vor, dass Mitglieder der Unternehmensleitung Kenntnisse zur Bewertung und zum Management von Cyberrisiken erwerben und regelmäßig auffrischen.

Gemeint ist dabei insbesondere die Leitungsebene, die für die Genehmigung und Überwachung der Cybersicherheits- und Risikomanagementmaßnahmen verantwortlich ist, etwa Geschäftsführung, Vorstand oder vergleichbare Leitungsorgane.

Die Schulung sollte daher nicht als einmalige Maßnahme verstanden werden. Vielmehr sollten Teilnahme, Inhalte und Nachweise der Schulungen dokumentiert und bei Bedarf regelmäßig aktualisiert werden.