Gesundheit-E-Health icon

Gesundheit & E-Health

NIS-2-Richtlinie

Was ist die NIS-2-Richtlinie?

Die Abkürzung NIS steht für „Network and Information Security Directive“. Dabei handelt es sich um eine Richtlinie der Europäischen Union zur Cybersicherheit in Unternehmen und Behörden. Die NIS-2-Richtlinie wurde im Dezember 2022 veröffentlicht. Sie verschärft und konkretisiert die ältere NIS-1-Richtlinie aus dem Jahr 2016, damals die erste EU-weite Rechtsvorschrift über Cybersicherheit.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie betrifft Teile der öffentlichen Verwaltung sowie Unternehmen und Organisationen in insgesamt 18 Sektoren, die der Gesetzgeber als „kritisch“ für Gesellschaft und Wirtschaft ansieht. Die Richtlinie unterscheidet dabei zwischen „Essential Entities“ (wesentliche Sektoren) und „Important Entities“ (wichtige Sektoren). Dabei gelten die Vorschriften für Unternehmen mit mehr als zehn Millionen Euro Jahresumsatz und mehr als 50 Mitarbeitern.

Ausnahme: Wenn ein Unternehmen bestimmte kritische Dienstleistungen erbringt (z. B. Vertrauensdienste oder Domainregistrierung) oder das einzige seiner Art in einem Land ist, dann fällt es unabhängig von den Kennzahlen unter die Richtlinie.

Die Anforderungen in beiden Kategorien sind gleich. Der Unterschied: Unternehmen in der Kategorie „essential“ kontrolliert die Aufsicht laufend. Bei Unternehmen, die nur „important“ sind, reagiert die Behörde erst, wenn jemand Verstöße anzeigt.

Essential Entities umfassen Energie (z.B. Strom-, Gas- und Ölversorgung), Transport (z.B. Luft-, Bahn-, Wasser- und Straßenverkehr), Banken und Finanzmarktinfrastrukturen, Gesundheitswesen (z.B. Krankenhäuser und Gesundheitsdienstleister), Trinkwasserversorgung und -verteilung, Abwasserentsorgung, Digitale Infrastruktur (z.B. Internetknotenpunkte), Raumfahrt. Auch die Öffentliche Verwaltung gilt als „wesentlicher“ Sektor. Dabei sorgt die konkrete Ausgestaltung dieser Anforderungen etwa in Deutschland für Kritik, da etwa die Ministerien und das Bundeskanzleramt den IT-Grundschutz erfüllen müssen, für die restliche Bundesverwaltung aber nur noch „Mindeststandards“ gelten sollen.

Important Entities umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemische Industrie, Hersteller von Arzneimitteln und medizinischen Geräten, Computern und elektronischen Geräten, Lebensmittelproduktion und -verarbeitung sowie Produzenten von Fahrzeugen und Maschinen.

Was müssen von der NIS2 betroffene Unternehmen tun?

Betroffene Unternehmen müssen ein NIS-2-konformes Informationssicherheits-Managementsystem (ISMS) aufbauen. Das heißt, sie müssen unter anderem Sicherheits- und Risikokonzepte nach dem aktuellen Stand der Technik entwickeln, damit der Betrieb bei Angriffen weitergehen kann. Dazu gehört, dass sie Daten angriffssicher verschlüsseln und ihre Kommunikation sichern (Multi-Faktor-Authentifizierung), ihre Mitarbeiterinnen und Mitarbeiter regelmäßig schulen und den Zugriff auf Anlagen kontrollieren.

EU-Mitgliedsstaaten sollen ihrerseits sogenannte Computer Security Incident Response Teams (CSIRTs) einrichten. Bei Cyberangriffen auf nationaler Ebene sind sie dafür da, schnell zu reagieren und die Arbeit der Sicherheitsbehörden zu koordinieren.

In Deutschland wird es dazu ein Bundesgesetz geben, das bisherige Bundesgesetze novelliert. Es wird über die bisherige sogenannte Kritis-Verordnung des BSI und das BSI-Gesetz für die Sicherung kritischer Infrastrukturen hinausgehen, es gibt aber auch viele Überschneidungen. Auch die Bundesländer müssen Vorschriften der NIS-2-Richtlinie umsetzen: durch eine Reform bestehender Informationssicherheitsgesetze oder neue Gesetze oder Verwaltungsvorschriften.

Was sind die Unterschiede zwischen NIS-1-Richtlinie und NIS-2-Richtlinie?

Die aktualisierten Regeln gelten für deutlich mehr Unternehmen als zuvor. NIS1 war nur für die Betreiber wesentlicher Dienste Pflicht: wie Energie-, Verkehrs-, Bank-, Gesundheits- und Wasserversorgungsunternehmen sowie die Anbieter digitaler Infrastrukturen und Dienste. Mit NIS2 fallen zusätzliche Branchen unter die Definition, auch solche, die zuvor bereits durch die Kritis-Verordnung erfasst waren.

In Deutschland sind laut Schätzungen rund 29.000 Unternehmen erstmals von der NIS-Richtlinie betroffen, darunter Nahrungsmittelhersteller und Entsorgungsbetriebe, außerdem zum Beispiel auch Post- und Kurierdienste, Chemie- und Pharmafirmen.

Weitere wichtige Unterschiede zwischen der ersten und zweiten Richtlinie: NIS2 verschärft die Meldepflichten. Die NIS-2-Richtlinie sieht auch härtere Strafen bei Verstößen vor. Je nach Branche liegen sie bei bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dabei steht den Mitgliedsstaaten theoretisch offen, schärfere Sanktionen zu setzen. Die Bußgelder liegen damit auf dem Niveau der Strafen der Datenschutz-Grundverordnung DSGVO. ‍

Wer überwacht die Einhaltung der NIS-2-Richtlinie?

Jedes EU-Mitgliedsland muss eine oder mehrere zuständige Behörden benennen, die dann überwachen, ob Unternehmen und Verwaltung die Vorschriften einhalten: durch regelmäßige Überprüfungen und Audits. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, bei dem (für die Steuerung der IT-Sicherheit des Bundes) ein Chief Information Security Officer (CISO) für die Bundesverwaltung angesiedelt sein soll. Unternehmen müssen in einem dreistufigen Meldesystem von sich aus Sicherheitsvorfälle melden.

Welche Kritik gibt es in Deutschland an der NIS-2-Richtlinie?

Der IT-Branchenverband Bitkom bemängelte im Mai 2024, dass der deutsche Gesetzgeber die NIS-2-Reform nicht genügend mit dem KRITIS-Dachgesetz abgestimmt habe. Dass Unternehmen künftig unter eine Mehrfachregulierung fallen, kritisierten auch andere, speziell für kleine und mittlere Unternehmen (KMU) gebe es noch viele Rechtsunsicherheiten. Der Verband warnte zudem, dass kommunale Verwaltungen teils von den Vorgaben des Gesetzes ausgenommen seien, obwohl viele ihrer Dienstleistungen durchaus systemrelevant seien.

Der Deutsche Städte- und Gemeindebund (DStGB) wies im August 2024 darauf hin, dass die kommunale Landschaft der Informationssicherheit noch heterogener werden könnte, wenn die Bundesländer die NIS-2-Richtlinie unterschiedlich umsetzten.

Wie funktioniert die Umsetzung der NIS-2-Richtlinie in Deutschland?

NIS2 ist im Januar 2023 in der gesamten EU in Kraft getreten und hätte eigentlich bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Ursprünglich sollten sich betroffene Unternehmen in Deutschland dann bis spätestens 17. Januar 2025 beim Bundesministerium für Sicherheit in der Informationstechnik (BSI) registrieren.

Weil die Bundesregierung bis Mitte Oktober 2024 kein Gesetz für Deutschland umgesetzt hatte, hat die EU-Kommission Anfang Dezember ein Vertragsverletzungsverfahren gegen Deutschland eröffnet, wie auch gegen 22 weitere Mitgliedstaaten. Trotz des Bruchs der Ampel-Regierung lag Mitte Dezember immerhin der Entwurf für ein NIS-2-Umsetzungsgesetz vor. Eine Verabschiedung vor Ende der Legislatur war aber zu Jahresbeginn 2025 ungewiss. Im Fall der Verabschiedung würde NIS2 in Deutschland wohl Mitte 2025 gelten.