Was ist die NIS-2-Richtlinie? (Teil 1)

Die Zahl der Cyberangriffe hat in den letzten Jahren immer weiter zugenommen, nicht zuletzt durch die ständig wachsende Abhängigkeit von digitalen Systemen und globale Spannungen.

Auf diese Bedrohungslage hat die EU mit einer neuen Cybersicherheitsstrategie reagiert: Neben einer Stärkung der europäischen Zusammenarbeit und der Förderung von Fachkräften sollen auch gemeinsame Einrichtungen zur Cyberabwehr geschaffen werden. Die Ziele der Strategie werden zudem durch eine Reihe neuer EU-Richtlinien und -Verordnungen erreicht. Hierzu zählt die NIS-2-Richtlinie.

Die EU hat schon 2016 eine erste Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS) verabschiedet. Diese beschränkt sich in Deutschland auf etwa 2.000 Unternehmen aus fest definierten Branchen. Angriffe führen inzwischen auch in anderen Branchen zu erheblichen volkswirtschaftlichen Schäden. Daher hat die EU den Kreis der betroffenen Unternehmen für die zweite NIS-Richtlinie deutlich erweitert. Schätzungen gehen alleine in Deutschland von bis zu 30.000 Unternehmen aus, die von der NIS-2 betroffen sein werden.

Wie wird die NIS-2 in Deutschland umgesetzt?

Anders als beispielsweise die DSGVO ist die NIS-2 als EU-Richtlinie nicht unmittelbar bindend. Daher müssen die einzelnen EU-Mitgliedsstaaten nationale Gesetzte erlassen, um die Richtlinie zu implementieren.

In Deutschland gibt es dazu einen Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Der Entwurf wurde vom Kabinett beschlossen, muss aber im Bundestag noch verabschiedet werden. Von größeren Änderungen ist dabei aber nicht mehr auszugehen.

Zusätzlich hat sich die EU jedoch die Möglichkeit offen gehalten, Durchführungsverordnungen zu erlassen. Der Entwurf für eine erste Verordnung ist zurzeit in der Beratung. Diese gibt Vorgaben für die Bewertung von Sicherheitsvorfällen und Durchführung von Maßnahmen bei Unternehmen, die bestimmte IT-Dienste anbieten. Dazu gehören beispielsweise Anbieter sozialer Netzwerke oder Managed Service Provider.

Beide Dokumente sollen nach aktuellem Stand zum 17.10.2024 vollständig verabschiedet werden.

Wer ist von der NIS-2 betroffen?

Ob ein Unternehmen betroffen ist, hängt von einer Reihe von Kriterien ab. Dazu zählen unter anderem die Branche, die Größe und der Sitz des Unternehmens und ob Geschäfte in der EU abgeschlossen werden. Nähere Informationen wer von der NIS-2 betroffen ist finden Sie in unserem zweiten Teil der Artikelserie.

Was kommt auf betroffene Einrichtungen zu?

Die EU setzt auch bei der NIS-2 auf Technologieoffenheit. Die Richtlinie gibt vor, was umgesetzt werden muss, hat aber nur wenige Anforderungen, wie dies zu geschehen hat. Welche Maßnahmen konkret gefordert werden erfahren Sie im dritten Teil unserer Artikelserie.

Wann müssen betroffenen Einrichtungen aktiv werden?

Unmittelbar mit dem voraussichtlichen Inkrafttreten der NIS-2 Richtlinie zum 17.10.2024 müssen Einrichtungen die Anforderungen an Risikomanagementmaßnahmen und Meldepflichten erfüllen. Um die notwendigen Maßnahmen rechtzeitig auf den Weg zu bringen, ist es empfehlenswert, jetzt aktiv zu werden.

Alle Unternehmen, die zum Inkrafttreten betroffen sind, müssen sich beim BSI bis spätestens 17.01.2025 registrieren. Für Unternehmen, die erst später betroffen sind, beispielsweise weil erst dann die Mitarbeiterzahl überschritten wurde, gilt eine Frist von drei Monaten.

Wie geht es weiter?

Um das Ziel zu erreichen, das Niveau der Informationssicherheit in Unternehmen in der EU deutlich zu steigern, ist die EU auf die Mitarbeit ebendieser angewiesen. Um die Ziele zu erreichen, sieht die NIS-2 eine Reihe von Pflichten zu, deren Nicht-Einhaltung empfindlich bestraft werden kann.

Information für die Feststellung, ob ein Unternehmen betroffen ist und welche Maßnahmen ergriffen werden müssen, finden Sie in den nachfolgenden Blogbeiträgen. Auch stehen Ihnen die aramido Berater für Fragen gerne zur Verfügung.