NIS 2 baut auf der 2016 veröffentlichten ersten NIS-Version auf. Eine wesentliche Neuerung der aktualisierten Direktive ist die Erweiterung des Geltungsbereichs, sodass bereits Unternehmen ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz hierunter fallen, sofern sie einem der im Fokus befindlichen Sektoren – z. B. Maschinenbauunternehmen, Betreiber von Online-Marktplätzen, Nahrungsmittelproduzenten, aber auch Körperschaften des Öffentlichen Rechts – zuzuordnen sind. Nach Schätzungen des Bundesinnenministeriums werden ca. 27.000 Unternehmen in Deutschland von NIS 2 betroffen sein, was einer Verzehnfachung der bisher als KRITIS Fokus definierten Betreiber bedeutet. Je nach Sektor-Zugehörigkeit und Größe der Unternehmen findet eine Einteilung in "besonders wichtige" und "wichtige" Unternehmen statt. Hauptsächliches Unterscheidungsmerkmal hierbei ist die proaktive bzw. reaktive Überwachung durch die Aufsichtsbehörde BSI (Bundesamt für Sicherheit in der Informationstechnik). Die umzusetzenden Cybersicherheitsmaßnahmen sind für beide Kategorien identisch.
Die NIS 2 Direktive definiert Mindeststandards, die von den Mitgliedstaaten zunächst in nationales Recht umzusetzen sind. Während einige EU-Länder die Direktive größtenteils wortgleich übernehmen, beabsichtigt die Bundesregierung eine teilweise Verschärfung der Anforderungen sowie eine zusätzliche Erweiterung des Geltungsbereichs. Gemäß dem zweiten Referentenentwurf des NIS2UmsuCG („NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“) aus dem Juli 2023 geht hervor, dass u. a. auch Unternehmen unabhängig von ihrer Größe als "wichtige" Unternehmen eingestuft werden, sofern sie einem bestimmten Sektor zugehören. Dies betrifft bspw. Unternehmen der Verteidigungsindustrie und deren Zulieferer sowie Fuhrparkbetreiber, die Gefahrstoffe transportieren - jeweils unabhängig von Umsatzkennzahlen oder der Zahl der Mitarbeitenden. Eine weitere Besonderheit des NIS2UmsuCG ist die Einführung der – durch die Unternehmen vertraglich nicht exkludierbare – Haftung der Geschäftsführenden und Vorstände mit ihrem Privatvermögen bei Verstößen. Hierdurch beabsichtigt der Gesetzgeber eine weitere Steigerung des Bewusstseins der Entscheider für dieses wichtige Thema. Ebenso können Geldstrafen durch die Aufsichtsbehörden gegen Unternehmen verhängt werden, wie bspw. bis zu 2 Prozent des globalen Jahresumsatzes bei „besonders wichtigen“ Unternehmen.
Die notwendigen Maßnahmen betreffen insbesondere das Risiko- und Informationssicherheitsmanagement im Unternehmen sowie die Umsetzung technischer Sicherheitsmaßnahmen nach dem Stand der Technik. Hierbei ist die Berücksichtigung eines gefahrenübergreifenden Ansatzes unerlässlich. Im Einzelnen fordert der Gesetzgeber die Umsetzung und Einhaltung von Cybersicherheits-Maßnahmen in folgenden Bereichen:
Ein etabliertes und im Unternehmen gelebtes ISMS (Informationssicherheitsmanagementsystem) ist die Grundlage für die Umsetzung der Maßnahmen. Sofern kein ISMS vorhanden ist, empfiehlt es sich, dessen Implementierung im Rahmen eines NIS 2 Umsetzungsprojekts zu integrieren.
Die o. a. konkreten Maßnahmen werden durch Registrierungs- und Meldepflichten ergänzt. Neben einer Registrierungspflicht für betroffene Unternehmen ist bspw. gefordert, dass Cybersicherheitsvorfälle innerhalb von 24 Stunden und Zwischenmeldungen nach 72 Stunden an das zuständige Bundesamt gemeldet werden. Sollten Organisationen der Registrierungspflicht nicht nachkommen, ist das NIS2UmsuCG trotzdem anwendbar; eine „zwangsweise“ Registrierung durch das BSI kann erfolgen.
Deloitte empfiehlt für die Umsetzung der NIS 2 eine vierstufige Vorgehensweise:
Da die Maßnahmenumsetzung größtenteils das ISMS im Unternehmen betrifft, ist es optional möglich, die Organisation auf eine Zertifizierung des ISMS gem. ISO 27001 oder BSI IT-Grundschutz vorzubereiten, da der zusätzlich hierfür anfallende Aufwand nicht wesentlich ist.
Bei Fragen zum NIS2UmsuCG kontaktieren Sie gerne unseren Experten Christian Zgardea.