Startseite » Technik »

Die NIS2-Richtlinie der EU stellt hohe Anforderungen an Unternehmen

Stichtag ist Oktober 2024
NIS2-Richtlinie: Schutzschild und Damoklesschwert

17. April 2024
21 Minuten Lesezeit
Cyberangriffe bedrohen die deutsche Wirtschaft und verursachen erhebliche Schäden. 45 % der angegriffenen Unternehmen fürchten anschließend um ihre Existenz. Vor diesem Hintergrund müssen Unternehmen angemessene Maßnahmen ergreifen, um ihre digitale Infrastruktur zu schützen. Doch die dafür verabschiedete EU-Richtlinie „NIS2“ ist nicht ohne und verlangt ihnen einiges ab.

» Hertha Kerz, freie Fachjournalistin in Hamburg

Die erste NIS-Richtlinie stammt aus dem Jahre 2016 und wurde in überarbeiteter Form im Dezember neu veröffentlicht (NIS2). „NIS“ steht für „Network and Information Systems“. Was diese Vorgabe will, hat sich nicht verändert. Das Bundesamt für Sicherheit in der Informationstechnik (BIS) umschreibt Sinn und Zweck in einer einzigen, wuchtigen Definition: „EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“.

Die NIS musste angepasst werden, weil die Überwachung ihrer Umsetzung nicht lückenlos, das Offenlegen von Sicherheitsvorfällen nicht gewährleistet und manche Regelungen mehrdeutig waren. Das Ziel soll aber maximale Cyberresilienz sein. Alle EU-Mitgliedstaaten sind nun verpflichtet, die NIS2 bis zum 27. Juni 2024 in nationales Recht umzusetzen, damit die Unternehmen sie bis Oktober 2024 implementieren. Es gibt keine Karenzzeiten oder Übergangsfristen.

Flankiert wird die NIS2 von drei weiteren Regelungen: dem NIS2UmsuCG, der RCE/CER-Richtlinie und dem Kritis-DachG.

Mit dem ✚-Zeichen klappen Sie weitere Informationen aus.

Im Vergleich: NIS-2 und NIS2UmsuCG, RCE-Richtlinie, KRITIS-DachG
Die Tabelle verdeutlicht die Unterschiede und Ergänzungen zwischen der NIS-2-Richtlinie, dem NIS2UmsuCG, der RCE-Richtlinie / CER Richtlinie und dem KRITIS-DachG.

Während die NIS-2-Richtlinie sich auf die Cybersicherheit konzentriert, zielt das KRITIS-DachG auf den physischen Schutz kritischer Infrastrukturen ab. Das NIS2UmsuCG dient der nationalen Umsetzung der NIS-2-Richtlinie in Deutschland, während die RCE-Richtlinie Resilienzmaßnahmen für kritische Infrastrukturen betont. Gemeinsam sollen sie die Sicherheit und Widerstandsfähigkeit von Unternehmen und Infrastrukturen gegen Cyberbedrohungen stärken.

Quelle: Hertha Kerz

Wird von der NIS2 gesprochen, sind also vier Richtlinien und Gesetze gemeint. Sie korrelieren in ihrer Umsetzung mit der Cybersicherheitsagenda der Bundesregierung von 2022.

Cybersicherheitsagenda

Die Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat umfasst verschiedene Ziele und Maßnahmen für die 20. Legislaturperiode. Die wichtigsten Schwerpunkte:

  • Cybersicherheitsarchitektur modernisieren und harmonisieren: Ziel ist es, die Cybersicherheitsarchitektur in Deutschland zu verbessern und in der EU aufeinander abzustimmen, um eine effektive Sicherheitsinfrastruktur zu erhalten.
  • Cyberfähigkeiten und digitale Souveränität der Sicherheitsbehörden stärken: Die Agenda soll die Fähigkeiten im Bereich Cybersecurity stärken und die digitale Souveränität der Sicherheitsbehörden erhöhen.
  • Cybercrime und strafbare Inhalte im Internet bekämpfen: Ein wichtiger Aspekt ist der Kampf gegen Cyberkriminalität und illegale Inhalte im Internet, um die Sicherheit im digitalen Raum zu verbessern.
  • Cybersicherheit der Behörden vor Cyberangriffen schützen: Angestrebt wird die Cybersicherheit der Behörden, um sie vor potenziellen Cyberangriffen zu schützen.
  • Digitale Souveränität in der Cybersicherheit stärken: Die Agenda soll die digitale Souveränität im Bereich Cybersicherheit stärken, um unabhängiger und widerstandsfähiger gegenüber digitalen Bedrohungen zu sein.
  • Krisenfeste Kommunikationsfähigkeit schaffen und Sicherheit der Netze ausbauen: Damit wird eine robuste Kommunikationsfähigkeit in Krisensituationen sichergestellt und die Sicherheit von Netzwerken verbessert.

Wird der Zeitplan eingehalten?

Viele Gründe stehen jedoch dem Umsetzungstermin entgegen. Denn NIS2 ist (zu) komplex. Die Zusammenarbeit zwischen Regierungen, Unternehmen und Aufsichtsbehörden gestaltet sich zeitraubend, die Realisierung der technischen und organisatorischen Maßnahmen in den Unternehmen ist zeit- und ressourcenintensiv sowie teuer. Und das Dachgesetz für kritische Infrastrukturen (Kritis-DachG) befindet sich erst im Entwurfsstadium. Dazu kann das NIS2UmsuCG mit hoher Wahrscheinlichkeit nicht im Oktober 2024 in Kraft treten, da aktuell erst der zweite Referentenentwurf im Bundestag diskutiert wird. Der Lauf durch die politischen Instanzen bis zur Verabschiedung des Gesetzes im Oktober 2024 ist in Deutschland nicht zu schaffen.

Dazu müssen die Mitgliedsstaaten eine NIS-Behörde und ein „Computer Security Incident Response Team“ (CSIRT) einrichten. Das ist eine Gruppe von IT-Fachleuten, die helfen, für Notfälle der Cybersicherheit vorzubeugen oder sie zu bewältigen. Das CSIRT koordiniert die Maßnahmen bei der Reaktion auf Sicherheitsvorfälle. Seine Hauptaufgabe besteht darin, die Kontrolle wiederzuerlangen und Schäden zu minimieren.

Mit dem ✚-Zeichen klappen Sie weitere Informationen aus.

Neuerungen für die EU-Mitgliedsstaaten
Folgende Neuerungen ergeben sich für die EU-Mitgliedsstaaten:

  • Die Mitgliedsstaaten (MS) müssen über angemessene Ausstattungen verfügen, wie beispielsweise ein CSIRT (Computer Security Incident Response Team) und eine zuständige Netz- und Informationssystembehörde (NIS).
  • Eine Kooperationsgruppe unterstützt und vereinfacht die strategische Zusammenarbeit und den Informationsaustausch zwischen den MS. Sie wird von Vertretern der EU-Mitgliedstaaten, der Europäischen Kommission und der EU-Agentur für Cybersicherheit (ENISA) gebildet. Die Gruppe spielt eine entscheidende Rolle bei der Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den MS.
  • Wichtige Anbieter digitaler Dienste, wie Suchmaschinen, Cloud-Computing-Diensten, Online-Marktplätzen sowie noch nicht bekannten weiteren digitalen Diensten, müssen den Sicherheits- und Meldepflichten nachkommen.
  • Eine sektorübergreifende Kultur der Sicherheit wird gefördert, da sie für Wirtschaft und Gesellschaft von entscheidender Bedeutung und stark von einer kritischen Infrastruktur (KRITIS) abhängig ist.
  • Unternehmen, die als den KRITIS-Unternehmen zugehörig eingestuft werden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorkommnisse unterrichten.

Welche Unternehmen betroffen sind

Die Richtlinie betrifft grundsätzlich alle Betreiber kritischer Infrastrukturen (Kritis) und darüber hinaus die Betreiber wichtiger und wesentlicher (digitaler) Dienste. Wer konkret betroffen ist, lässt sich nicht in einem Satz sagen. Bei den „Essential Entities“ sind es beispielsweise Unternehmen mit über 250 Mitarbeitern, 50 Mio. Euro Umsatz oder 43 Mio. Euro Bilanzwert. Doch daneben gibt es noch „Important Entities“ und mittlere Firmen mit wieder anderen Klassifizierungen. Insgesamt, so wird geschätzt, fallen 30.000 Unternehmen unter die NIS2-Richtlinie. Wer nicht genau weiß, ob seine Firma gefordert ist, sollte dies über einen externen Dienstleister oder das BSI für sich klären.

Was auf Firmen zukommt

Von diesen Unternehmen fordert das NIS2 umfangreiche technische, operative und organisatorische Maßnahmen, um die Cybersicherheit zu stärken. Dazu gehört ein Risikomanagement für Netzwerke und die Sicherheit in der Lieferkette. Ebenso Pläne, um auf Angriffe schnell reagieren und so die Geschäftskontinuität sicherstellen zu können.

Das Risikomanagement sieht beispielsweise monatliche interne Sicherheitsüberprüfungen vor. Veraltete Software etwa auf Unternehmenscomputern ist ein potenzielles Sicherheitsrisiko, das es zu identifizieren und bewerten gilt. Als Konsequenz muss die Software schnellstmöglich upgedatet oder gar entfernt werden. Diese proaktive Herangehensweise kann potenzielle Risiken frühzeitig erkennen und beheben.

Gleiche Szenarien finden sich für das Lieferkettenmanagement. Hier geht es darum, auch die Zulieferer einzubinden. Das Unternehmen wird zum Beispiel vertraglich festlegen, dass der Zulieferer regelmäßige Sicherheitsüberprüfungen durchführt, Richtlinien einhält und im Falle von Sicherheitsvorfällen angemessen reagiert. Solche Maßnahmen minimieren das Risiko von Cyberangriffen innerhalb der Lieferkette und stärken die Cybersicherheit des eigenen Unternehmens.

Eine Maßnahme, um die Geschäftskontinuität abzusichern, wäre die Implementierung eines „Business Continuity Management Systems“ (BCMS). Mit „Business Impact Analysen“ (BIA) prüft das Unternehmen regelmäßig, wie es auf unvorhergesehene Ereignisse wie Cyberangriffen oder Naturkatastrophen reagieren und handlungsfähig bleiben könnte. Basierend auf diesen Analysen zielen Maßnahmen darauf ab, die Geschäftskontinuität zu gewährleisten. Dies können Backup-Systeme, Notfallpläne, Schulungen für Mitarbeiter sowie regelmäßige Tests und Übungen sein, um die Wirksamkeit der Maßnahmen zu überprüfen. So stellt das Unternehmen sicher, dass es auch in Krisensituationen resilient bleibt und seine Geschäftstätigkeit aufrechterhalten kann.

Mit dem ✚-Zeichen klappen Sie weitere Informationen aus.

Einzelmaßnahmen der betroffenen Unternehmen
Cyber-Risikomanagement:

  • Dazu gehören Zugriffskontrollen, Verschlüsselungen, digitale Überwachungssysteme, zur Vorzubeugung und Abwehr von Cyberangriffen
  • Regelmäßige Risikobewertungen der IT-Systeme durchführen, potenzielle Risiken und Schwachstellen identifizieren und Abwehr- und Gegenmaßnahmen implementieren.
  • Entwickeln und Umsetzen von Plänen für Vorfallsmanagement und Business Continuity, Aufstellung von Richtlinien für Informationssicherheit, Schulung der Mitarbeiter zur Steigerung der Security Awareness.
  • Identifizierung und Verwaltung kritischer Assets durch den Aufbau eines Asset Managements.
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen inklusive Schwachstellenmanagement ergreifen.
  • Geeignete technische, operative und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen, um Risiken kontrollierbar zu machen.
  • Implementierung von Risikoanalyse- und Sicherheitskonzepten, Backup- und Krisenmanagement, Multi-Faktor-Authentifizierungen sowie Zugriffskontrollen.

Sicherheit in der Lieferkette

  • Implementierung von Sicherheitsmaßnahmen, wie z. B. Sicherheitsbestimmungen in Verträgen mit Lieferanten und Dienstleistern
  • Kooperation und Informationsaustausch mit Zulieferern, um Best Practices zu teilen
  • Sicherstellung, das Zulieferer angemessene Cybersicherheitsmaßnahmen implementieren
  • Überprüfung der Lieferanten auf NIS-2-Konformität und Einbeziehung in die Sicherheitsmaßnahmen

Business Continuity

  • Angemessene Pläne zur Geschäftskontinuität, einschließlich Backup- und Wiederherstellungsplänen
  • Tägliche Datensicherung auf externen Servern oder in der Cloud
  • Notfallkommunikationspläne, Festlegung von Kommunikationswegen, Verantwortlichkeiten im Krisenfall und regelmäßige Testung
  • Regelmäßige Simulationen von Cyberangriffszenarien und Reaktionen
  • Mitarbeiterschulung; Sensibilisierung für Cyberangriffe und Cyberabwehr

Schwierig für Unternehmen, die mit Cybersecurity erst beginnen

Hier haben es Unternehmen einfacher, die sich schon mit NIS1 auseinandersetzen mussten. „Aus technischer Sicht gibt es zwischen dem Vorgänger NIS1 und NIS2 nicht besonders große Unterschiede“, sagt Frank Kracht, Geschäftsführer der ITecoConsult GmbH & Co. KG, die technische Expertise mit ökonomischem Anspruch vereint. ITecoConsult bietet seit über 20 Jahren IT-Beratung, Systemtechnik und Prozessdesign an. „Ein Cyberangriff ist eine echte Gefahr für den Fortbestand eines Unternehmens und ein Risiko für die Lieferkette. Wer NIS1 erfüllt, wird mit dem Nachfolger wenig Probleme haben“, ermutigt Kracht die Firmen, am Ball zu bleiben.

Doch können Unternehmen, die sich nie mit diesem Themenkomplex auseinandersetzen mussten, die Richtlinie überhaupt umsetzen? „Grundsätzlich sind die genannten Themen der EU-Richtlinie für Experten greifbar, also auch umsetzbar“, meint Benjamin Richter, Geschäftsführer der Cyber Complete GmbH. Cyber Complete ist auf Projekte im Bereich Informationssicherheit spezialisiert und Teil der ComSec-Gruppe. Die Security-Experten verfolgen einen ganzheitlichen Ansatz zur Informationssicherheit und bieten Dienstleistungen zu Themen wie ISO 27001, NIS2, TISAX und Datenschutz an. Sie führen auch Fortbildungen und Trainings im Bereich Informationstechnologie und Datenschutz durch.

Die Umsetzung der Richtlinie im Unternehmen erfordert die Zusammenarbeit verschiedener Abteilungen und Verantwortlicher unter der Geschäftsleitung (GL). Die GL ist für die Einführung der Richtlinie und die Bereitstellung benötigter Ressourcen verantwortlich. Und: „NIS2 erwartet von der Geschäftsführung, dass sie sich in der Cybersecurity weiterbildet, um Gefahren und Risiken zu bewerten“, erklärt Kracht. Ein Geschäftsführer wird dadurch aber nicht schon zum IT-Spezialisten – und das könnte ihm die qualitative Bewertung von Gefahren und Risiken faktisch unmöglich machen. „Viele IT-Abteilungen arbeiten aufgrund des Fachkräftemangels am Limit, so dass eine NIS2-Implementierung ohne externe Hilfe schwer umzusetzen ist“, konstatiert Kracht.

Nicht ohne externe Dienstleister

Nicht wenige suchen deshalb Unterstützung bei externen Dienstleistern. Aber das Feld der Anbieter ist groß. So sind in Deutschland rund 25.000 Unternehmen auf der Suche nach einem IT-Partner. Denn das Umsetzen der Richtlinie steht und fällt mit der eigenen IT-Abteilung (die aber häufig nicht genau weiß, was im Einzelnen getan werden muss) beziehungsweise der kompetenten Unterstützung durch einen externen IT-Dienstleister. Die weitere Geschäftstätigkeit hängt davon ab, ob die Vorgaben der Richtlinie implementiert werden.

Die Auswahl sollte aber nicht überstürzt stattfinden. „Der Dienstleister sollte bereits einiges an Erfahrung mitbringen und nicht triviale Projekte erfolgreich durchgeführt haben“, sagt Richter. „Bei sogenannten ‚One-Man-Shows‘ wäre ich vorsichtig. Nicht wegen fehlendem Know-how sondern im Blick auf mögliche Vertretungen oder potenziell längerfristige Arbeitsausfälle.“

Bei der Auswahl eines externen IT-Dienstleisters empfiehlt es sich, bestimmte Kriterien zu berücksichtigen, um den Anforderungen der NIS-2-Richtlinie gerecht zu werden. Dazu zählen Erfahrung und Expertise des Dienstleisters in der Cybersicherheit, seine Zuverlässigkeit und Reputation sowie das Einhalten von Compliance-Standards und relevante Zertifizierungen. Weitere Aspekte sind ein effektiver Kundensupport mit angemessener Reaktionszeit, Anpassungsfähigkeit an individuelle Anforderungen sowie eine transparente Kommunikation und klare Berichterstattung über Sicherheitsmaßnahmen. Dann ist der Grund gelegt für eine erfolgreiche Partnerschaft mit dem IT-Dienstleister.

„In den meisten Fällen findet ein Auftakt-Workshop vor Ort statt, um den Kunden kennenzulernen und schnellstmöglich den Status Quo zu ermitteln“, erklärt Richter. „Danach entwickeln wir gemeinsam einen realistischen Projektplan. Hierfür haben wir Checklisten entwickelt.“

Und Frank Kracht ergänzt: „Unternehmen sollten möglichst früh festlegen, welche Aufgaben sie nach außen vergeben.“ Für KMU empfiehlt er den Cyberresilienzcheck nach DIN SPEC 27076. „Er analysiert die Cyberresilienz nach einem standardisierten Verfahren. Der Abschlussbericht beinhaltet eine Punkteauswertung und visualisiert die aktuellen Cyberrisiken. Er listet die notwendigen Maßnahmen nach ihrer Priorität auf und benennt mögliche Fördermittel.“

Unternehmen können den Cyberrisiko-Check auch vom BSI durchführen lassen. Die Behörde bietet auch entsprechende Weiterbildungen an. Eigenständig durchführen lässt sich der Check aber nur, wenn das IT-Personal das dafür nötige Wissen hat.

Hohe Kosten für Unternehmen

Mit dem Umsetzen der Richtlinie sind Kosten und oft umfangreiche strukturelle Anpassungen verbunden.

Mit dem ✚-Zeichen klappen Sie weitere Informationen aus.

Auswirkungen der Richtlinie auf die einzelnen Sektoren
Besondere Auswirkungen der Richtlinie auf die einzelnen Sektoren, Vorteile und Nachteile für deren Unternehmen

Quelle: Hertha Kerz

Wichtig ist, wie flexibel sich angebotene Lösungen an die spezifischen Anforderungen anpassen und wie gut integrieren lassen. „Da wir uns immer in bestehenden IT-Umgebungen befinden, versuchen wir so minimalinvasiv wie möglich zu arbeiten“, versichert Kracht. „Wir arbeiten möglichst ‘agent less‘ und setzen auf Schnittstellen wie WMI, SNMP und APIs bestehender Systeme.“ Und Benjamin Richter von Cyber Complete ergänzt: „Im Gegensatz zu großen Systemhäusern stellen wir uns komplett auf den Kunden ein und versuchen ihm nicht unsere Standard-Software aufzuzwängen. Als ein agiles Team können wir uns auch mit Kundensoftware beschäftigen, die kein Standard ist.“

Das hört sich alles sehr teuer an – und es ist teuer, bestätigt Richter. „Auch bei kleinen Unternehmen liegen die Kosten im fünfstelligen Bereich, sollte dort noch keine Basis für Informationssicherheit vorhanden sein. Bei größeren Unternehmen können sehr schnell sechsstellige Summen zusammenkommen.“

NIS2 – Bürde und Chance

Die anfallenden Kosten lassen sich nicht generell beziffern. Die NIS2 betrifft weit über 30.000 Unternehmen in Deutschland, der Zeitaufwand für ihre Implementierung variiert je nach Sektor, Branche, IT-Infrastruktur, Neustrukturierung der Unternehmensprozesse, Unternehmensgröße und spezifischen Anforderungen zwischen drei Monaten und zwei Jahren. Und der Kunde muss häufig auch nach dem IT-Infrastruktur-Upgrade betreut werden.

So bleiben Dienstleister lange involviert. „Während der Projektphase ist mindestens ein Mitarbeiter fester Ansprechpartner beim Kunden“, verspricht Richter. „Nach dem Projekt kommt es auf den Service an, den er benötigt. Das ist je nach Branche und Größe unterschiedlich.“ Doch auch dabei bleibt es nicht. Die Mitarbeiter müssen mit den neuen IT-Gegebenheiten vertraut gemacht werden. „Wir bieten eine Vielzahl an persönlichen, aber auch an Remote-Schulungen an“, sagt Richter.

Die NIS-Richtlinie macht Sinn. Cybersecurity hat schon lange hohen Stellenwert in der Wirtschaft, auch ohne NIS. „In meiner Tätigkeit als BCM–Consultant stelle ich vermehrt fest, dass Cybersicherheit und Datenschutz von Kunden aktiv eingefordert wird“, berichtet Frank Kracht. „NIS2 definiert letztlich Mindeststandards an die Cybersicherheit für den Umgang mit Risiken und wird sich zum Wettbewerbsvorteil entwickeln.“ Und Richter appelliert: „Auch nicht betroffene Unternehmen können sich an dieser Art Framework sehr gut orientieren und danach ihre Informationssicherheit aufbauen.“

Cybersecurity will geprüft sein

Viele Unternehmen wollen mehr als ein Upgrade der IT-Infrastruktur. Sie suchen nach Spezialisten, die ihre Systeme auf die Probe stellen – also professionelle Hacker. Leider ist diese Anforderung nicht in der NIS2-Richtlinie verankert. Es ist jedoch entscheidend, nicht nur Upgrades zu installieren, sondern auch ihre Widerstandsfähigkeit zu prüfen. Das tun die IT-Dienstleister intensiv, haben aber meist keine ausgeprägten Hackerfähigkeiten. Und so hat sich der White-Hat-Hacker geradezu als Beruf etabliert.

„In den letzten Jahren erfreuen sich sogenannte Bug Bounty Programme immer größerer Beliebtheit“, erklärt Tim Philipp Schäfers, White-Hat-Hacker und IT-Sicherheitsberater. „Dabei zahlen Unternehmen Geld oder vergeben kostenfrei Produkte für valide gemeldete kritische Schwachstellen in ihren IT-Systemen. Also eine Art Finderlohn.“ Schäfers hat sich hier einen Namen gemacht.

NIS2 schreibt einen Mindeststandard an Informationssicherheit vor. Das schließt auch ein professionelles Patch- und Incidentmanagement ein. Patches und Releases werden von den Softwareherstellern bereitgestellt – vergleichbar mit denen von Microsoft. Allerdings gibt es auch IT-Abteilungen, die unternehmenseigene Software programmieren und damit Patches und Releases selbst entwickeln müssen. „Bei schwerwiegenden Incidents sind Meldepflichten an Aufsichtsbehörden vorgesehen“, weiß Schäfers – bei signifikanten Bedrohungen innerhalb von 24 Stunden zur Frühwarnung und innerhalb von 72 Stunden als offizielle Meldung.

Zum Best Practise gehört es, dass Firmen konkrete Ansprechpartner beispielsweise im Bereich Datenschutz benennen. „Bei der Meldung von Schwachstellen stand ich bei größeren Unternehmen häufig vor dem Problem, überhaupt korrekte Ansprechpartner zu finden“, beklagt Schäfers.

Cybersicherheit behinhaltet auch, Informationen zu klassifizieren – wie wichtig und wie vertraulich sie sind, und wer welche Berechtigungen hat. „Es geht also nicht nur um den Schutz vor Angriffen von außen, sondern auch von innen“, betont Schäfers. „Aber die Mehrzahl der Schäden wird von außen verursacht.“

Rechtliche Aspekte und Fallstricke

Von hoher Relevanz sind die rechtlichen Aspekte und Konsequenzen: Überwacht wird das Einhalten der NIS2-Richtlinie vom BSI, dem CSIRT und der Bundesnetzagentur. Diese Institutionen arbeiten eng mit dem BMI zusammen. „Bei Nichteinhaltung sieht der Sanktionskatalog unter anderem Bußgelder von zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor“, warnt Dr. Christoph Dally, Fachanwalt für IT-Recht. Zudem haften Geschäftsführer auch persönlich.

Mit dem ✚-Zeichen klappen Sie weitere Informationen aus.

Institutionen und ihre Maßnahmen bezüglich der NIS-2-Richtlinie
Die Institutionen spielen wichtige Rollen bei der Umsetzung und Anpassung der NIS-2-Richtlinie. Das BSI arbeitet an der Anpassung des BSIG-neu, während die Nationale CSIRT Maßnahmen zur Cybersicherheit umsetzt. Die Bundesnetzagentur ist in die nationale Umsetzung involviert, und das BMI arbeitet am NISUmsuCG zur Umsetzung der Richtlinie.

  • BSI (Bundesamt für Sicherheit in der Informationstechnik): Erstellung des BSIG-neu als Anpassung an die NIS-2-Richtlinie
  • Nationale CSIRT (Computer Security Incident Response Team): Umsetzung von Sicherheitsmaßnahmen und Reaktion auf Sicherheitsvorfälle
  • Bundesnetzagentur: Einbeziehung in die nationale Umsetzung der NIS-2-Richtlinie
  • Bundesministerium für Inneres und Heimat (BMI): Erarbeitung des NIS2UmsuCG zur Umsetzung der NIS-2-Richtlinie

Dr. Christoph Dally ist bei B/R/K/S Rechtsanwälte & Notare in Kassel tätig. Er berät schwerpunktmäßig Unternehmen in Fragen des Internet-Rechts, E-Commerce und anderen Bereichen des IT-Rechts. Mit umfangreicher Expertise arbeitet er eng mit Unternehmen zusammen, um sie im digitalen Bereich rechtlich zu unterstützen. „Das Thema NIS2 ist als geschäftskritisch zu behandeln“, bekräftigt er.

Geschäftsführer haften persönlich

Doch das ist nicht alles. Vielen Geschäftsführern ist nicht klar, was auf sie persönlich zukommt. Denn „IT-Sicherheit im Zusammenhang mit Cybercrime und Datenschutz wird zu einer eigenständigen und haftungsträchtigen Aufgabe der Geschäftsleitung“, erklärt Jens Ferner, ebenfalls Fachanwalt für IT-Recht in der Kanzlei Ferner Alsdorf. „Es kommt zu einer überraschend harten Haftungsregelung adressiert an die Geschäftsleitung, die ebenso umfassend wie unbeschränkt haften soll.“

Ferner verfügt im IT-Recht über umfangreiche Erfahrung bis in das Strafrecht und die Ethik hinein. Er hat eine bemerkenswerte berufliche Laufbahn hinter sich: Als selbstständiger Programmierer und Systementwickler führte ihn das Thema bis in die Tätigkeit als Rechtsanwalt und Dozent für Strafrecht und Cybercrime. Darüber hinaus ist er Autor von Publikationen über IT-Recht und hält regelmäßig Vorträge zu IT- und Strafrechtsfragen.

Rechtlich noch viele Unklarheiten

Das Umsetzen der NIS2 ist nicht ohne. Zunächst stellt sich die Frage der Anwendbarkeit. Denn viele Aussagen erlauben ein weites Feld von Interpretationen. Dr. Dally gibt einige Beispiele, die Laien ins Grübeln bringen und Fachleute den Kopf schütteln lassen. „Der maßgebliche Artikel 2 NIS2 enthält zahlreiche unbestimmte Rechtsbegriffe, die verschiedenen Auslegungen zugänglich sind. Exemplarisch kann hier Art. 2 Abs. 2 lit. b) NIS2 angeführt werden, der Dienste nennt, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind. Art. 21 NIS2 etwa normiert die Anforderungen für das Risikomanagement, das dem bestehenden Risiko angemessen sein muss.“

Was heißt „kritisch“, was „unerlässlich“ und was „angemessen“? Dr. Dally: „Diese unbestimmten Rechtsbegriffe werden erst durch die Rechtsprechung – etwa beim Überprüfen von Bußgeldentscheidungen – mit Leben gefüllt. So bringt gerade die Anfangszeit der NIS2-Umsetzung wegen der Rechtsunsicherheit enorme Herausforderungen und Risiken mit sich.“

NIS2-Richtlinie auch als Infoquelle nutzbar

Am besten haben es – nebenbei bemerkt – kleine und kleinste Unternehmen, die nicht unter die Richtlinie fallen und sich bisher gar nicht an die Cybersicherheit wagten – in der Hoffnung, dass schon nichts passiert. Sie erhalten unbeabsichtigt Unterstützung durch die vom Gesetzgeber erarbeitete Richtlinie. „Es macht Sinn, sich den Entwurf §30 NIS2UmsuCG anzuschauen“, empfiehlt Ferner. „Dort sind die Maßnahmen zum Risikomanagement vorgesehen. Jedes Unternehmen findet hier einen guten Leitfaden, um sich im sicherheitsrechtlichen Alltag zurechtzufinden.“ Das gelte auch für kleinste Firmen, die vom Anwendungsbereich ausgenommen sind. „Im Kern wird hier die Richtschnur für ein geeignetes IT-Sicherheitskonzept vorgegeben.“

Große Hoffnung können Unternehmen auf die von der Richtlinie geforderte Kooperation setzen. Um die Cybersicherheit zu stärken, sieht die NIS2 nämlich entsprechende Vorschriften für öffentliche und private Stellen vor. „Im Idealfall“, sagt Dally, „geben die Behörden ihre Praxiserfahrungen an die Unternehmen weiter und diese spielen branchenrelevante Sicherheitsrisiken über die Behörden schnell an den relevanten Kreis aus. Ein solches Informationsnetzwerk kann von entscheidender Bedeutung für die Abwehr von Cyberbedrohungen sein, wenn es in der Lage ist, schnell zu reagieren.“

Andererseits befürchtete der Gesetzgeber, dass Unternehmen sich weigern könnten, ihren NIS2-Pflichten nachzukommen. Dafür hat er im Umsetzungsgesetz bereits vorgesorgt. „Drei Schritte sind vorgesehen“, erklärt Ferner. „Als erstes kann das Bundesamt Anweisungen geben, die umzusetzen sind. Auf der zweiten Stufe kann das Bundesamt einen Beauftragten im Unternehmen installieren, der entsprechende Befugnisse hat. Sollte auch diese Maßnahme nicht verfangen, ist auf letzter Stufe die Suspendierung des Vorstands durch das Bundesamt als Möglichkeit vorgesehen.“

Resümee: Vieles ist (zu) unklar

Ein Resümee. So wichtig ein Cybersicherheitssystem für die Infrastruktur eines Landes ist – bisher bedeutet die NIS2 in vielen Bereichen ein unkalkulierbares Risiko für Unternehmen. Vieles wird sich erst durch zukünftige Rechtsprechungen klären. Hier ist nur zu empfehlen, frühzeitig Kontakt mit darauf vorbereiteten Anwaltskanzleien aufzunehmen, um nicht später suchen zu müssen. Darüber hinaus sollten betroffene Unternehmen dringendst auf ihre Berufsverbände einwirken, dass zumindest das Umsetzen der Richtlinie finanzielle Unterstützung erfährt.

Geschäftsführer sollten außerdem ihren Versicherungsschutz nicht vernachlässigen. Es gibt Versicherungen, die auf Risiken im Zusammenhang mit der NIS2-Richtlinie spezialisiert sind und auch die Chefs decken. Diese Versicherungen zielen darauf ab, Führungskräfte vor persönlicher Haftung zu schützen, die durch Verstöße gegen Bestimmungen der NIS2-Richtlinie entstehen können.

Der aktuelle Stand

Dieser Artikel bietet einen Überblick über die NIS-2-Richtlinie in ihrer aktuellen Fassung.

Mit dem ✚-Zeichen klappen Sie weitere Informationen aus.

Stand April 2024: Vergleich NIS und NIS2
Vergleich NIS und NIS2

Quelle: Hertha Kerz

Die dazugehörigen Gesetze und Vorschriften befinden sich jedoch im Fluss. Es ist zu empfehlen, sich auf dem Laufenden zu halten. Eine zuverlässige Quelle ist beispielsweise die AG Kritis: https://ag.kritis.info/?s=nis2

 

Olaf Stauß, Redaktion Industrieanzeiger
Bild: Tom Oettle

Cybersecurity geht alle an

„Kriegstüchtig“ zu werden, ist wieder Thema. Nicht ohne Grund. Auch in der Cyberwelt tobt längst ein Krieg und gefährdet Unternehmen. Die EU geht zurecht dagegen vor mit ihrer NIS2-Richtlinie. Nur scheint die Politik mit dem Umsetzen überfordert – und das droht nun auch der Industrie. Hier hilft nur noch ein Appell: Der Staat muss unter die Arme greifen, sonst geht es schief. Firmen ist zu raten, was die Fachautorin in ihrem Resümee schreibt: Zügig informieren, tätig werden, Verbände aktivieren und Anwälte bereit halten.

Unsere Whitepaper-Empfehlung
Teilen:
Industrieanzeiger
Titelbild Industrieanzeiger 15
Ausgabe
15.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de