Keine Zeit zu verlieren
Jeder Staat ist dazu verpflichtet, die Anforderungen der Richtlinie in nationales Gesetz umzusetzen und dieses spätestens am 17.10.2024 rechtskräftig zu veröffentlichen. Es ist keine Übergangsfrist vorgesehen. Die Anforderungen des Gesetzes müssen also direkt am Tage der Veröffentlichung von den betroffenen Unternehmen umgesetzt sein.
Betroffenheitskriterien gemäß NIS-2: Ein Überblick
Aus dem in NIS-2 definierten Anwendungsbereich ergibt sich eine große Menge an Unternehmen, die von der Richtlinie betroffen sind. Dabei müssen zwei Voraussetzungen erfüllt werden, um von NIS-2 betroffen zu sein. Für die erste Voraussetzung gilt, dass ein Unternehmen unter eine der drei folgenden drei Gruppen fällt:
- KRITIS Betreiber kritischer Infrastruktur (Versorgung von mehr als 500.000 Personen)
- Besonders wichtige Einrichtungen (über 250 Mitarbeiter oder über 50 Mio. € Umsatz)
- Wichtige Einrichtungen (über 50 Mitarbeiter oder über 10 Mio. € Umsatz)
Durch die entsprechende Gruppenzugehörigkeit wird auch definiert, welche Sicherheitsnachweise ein Unternehmen erbringen muss und wie es vom BSI überwacht wird. So müssen KRITIS-Unternehmen alle drei Jahre die Umsetzung der NIS-2 Richtlinie nachweisen, während diese Pflicht nicht für die anderen beiden Gruppen gilt. Jedoch kann das BSI besonders wichtige Einrichtungen unter anderem zu Audits verpflichten, um die Umsetzung der Anforderungen zu überprüfen. Weiter kann das BSI Anweisungen zur Umsetzung der Verpflichtungen an jedes betroffene Unternehmen übergeben.
Neben der Voraussetzung der Gruppenzugehörigkeit muss ein Unternehmen zweitens in einem der folgenden Sektoren agieren, um von NIS-2 betroffen zu sein:
- Energie
- Trinkwasser/Abwasser
- Verkehr
- Digitale Infrastrukturen
- Bankwesen
- Verwaltung von IKT-Diensten (Informations- und Kommunikationstechnologie)
- Finanzen
- Öffentliche Verwaltung
- Weltraum
- Gesundheitswesen
- Forschung
- Industrie
- Post- und Kurierdienste
- Lebensmittel
- Digitale Dienste (bspw. Soziale Netzwerke, Suchmaschinen, Online-Marktplätze)
- Chemie
- Abfallbewirtschaftung
Es können jedoch auch Unternehmen von NIS-2 betroffen sein, die keine der beiden Voraussetzungen erfüllen. Da die betroffenen Unternehmen unter Umständen die Anforderungen entlang ihrer Lieferkette weitergeben müssen, können somit auch deren Lieferanten und Dienstleister betroffen sein. Ist beispielsweise das Tagesgeschäft eines von NIS-2 betroffenen Unternehmens von einem IT-Dienstleister abhängig und würde ohne diesen nicht funktionieren, dann gilt NIS-2 ebenfalls für diesen Dienstleister.
Es ist weiterhin zu beachten, dass sich die Einrichtungen und Betreiber selbst identifizieren und registrieren müssen. Jedes Unternehmen muss in Eigenregie herausfinden, ob es unter die NIS-2 Sicherheitsrichtlinie fällt oder nicht.
Meldepflichten und Strafregelungen unter NIS-2
Weiterhin sollen neue Fristen im Hinblick auf die Meldepflicht bei Sicherheitsvorfällen und dazugehörige Strafen bei Nichtbefolgen eingeführt werden, die für alle betroffenen Unternehmen gleichermaßen gelten.
So müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI gemeldet werden. Innerhalb der ersten 72 Stunden muss eine Bewertung der Erstmeldung erfolgen und auf Nachfragen des BSI müssen Zwischenmeldungen gegeben werden. Nach vier Wochen soll eine Abschlussmeldung erfolgen, in der der Vorfall beschrieben und die Ursache, die getroffenen Maßnahmen sowie die Auswirkungen genannt werden.
Die Bußgelder, die bei Verstößen verhängt werden, können empfindlich ausfallen. Wenn beispielsweise Vorkehrungen zur Cybersicherheit nicht rechtzeitig getroffen oder Meldungen nicht übermittelt wurden, müssen wichtige Einrichtungen mit einer Zahlung von bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes des Unternehmens rechnen. Bei besonders wichtigen Unternehmen beträgt der Strafsatz bis zu 10 Mio. € oder 2% des Jahresumsatzes.
Vorbereitung auf das NIS-2 Gesetz
Um bereits gut auf das NIS-2 Gesetz vorbereitet zu sein empfiehlt es sich, bereits frühzeitig Vorkehrungen zu treffen und erste Maßnahmen zur Erhöhung der Cybersicherheit umzusetzen. Folgende Punkte bieten bereits eine gute Basis:
- Schulungen der Mitarbeiter
- Backup-Management
- Notfall- und Krisenmanagement
- Risikoanalyse/Sicherheitskonzepte für Informationssysteme
- Nutzung von Kryptographie und Verschlüsselung
- Sicherheit der Kommunikation
- Zugriffsmanagement
- Sicherheitsmaßnahmen in der Lieferkette
- Business Continuity Management
- Bewältigung von Sicherheitsvorfällen
Zusammenfassend lässt sich sagen, dass durch das NIS-2 Gesetz viele neue Anforderungen und Herausforderungen auf eine breite Masse an Unternehmen in Deutschland zu kommen. Eine gründliche Planung und frühzeitige Vorbereitung sind unerlässlich, um im Oktober 2024 nicht einem enormen Berg an Aufgaben konfrontiert zu werden.
Noch mehr Infos zu NIS-2 gibt es bei uns im Podcast: