Die NIS-2-Richtlinie wird die IT-Sicherheit für Unternehmen in der EU nachhaltig verändern – und zwar schneller, als es viele Unternehmen erwarten. Bis zum 24. Oktober dieses Jahres müssen die Mitgliedstaaten NIS-2 in nationales Recht umsetzen. Doch die Zeit für die Umsetzung wird knapp – für den Gesetzgeber und erst recht für die von der Regulierung Betroffenen.
Große Ausweitung der regulierten Unternehmen
Die NIS-2-Richtlinie soll ein einheitliches Cybersicherheitsniveau in der EU schaffen. Zehntausende von Unternehmen, einschließlich kleiner und mittelständischer Betriebe, werden erstmals IT-Sicherheitsvorschriften einhalten müssen. Sogar Unternehmen, die bereits unter die Vorgängerrichtlinie NIS-1 fallen, sind oft noch weitergehend betroffen. Erstmals sind auch einige staatliche Stellen betroffen, wie etwa Bundesministerien. Die Richtlinie führt strengere Pflichten für betroffene Stellen und ihre Leitungspersonen ein und stärkt die Aufsichtsbehörden.
Aktuell sind nach dem deutschen IT-Sicherheitsrecht auf Basis der NIS-1-Richtlinie nur bestimmte „Kernbereiche“ der Wirtschaft umfasst. Der Gesetzgeber hat acht Sektoren identifiziert, die zur Versorgung der in Deutschland lebenden Bevölkerung besonders wichtig sind, darunter etwa Energie oder Ernährung.
Auch größere Online-Marktplätze, Suchmaschinen sowie Cloud-Computing sind reguliert. Allerdings prüft das deutsche Recht in den meisten Fällen, ob regulierte Unternehmen bestimmte Schwellenwerte überschreiten. Maßgeblich ist dafür aktuell noch, ob sie (nach Einordnung des Gesetzgebers) mit ihrer Leistung circa 500.000 Personen versorgen. Dafür hat der Gesetzgeber bestimmte Werte errechnet. Beispiele: Eine Anlage zur Herstellung von Lebensmitteln fällt aktuell nur unter die IT-Sicherheitsregulierung, wenn sie im Jahr mehr als 434.500 Tonnen Lebensmittel produziert; ein Kontoführungssystem dann, wenn es im Jahr fünfzehn Millionen Transaktionen verbucht.
Das wird sich in Zukunft grundlegend ändern: Kleinere Unternehmen können sich nicht mehr darauf verlassen, dass sie mit ihrer Produktion oder Dienstleistung die Schwellenwerte nicht erreichen. Entscheidend ist künftig vielmehr die Anzahl der Mitarbeiter und der Jahresumsatz. Schon Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Jahresumsatz werden von der Richtlinie erfasst. Auf die Schwellenwerte zur Versorgung kommt es jetzt nicht mehr an. Allerdings ist die Richtlinie gespickt mit Ausnahmen und Rückausnahmen.
Welche Sektoren sind betroffen?
18 Sektoren werden von NIS-2 erfasst: Darunter kritische Bereiche wie Energie, Verkehr, Banken, Gesundheitswesen, Trink- und Abwasser. Aber auch digitale Infrastruktur, ausgewählte Einrichtungen der öffentlichen Verwaltung, Post- und Kurierdienste, Chemiehandel und -produktion, die Lebensmittelbranche und ausgewählte Gewerbetreibende wie Maschinen- und Fahrzeugbau werden künftig reguliert.
Neben gesellschaftskritischen Bereichen nimmt die NIS-2-Richtlinie also die Wirtschaft in ihrer Breite ins Visier. Tückisch ist vor allem der Sektor der digitalen Infrastruktur. Unter dem Druck der Digitalisierung haben viele klassische Produktionsbetriebe digitale Produkte ins Portfolio mit aufgenommen. Diese können zum Einfallstor für eine Regulierung werden. Beispiel: Unternehmen der Modeindustrie unterfallen eigentlich nicht der NIS-2-Richtlinie. Bietet ein Modeunternehmen aber auch einen kleinen Online-Marktplatz für Second-Hand-Kleidung an, kann es dennoch von NIS-2 betroffen sein.
Pflichten nach NIS-2
Betroffene Unternehmen und staatliche Stellen müssen ab Oktober 2024 technische und organisatorische Maßnahmen ergreifen, um IT-Sicherheitsvorfälle zu verhindern oder zu minimieren. Einige Mindestmaßnahmen sind in der Richtlinie genannt. Letztlich muss aber jedes Unternehmen sein eigenes Risiko bewerten und entscheiden, welche Sicherheitsmaßnahmen angebracht sind. Verantwortlich dafür sind die Leitungsorgane der Unternehmen und öffentlichen Stellen – kontrolliert von nationalen Sicherheitsbehörden. Sogar eine persönliche Haftung von Leitungsorganen sieht die Richtlinie vor.
Tritt ein Sicherheitsvorfall ein, sieht die Richtlinie eine Meldepflicht an die Sicherheitsbehörden vor. In manchen Fällen müssen auch Kunden über den Vorfall informiert werden.
Durchsetzungsmaßnahmen und Sanktionen
NIS-2 gibt Aufsichtsbehörden erweiterte Befugnisse, wie Inspektionen vor Ort und den Zugang zu Dokumenten. Aufsichtsbehörden können Unternehmen verbindlich anweisen, bestimmte Sicherheitsmaßnahmen zu ergreifen oder bestimmtes Verhalten einzustellen. Für sogenannte „wesentliche“ Einrichtungen können die Sicherheitsbehörden sogar einen vorübergehenden „Überwachungsbeauftragten“ ernennen, der die Einhaltung der Vorschriften überwacht. Geldbußen für die Nichteinhaltung von NIS-2 können erheblich sein.
Umsetzung in Deutschland
Zur Umsetzung von NIS-2 in Deutschland liegen bislang zwei Referentenentwürfe des BMI vor, der aktuelle aus Juli 2023. Doch viele Details sind von den Gesetzesentwürfen noch gar nicht erfasst. Das Bundesinnenministerium soll noch weitere Verordnungen erlassen, die das Gesetz mit Leben füllen. Was genau auf Unternehmen zukommt, lässt sich daher noch nicht absehen.
Es zeichnet sich jedoch jetzt schon ab, dass der deutsche Gesetzgeber auch über die Mindestanforderungen der NIS-2-Richtlinie hinausgehen will. Beispielsweise möchte er für bestimmte Kommunikationsprodukte verpflichtende Cybersicherheitszertifizierungen einführen.
Was tun?
Auch ohne Umsetzungsgesetz und -verordnungen lässt sich schon recht sicher sagen, ob Unternehmen unter die NIS-2-Richtlinie fallen. Und viele Pflichten sind bereits von der Richtlinie vorgegeben – es ist klar, dass sie auch in Deutschland kommen werden. Die Wartezeit auf das fertige Gesetz kann und sollte also genutzt werden. Denn nicht nur die Regulierung verschärft sich, sondern auch die Bedrohungslage. Kaum eine Woche vergeht, ohne dass namhafte europäische Unternehmen mit Sicherheitsvorfällen in den Schlagzeilen stehen. Risiken bei der IT-Sicherheit aufzuarbeiten und Abwehrmaßnahmen zu treffen, ist daher auch ohne neues Gesetz eine gute Idee.
Anne Leßner und Adrian Schneider sind Senior Associate und Partner bei Osborne Clarke