Im Rahmen der EU-Regulierung der Informationssicherheit kommt auch die sogenannte NIS-2-Richtlinie welche mittlerweile verabschiedet ist und veröffentlicht wurde.
Gegenstand der Richtlinien ist es Maßnahmen festzulegen, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts zu verbessern (Art. 1).
Für Unternehmen relevant ist hier insbesondere, dass Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Berichtspflichten festgelegt wurden, die für die in den Anhängen I oder II aufgeführten Stellen, sowie für Einrichtungen, die nach Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden, gelten.
Die NIS-2-Richtlinie ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Ein entsprechendes Gesetz „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG“ ist für Deutschland bereits in der Vorbereitung. Den ersten Referentenentwurf kennen wir bereits.
Wir haben in diesem Zusammenhang die Situation, dass sich diese Regelungen mit verschiedenen bereits existierenden (NIS-1, BSIG ) und geplanten (CER-Richtlinie u. DORA-VO) Regelungen überschneiden wird bzw. Zusammenhänge bestehen. Im Umsetzungsgesetz gibt es daher z.B. auch viele Anpassungen im BSIG. In Zukunft „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Betreibern und Einrichtungen“.
Für welche Unternehmen gilt die NIS-2-RL nun?
Im Anhang I der NIS-2-Richtlinine sind die folgenden Sektoren genannt:
NIS-2 Anhang II nennt die folgenden Sektoren:
Nach Art. 2 Abs. 2 Nis-2-Richtlinie gelten die Regelungen der Richtlinie unabhängig von der Größe auch für Unternehmen aus dem Anhang II und II , wenn Dienste erbracht werden von:
Die Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können.
Wesentliche und wichtige Einrichtungen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.
Wesentliche und wichtige Einrichtungen müssen ihrem CSIRT (computer security incident response team) oder gegebenenfalls ihrer zuständigen Behörde gemäß Absatz 4 unverzüglich über jeden Sicherheitsvorfall unterrichten, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste gemäß Absatz 3 (erheblicher Sicherheitsvorfall) hat. Gegebenenfalls unterrichten die betreffenden Einrichtungen die Empfänger ihrer Dienste unverzüglich über diese erheblichen Sicherheitsvorfälle, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Jeder Mitgliedstaat stellt sicher, dass diese Einrichtungen unter anderem alle Informationen übermitteln, die es dem CSIRT oder gegebenenfalls der zuständigen Behörde ermöglichen zu ermitteln, ob der Sicherheitsvorfall grenzübergreifende Auswirkungen hat.
- Registrierungspflicht
- Meldepflicht erheblicher Sicherheitsvorfälle
- IT-Governance / Verantwortung der Leitungsorgane für Verstöße der Einrichtungen
- Einführung eines Risikomanagementsystems zur Sicherheit der Netz- und Informationssysteme
- Aufbau eines Informationssicherheitsmanagementsystems (ISMS)
- Incident Management
- Einführung eines Business Continuity Managements inkl. Backup & Recovery sowie Notfall- und Krisenmanagement
- Maßnahmen zur Gewährleistung der Sicherheit von Lieferketten
- Kontrolle / Beurteilung der Wirksamkeit des Informationssicherheits-Risikomanagements
- Gewährleistung angemessener, risikobasierter technischer Schutzmaßnahmen
- Konzepte und Verfahren für den Einsatz von Kryptografie
- Einsatz von Lösungen zur Multi-Faktor-Authentifizierung
- Maßnahmen zur Personalsicherheit
- Maßnahmen der "Cyberhygiene"
- Konzepte zur Zugriffskontrolle
Die NIS-2 RL sieht auch einen entsprechenden Bußgeldrahmen vor. Für die Einzelheiten wird es auf die nationalen Umsetzungsgesetze ankommen.
„Die Mitgliedstaaten stellen sicher, dass die Geldbußen, die gemäß dem vorliegenden Artikel gegen wesentliche und wichtige Einrichtungen in Bezug auf Verstöße gegen diese Richtlinie verhängt werden, unter Berücksichtigung der Umstände des Einzelfalls wirksam, verhältnismäßig und abschreckend sind. „
Sanktionen / Bußgeldrahmen (Art. 34)
10 Mio. EUR bzw. 2 % des gesamten weltweiten Jahresumsatzes für wesentliche Einrichtungen
7 Mio. EUR bzw. 1,4% des gesamten weltweiten Jahresumsatzes für wichtige Einrichtungen
§ 60 NIS2UmsuCG-E der die Sanktionsvorschriften regelt, ist umfangreich, weswegen auf eine Darstellung zu diesem Zeitpunkt verzichtet wird.
Offensichtlich folgt man hier aber der Systemetik der DSVGO sowohl was die erfasste Tatbestände betrifft als auch hinsichtlich des Bußgeldrahmens an sich (auch wenn die Höchstgrenzen natürlich abweichen). Es ist aber auch durchaus realistisch, dass einzelne Verstößte gleichzeitig und zusätzlich von den DSGVO Bußgeldvorschriften und Meldepflichten auch erfasst werden.
