NIS-2 im Fokus: Was Unternehmen jetzt wissen müssen

CyberDirekt: Das Thema Cyber-Sicherheit ist an sich nicht neu. Warum ist NIS-2 jetzt wichtiger denn je?

Tobias Fröhlich: NIS-2 stellt einen wichtigen Schritt zur Harmonisierung der Cyber-Sicherheitsstandards in der EU dar und soll die Widerstandsfähigkeit kritischer Infrastrukturen gegen die wachsende digitale Bedrohung stärken. Einen wichtigen Fortschritt stellt hierbei das Thema Lieferkettensicherheit dar. Zulieferer und Dienstleister geraten immer stärker ins Visier von Cyber-Kriminellen. Daher ist es entscheidend, nicht nur einzelne Unternehmen, sondern die gesamte Wertschöpfungskette besser abzusichern. Genau hier setzt die Richtlinie an.

NIS-2 ist eine Überarbeitung der 2016 verabschiedeten Vorgängerrichtlinie NIS-1. Welche Neuerungen bringt NIS-2? 

NIS-2 bringt gleich mehrere Neuerungen mit sich. Eine der wichtigsten Änderungen ist der erweiterte Anwendungsbereich. Im Vergleich zur vorherigen NIS-Richtlinie sind jetzt deutlich mehr Unternehmen und Organisationen betroffen. Hinzu kommt eine Pflicht für die betroffenen Unternehmen, entsprechende technische und organisatorische Sicherheitsmaßnahmen und Risikomanagementprozesse zu implementieren, sowie Meldepflichten bei Sicherheitsvorfällen. Zwei weitere Neuerungen sind der Fokus auf die Lieferkettensicherheit und die persönliche Haftung der Geschäftsführung bei Verstößen gegen die Richtlinie.

Stichwort erweiterter Anwendungsbereich. Welche Unternehmen sind von der NIS-2-Verordnung betroffen?

Ob ein Unternehmen von NIS-2 betroffen ist, hängt von zwei verschiedenen Kriterien ab: Branchensektor und Unternehmensgröße. Die NIS-2-Richtlinie hat die Anzahl der betroffenen Sektoren auf insgesamt 18 erhöht, darunter elf mit hoher Kritikalität und sieben weitere kritische Sektoren. Neben der Zugehörigkeit zu einem dieser Sektoren ist auch zu prüfen, ob das Unternehmen innerhalb der gesetzten Schwellenwerte hinsichtlich der Mitarbeiterzahl und Umsatz bzw. Bilanzsumme liegt. NIS-2 gilt beispielsweise für mittlere Unternehmen mit mehr als 50 Mitarbeitenden und einem Jahresumsatz von mindestens zehn Millionen Euro. Kleinstunternehmen sind hingegen in der Regel von der Richtlinie ausgeschlossen - es sei denn, sie sind in einem besonders kritischen Sektor wie z.B. Energie, Gesundheitswesen oder Trinkwasserversorgung tätig.

Wie sind die 18 NIS-2-Sektoren definiert?

NIS-1 galt für sogenannte "Betreiber wesentlicher Dienste" (z. B. Energie, Verkehr, Gesundheitswesen und Finanzen) sowie für “Anbieter digitaler Dienste". Der Begriff “digitale Dienste” wurde für den Geltungsbereich der neuen Richtlinie erweitert, sodass jetzt zum Beispiel auch digitale Plattformen darunter fallen. Auch die kritischen Sektoren wurden erweitert und umfassen jetzt u.a. auch Anbieter öffentlicher elektronischer Kommunikationsdienste, Hersteller kritischer Produkte, Post- und Kurierdienste oder die öffentliche Verwaltung.

NIS-2 führt verpflichtende Sicherheitsmaßnahmen ein. Was müssen betroffene Unternehmen konkret tun?

Unternehmen, die unter NIS-2 fallen, müssen angemessene technische und organisatorische Maßnahmen (kurz: TOMs) ergreifen, um Cyber-Angriffen vorzubeugen und ihr Risikomanagement zu verbessern, damit sie im Ernstfall schneller und effektiver reagieren können. Dazu gehören unter anderem Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen und zur Gewährleistung der Betriebskontinuität, Backup-Management, Verschlüsselung, Zugangskontrollen, Krisenmanagement und Lieferkettensicherheit.

Angenommen, ein Unternehmen fällt in den Geltungsbereich der neuen Richtlinie. Was sind bewährte Strategien aus der Praxis, um als Unternehmen NIS-2-konform zu werden?

Zuerst muss ein regelkonformes IT-Sicherheits- und Risikomanagement etabliert werden. Dazu werden die bestehenden IT-Sicherheitsrisiken analysiert und geforderte Sicherheitsmaßnahmen wie beispielsweise MFA, Zugangskontrollen und Backups umgesetzt. Danach werden sukzessive die vorgesehenen Meldeprozesse, Notfallpläne, Richtlinien und Dokumentationen aufgestellt. Zur Absicherung der Lieferkette wird die IT-Sicherheit bei Dienstleistern und Zulieferern geprüft. Wichtig ist vor allem, die getroffenen Sicherheitsmaßnahmen auch nach der initialen Implementierung kontinuierlich zu prüfen und zu verbessern.

Eine wichtige Neuerung von NIS-2 sind Melde- und Berichtspflichten für die betroffenen Unternehmen. Was sind die wichtigsten Anforderungen und Fristen, die Unternehmen hier im Blick haben sollten?

NIS-2 nimmt Unternehmen in die Pflicht, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden nach Bekanntwerden an die zuständige nationale Behörde zu melden. Eine detaillierte Bewertung des Vorfalls muss innerhalb von 72 Stunden vorliegen. Spätestens einen Monat nach dem Incident ist zudem ein umfassender Abschlussbericht zu übermitteln.

Was zählt im Kontext von NIS-2 als erheblicher Sicherheitsvorfall?

Als erheblich gilt ein Sicherheitsvorfall, wenn er beim betroffenen Unternehmen schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste verursacht oder Dritte durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. 

Beispiel Versorgungssektor:

Ein Ransomware-Angriff legt die IT-Systeme eines Energieversorgers lahm, wodurch tausende Haushalte mehrere Stunden ohne Stromversorgung sind. Das Unternehmen erleidet nicht nur erhebliche finanzielle Verluste durch Betriebsunterbrechung und Wiederherstellungskosten, sondern auch der Imageschaden ist beträchtlich. Zudem sind Kundendaten abgeflossen, was zu möglichen Schadensersatzforderungen führt.

Beispiel Gesundheitssektor:

Durch einen gezielten Cyberangriff auf die IT eines Krankenhauses wird das gesamte Patientenmanagement-System lahmgelegt. Operationen müssen verschoben werden, Notaufnahmen werden vorübergehend geschlossen, und kritische Patientendaten sind vorübergehend nicht verfügbar. Der Vorfall gefährdet die Versorgungssicherheit und führt zu erheblichen Risiken für Leib und Leben von Patient:innen. Zusätzlich entstehen dem Krankenhaus hohe Kosten für die IT-Wiederherstellung und Datenschutzmaßnahmen.

NIS-2 führt erstmals eine persönliche Haftung von Führungskräften bei Verstößen ein. Was bedeutet das für die Unternehmensführung?

Unter NIS-2 hat die Geschäftsführung von betroffenen Unternehmen eine Überwachungs- und Haftungspflicht. Das bedeutet, dass die Führungsebene die finale Verantwortung dafür trägt, dass alle durch die Richtlinie geltenden Pflichten erfüllt werden, und bei Verstößen oder Versäumnissen entsprechend haftbar gemacht werden kann. Daneben ist eine Verpflichtung zu regelmäßigen Schulungen vorgesehen.

Welche Strafen und Konsequenzen drohen Unternehmen, wenn sie die Umsetzung der Richtlinie nicht ernst nehmen?

Neben der persönlichen Haftung der Geschäftsführung riskieren Unternehmen, die NIS-2 nicht ernst nehmen, erhebliche Bußgelder und Sanktionen. Die Sanktionen orientieren sich an der DSGVO und sehen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor.

NIS-2 bringt für Unternehmen viel Eigenverantwortlichkeit. Die Prüfung, ob sie unter die Richtlinie fallen oder nicht, erfolgt nicht durch eine externe Behörde, sondern durch die Unternehmen selbst. Wie gehen Unternehmen dazu am besten vor?

Um festzustellen, ob sie in den Geltungsbereich von NIS-2 fallen, müssen Unternehmen mehrere Faktoren überprüfen. Erstens die Zugehörigkeit zu einem der betroffenen Branchensektoren, zweitens die Mitarbeiteranzahl und drittens den Jahresumsatz und die Jahresbilanz. Eine erste Orientierung bietet die NIS-2-Betroffenheitsprüfung des BSI.

Das Thema Lieferkettensicherheit rückt mit NIS-2 in den Fokus. Welche Pflichten müssen Unternehmen erfüllen, um die Sicherheit ihrer Lieferkette, sprich in ihrer Zusammenarbeit mit unmittelbaren Zulieferern oder Dienstleistern, zu gewährleisten?

Artikel 21 Absatz 2d der Richtlinie definiert die Lieferkettensicherheit als einen integralen Bestandteil des Cyber-Risikomanagements in von NIS-2 betroffenen Unternehmen und Organisationen. Dazu gehört es zu prüfen, ob die Geschäftspartner die notwendigen Sicherheitsstandards erfüllen und ein entsprechendes Risikomanagementsystem implementiert haben. Verträge mit Lieferanten und Dienstleistern müssen außerdem klar definierte Cyber-Sicherheitsanforderungen enthalten und es müssen regelmäßige Audits und Sicherheitsbewertungen bei Lieferanten erfolgen.

Falls ein Unternehmen selbst nicht direkt unter NIS-2 fällt, kann es dennoch betroffen sein, wenn es als Zulieferer oder Dienstleister für ein NIS-2-pflichtiges Unternehmen arbeitet. Wie können solche Unternehmen feststellen, ob sie betroffen sind oder nicht?

Tobias Fröhlich: Unternehmen, die als Dienstleister oder Zulieferer für EU-Unternehmen agieren, die unter NIS-2 fallen, müssen die Anforderungen der Richtlinie ebenfalls erfüllen. Die Einordnung ist hier allerdings nicht immer offensichtlich. So kann es beispielsweise sein, dass ein Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz von weniger als 7 Millionen Euro, für das NIS-2 unter normalen Umständen nicht gilt, die Anforderungen trotzdem erfüllen muss, wenn es für ein direkt betroffenes Unternehmen essenzielle Dienstleistung erbringt. Bei Unklarheiten hilft eine externe Rechts- oder IT-Sicherheitsberatung.

CyberDirekt: Wie viele Unternehmen in Deutschland werden von NIS-2 betroffen sein?

Schätzungen zufolge sind in Deutschland etwa 29.000 bis 30.000 Unternehmen direkt von der NIS-2-Richtlinie betroffen. Diese Zahl basiert auf Kriterien wie Unternehmensgröße (mindestens 50 Mitarbeiter) und Jahresumsatz oder Bilanzsumme (jeweils über 10 Millionen Euro) in bestimmten Sektoren.

Um juristisch richtig zu antworten, muss man wie immer sagen, es kommt darauf an. Allerdings erweitert die NIS-2-Richtlinie den Fokus auf die gesamte Lieferkette, was bedeutet, dass auch zahlreiche kleinere Unternehmen indirekt betroffen sein können. Unternehmen, die als Zulieferer oder Dienstleister für direkt betroffene Firmen tätig sind, müssen möglicherweise erhöhte Sicherheitsanforderungen erfüllen, um den Vorgaben ihrer Auftraggeber gerecht zu werden. Dies führt dazu, dass die tatsächliche Anzahl der Unternehmen, die Maßnahmen im Rahmen von NIS-2 umsetzen müssen, deutlich höher ausfallen kann als die ursprünglich genannten 30.000. Daher ist es für Unternehmen jeder Größe und Branche ratsam, ihre Position innerhalb der Lieferkette zu analysieren und zu prüfen, ob und inwieweit sie von den Anforderungen der NIS-2-Richtlinie betroffen sind.

Als europäische Richtlinie muss NIS-2 von den Mitgliedsstaaten in nationales Recht übertragen werden. Die Deadline hierfür war der 17. Oktober 2024. In Deutschland gibt es einen Entwurf für das NIS-2-Umsetzungsgesetz, der bisher allerdings noch nicht verabschiedet wurde. Gilt NIS-2 für deutsche Unternehmen aktuell überhaupt?

Das NIS-2-Umsetzungsgesetz liegt seit 2024 als beschlossene Version vor, muss aber noch offiziell verabschiedet werden. Ohne die Verabschiedung und das Inkrafttreten des Gesetzes sind die spezifischen Regelungen der NIS-2-Richtlinie in Deutschland noch nicht rechtsverbindlich. Allerdings sollten Unternehmen bereits jetzt Schritte unternehmen, um sich auf die zukünftigen Anforderungen vorzubereiten, da sie spätestens nach der Verabschiedung des Gesetzes diese erfüllen müssen. 

EU-Mitgliedsstaaten können europäische Regelungen in ihrer nationalen Gesetzgebung verschärfen. Wird das mit dem NIS-2-Umsetzungsgesetz der Fall sein und wenn ja, inwiefern?

Im Entwurf des NIS-2-Umsetzungsgesetzes für Deutschland sind verschiedene Verschärfungen gegenüber der EU-Richtlinie vorgesehen. Unter anderem ein erhöhter Bußgeldrahmen mit Strafen von bis zu 20 Millionen Euro - statt der durch die europäische Richtlinie vorgesehenen zehn Millionen Euro. Allerdings gilt es, die Verabschiedung des finalen Entwurfs abzuwarten.

Kurz zusammengefasst, was müssen Unternehmen konkret tun, um NIS2-konform zu werden?

Um Konformität mit den NIS2-Vorgaben zu erzielen, empfehle ich Unternehmen folgende Schritte zu unternehmen:

1. Risikomanagement etablieren: Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001, um Risiken systematisch zu identifizieren und zu minimieren. 
2. Meldepflichten einhalten: Einführung von Prozessen zur frühzeitigen Erkennung und Meldung von Sicherheitsvorfällen innerhalb der vorgeschriebenen Fristen.
3. Schulungen durchführen: Regelmäßige Schulungen für Mitarbeitende, um das Bewusstsein für Cyber-Risiken zu schärfen. 
4. Lieferkette absichern: Überprüfung und Sicherstellung der Cyber-Sicherheitsmaßnahmen bei Dienstleistern und Zulieferern.
5. Verantwortlichkeiten klären: Festlegung klarer Verantwortlichkeiten innerhalb der Geschäftsleitung für die Umsetzung und Überwachung der Cyber-Sicherheitsmaßnahmen. 

Ist in der Zukunft mit weiteren Verschärfungen in puncto Cyber-Sicherheitsanforderungen für Unternehmen zu rechnen? Wie entwickelt sich die regulatorische Landschaft weiter?

Aus meiner Sicht entwickelt sich die regulatorische Landschaft im Bereich Cyber-Sicherheit stetig weiter. Meiner Meinung nach ist in Zukunft mit weiteren Verschärfungen und Anpassungen zu rechnen – einfach deshalb, weil sich auch die Bedrohungslage und die Technologie kontinuierlich verändern. Unternehmen sollten deshalb nicht abwarten, sondern ihre Sicherheitsstrategien regelmäßig prüfen und aktiv anpassen, um den wachsenden Anforderungen gerecht zu werden und ihre Widerstandsfähigkeit gegenüber Cyber-Angriffen zu stärken.

Lieber Tobias, vielen Dank für deine Zeit.