Direkt zum Inhalt wechseln

Die Richtlinie (EU) 2022/2555 über “Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union”, besser bekannt als NIS 2-Richtlinie wurde im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen. Sie gilt seit Anfang des Jahres und ist bis zum Oktober nächsten Jahres umzusetzen. Ziel ist, kritische Infrastrukturen besser vor Cyberbedrohungen zu schützen und für ein hohes EU weites Sicherheitsniveau zu sorgen. Bestehende Bestimmungen wurden verschärft. Unternehmen, die den Bestimmungen der neuen NIS 2-Richtlinie nicht gerecht werden, drohen hohe Bußgelder.

Der Inhalt der Richtlinie ist sowohl für die Mitgliedstaaten als auch Unternehmen bestimmt. Mitgliedsstaaten sollen nationale Cybersicherheitsstrategien verabschieden und zuständige nationale Behörden einrichten oder benennen. Unternehmen müssen ein Cybersicherheitsmanagement einführen und darüber berichten.

Der genaue Umfang der Maßnahmen wird sich nach dem deutschen Umsetzungsgesetz richten. Im September wurde vom BSI ein „Diskussionspapier“ zum Dialog mit der Wirtschaft veröffentlicht, als dritten Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG).

In diesem Beitrag schlüsseln wir Ihnen den Vorschriften des NIS2UmsuCG auf und zeigen Ihnen, wie schnell ein Unternehmen als wichtige Einrichtung qualifiziert werden kann.

Wenn Sie prüfen wollen, ob Ihr Unternehmen unter die NIS-2-Regulierung fällt und welche Maßnahmen daraus gegebenenfalls folgen, melden Sie sich gern bei uns.

 

Übersicht: Wozu werden Betroffene Unternehmen verpflichtet?

 

Betreiber kritischer Anlagen

Besonders wichtige Einrichtung
Wichtige Einrichtung
Registrierungspflicht
Meldepflicht
Maßnahmen zum Risikomanagement
Höhere Anforderungen an Maßnahmen zum Risikomanagement
Einsatz von Systemen zur Angriffserkennung
Informationspflichten
Nachweispflicht ❌* ❌*
Billigungs-, Überwachungs- und Schulungspflicht des Geschäftsleiters

*Nachweispflicht im Einzelfall möglich

Welche Sektoren sind laut NIS2UmsuCG Sektoren mit hoher Kritikalität?

Die Sektoren mit hoher Kritikalität ergeben sich aus der Anlage 1 des NIS2UmsuCG:

Sektor

Teilsektor

Einrichtungsart
Energie
Stromversorgung
Stromlieferanten (§ 3 Nr. 31a EnWG
Betreiber von Elektrizitätsverteilernetzen (§ 3 Nr. 3 EnWG)
Betreiber von Übertragungsnetzen (§ 3 Nr. 10 EnWG)
Nominierte Strommarktbetreiber (Art. 2 Nr. 8 VO[EU] 2019/943)
Aggregatoren (§ 3 Nr. 1a EnWG)
Betreiber von Energiespeicheranlagen (§ 3 Nr. 15d EnWG)
Anbieter von Ausgleichsleistungen (§ 3 Nr. 1b EnWG)
Ladepunktbetreiber (§ 2 Nr. 8 LSV)
Fernwärme und -kälteversorgung
Betreiber von Fernwärme- bzw. Fernkälte-versorgung (§ 3 Nr. 19, 20 GEG)
Kraftstoff- und Heizölversorgung
Betreiber von Erdöl-Fernleitungen
Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen
Zentrale Bevorratungsstellen (Art. 2 lit. f RL 2009/119/EG)
Gasversorgung
Betreiber von Gasverteilnetzen (§ 3 Nr. 8 EnWG)
Betreiber von Fernleitungsnetzen (3 Nr. 5 EnWG)
Betreiber von Gasspeicheranlagen (§ 3 Nr. 6 EnWG)
Betreiber von LNG-Anlagen (3 Nr. 9 EnWG)
Gaslieferanten (§ 3 Nr. 19b EnWG)
Betreiber von Anlagen zur Gewinnung von Erdgas
Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas
Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung
Transport und Verkehr
Luftverkehr
Luftfahrtunternehmen, die für gewerbliche Zwecke genutzt werden (Art. 3 Nr. 4 VO [EG] Nr. 300/2008)
Flughafenleitungsorgane (Art. 2 Nr. 2 RL 2009/12/EG), Flughäfen (Art. 2 Nr. 1 RL 2009/12/EG) einschließlich der Flughäfen des Kernnetzes und Einrichtungen, die innerhalb von Flughäfen befindliche zugehörige Einrichtungen betreiben (Anhang II Abschnitt 2 VO[EU] Nr. 1315/2013)
Flugverkehrskontrolldienste (§ 27c Abs. 2 Nr. 1 lit. a LuftVG)
Schienenverkehr
Eisenbahninfrastrukturbetreiber (§ 2 Nr. 6, 6a AEG), einschließlich zentraler Einrichtungen, die den Zugbetrieb vorausschauend und bei unerwartet eintretenden Ereignissen disponiert
Eisenbahnverkehrsunternehmen (§ 2 Nr. 3 AEG), einschließlich Betreiber einer Serviceeinrichtung (§ 2 Nr. 9 AEG)
Schiffahrt
Passagier- und Frachtbeförderungsunter-nehmen der Binnen-, See- und Küstenschifffahrt (Anhang I VO[EG] Nr. 725/2004)
Die einzelnen betriebenen Schiffe dieser Unternehmen sind nicht mitumfasst
Leitungsorgane von Häfen (Art. 3 Nr. 1 RL 2005/65/EG), einschließlich ihrer Hafenanlagen (Art. 2 Nr. 11 VO[EG] Nr. 725/2004), sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße (§ 1 Abs. 6 Nr. 1 WaStrG)
Straßenverkehr
Betreiber einer Anlage oder eines System zur Verkehrsbeeinflussung im Straßenverkehr, einschließlich der in § 1 Abs. 4 Nr. 1, 3 und 4 des FStrG genannten Einrichtungen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und -sicherheit im Straßenbau, sowie der Telekommunikationsnetze der Bundesautobahnen.
Betreiber eines intelligenten Verkehrssystems (§ 2 Nr. 1 IVSG)
Finanz- und Versicherungswesen
Bankwesen
Kreditinstitute: Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rück-zahlbare Gelder des Publikums entgegen-zunehmen und Kredite für eigene Rechnung zu gewähren
Finanzmarktinfrastruktu-ren
Handelsplätze (§ 2 Abs. 22 WpHG)
Zentrale Gegenparteien, die zwischen die Gegenparteien der auf einem oder mehre-ren Märkten gehandelten Kontrakte tritt und somit als Käufer für jeden Verkäufer bzw. als Verkäufer für jeden Käufer fungiert
Gesundheit
Erbringer von Gesundheitsdienstleistungen
EU-Referenzlaboratorien (VO[EU] Nr. 2022/2371)
Unternehmen, die Forschungs- und Ent-wicklungstätigkeiten in Bezug auf Arzneimittel ausüben (§ 2 AMG)
Unternehmen, die pharmazeutische Erzeugnisse herstellen (Abschnitt C Abteilung 21 NACE Rev. 2)
Unternehmen, die Medizinprodukte herstel-len, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch eingestuft werden (Art. 22 VO[EU] Nr. 2022/123)
Wasser und Abwasser
Trinkwasserversorgung
Betreiber von Wasserversorgunsanlagen (§ 2 Nr. 3 TrinkwV), unter Ausschluss der Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist
Abwasserbeseitigung Unternehmen, die Abwasser sammeln, entsorgen oder behandeln (§ 2 Abs. 1 AbwAG), unter Ausschluss der Unternehmen, für die dies einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit darstellt
Informationstechnik und Telekommunikation
Betreiber von Internet-Knoten (Internet Exchange Points)
DNS-Dienstanbieter, ausgenommen Betreiber von Root-Nameservern
TLD-Namensregister
Anbieter von Cloud-Computing-Diensten
Anbieter von Rechenzentrumsdiensten
Betreiber von Inhaltszustellnetzen (Content Delivery Networks)
Vertrauensdienstanbieter
Anbieter öffentlicher elektronischer Kommu-nikationsnetze
Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
Managed Services Provider
Managed Security Services Provider
Weltraum
Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze
Was sind sonstige kritische Sektoren?

Sonstige kritische Sektoren ergeben sich aus Anlage 2 zum NIS2UmsuCG:

Sektor

Teilsektor

Einrichtungsart
Transport und Verkehr
Post- und Kurierdienste
Anbieter von Postdienstleistungen (§ 4 Nr. 1 PostG), einschließlich Anbieter von Kurierdiensten
Siedlungsabfallentsorgung
Unternehmen der Abfallbewirtschaftung (§ 3 Abs. 14 KrWG), ausgenommen Unternehmen, für die die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit darstellt
Produktion, Herstellung und Handel mit chemischen Stoffen
Unternehmen, die Stoffe herstellen und mit Stoffen oder Gemischen handeln (Art. 3 Nr. 9, 14 VO[EG] Nr. 1907/2006) und Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren (Art. 3 Nr. 3 VO[EG] Nr. 1907/2006)
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind (Art. 3 Nr. 2 VO[EG] Nr. 178/2002)
Verarbeitendes Gewerbe/Herstellung von Waren
Unternehmen, die Medizinprodukte herstellen (Art. 2 Nr. 1 VO[EU] 2017/745) und Einrichtungen, die In-vitro-Diagnostika herstellen (Art. 2 Nr. 2 VO[EU]  2017/746), mit Ausnahme der bereits in Anhang I unter „Gesundheit“ aufgeführten Einrichtungen, die Medizinprodukte herstellen
Herstellung von Medizinprodukten und In-vitro-Diagnostika
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 26 der NACE Rev. 2 ausüben
Herstellung von Daten-verarbeitungsgeräten, elektronischen und optischen Erzeugnissen
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 27 der NACE Rev. 2 ausüben
Maschinenbau
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 28 der NACE Rev. 2 ausüben
Herstellung von Kraftwagen und Kraftwagenteilen
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 29 der NACE Rev. 2 ausüben
Sonstiger Fahrzeugbau
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 30 der NACE Rev. 2 ausüben
Anbieter digitaler Dienste
Anbieter von Online Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Plattformen für soziale Netzwerke
Forschung
Forschungseinrichtungen
Was ist eine besonders wichtige Einrichtung?

Besonders wichtige Einrichtungen sind

  1. Unternehmen, die in Sektoren aus Anlage 1 mit entweder mehr als 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro und einer Jahresbilanz von mehr als 43 Millionen Euro.
  2. Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Registries oder DNS-Diensteanbieter
  3. Ein Anbieter von Telekommunikationsdiensten
  4. Ein Betreiber kritischer Anlagen
  5. Eine Einrichtung, die  dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehört
Was ist eine wichtige Einrichtung?

Wichtige Einrichtungen sind

  1. Unternehmen, die in Sektoren aus Anlage 1 und 2 mit entweder mehr als 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanz von jeweils mehr als 10 Millionen Euro.
  2. Vertrauensdiensteanbieter

Die nicht als besonders wichtige Einrichtungen zu qualifizieren sind.

Gibt es Ausnahmen?

Ausgenommen sind Finanzunternehmen im Sinne des Art. 2 Abs. 2 der VO (EU) 2022/2554. Diese umfassen:

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung über Krypto-Märkte zugelassen sind und Emittenten wertreferenzierter Token
  • Zentralverwahrer
  • zentrale Gegenparteien
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
  • Einrichtungen der betrieblichen Altersvorsorgung
  • Ratingagenturen
  • Administratoren kritischer Referenzwerte
  • Schwarmfinanzierungsdienstleister
  • Verbriefungsregister

Ferner sollen Unternehmen ausgenommen sein, für welche die Anforderungen der VO (EU) 2022/2554 auf Grund des Kreditwesengesetzes oder des Versicherungsaufsichtsgesetz gelten. Normen hierzu sollen in den jeweiligen Gesetzen ergänzt werden (zukünftig: § 1a Abs. 2  KWG, § 293 Abs. 5 VAG).

Was sind kritische Anlagen?

Kritische Anlagen sind gem. § 28 Abs. 6 des NIS2UmsuCG Anlagen, die den Sektoren

  • Energie
  • Transport
  • Finanz- und Versicherungswesen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Weltraum
  • Siedlungsabfallentsorgung

angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden

Welche Anlagen im Einzelnen kritisch sind, bestimmt sich nach der Rechtsverordnung nach § 57 Abs. 5 NIS2UmsuCG.

Was für Maßnahmen müssen implementiert werden?

Besonders wichtige und wichtige Unternehmen

  • Verpflichtung geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen
  • Ziel: Störungen von IT-Systemen vermeiden und Auswirkungen von Sicherheitsvorfällen gering halten
  • Die ergriffenen Maßnahmen müssen mindestens folgende Aspekte umfassen:
    • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
    • Bewältigung von Sicherheitsvorfällen,
    • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
    • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
    • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
    • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß-nahmen im Bereich der Cybersicherheit,
    • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
    • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
    • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
    • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Betreiber kritischer Anlagen

  • Auch aufwendigere Maßnahmen verhältnismäßig, sofern der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steht
  • Betreiber kritischer Anlagen müssen Systeme zur Angriffserkennung einsetzen
    • Systeme müssen:
      • Dem Stand der Technik entsprechen
      • fortlaufend Bedrohungen identifizieren und vermeiden
      • geeignete Maßnahmen für Störungen vorsehen
    • Aufwand darf nicht außer Verhältnis zu den Folgen eines Aufalls oder der Beeinträchtigung der betroffenen kritischen Anlagen stehen
Muss die Implementation nachgewiesen werden?

Betreiber kritischer Infrastruktur

  • Eine Nachweispflicht besteht nur für Betreiber kritischer Anlagen
    • Innerhalb von 3 Jahren nach Inkrafttreten des NISUmsuCG Erfüllung der oben genannten Anforderungen gegenüber dem Bundesamt nachweisen
    • Anschließend erneuter Nachweis alle 3 Jahre
  • Werden Sicherheitslücken gefunden:
    • Bundesamt kann Vorlage einer Behebungsstrategie verlangen oder
    • im Einvernehmen mit zuständiger Aufsichtsbehörde die Behebung der Sicherheislücke

Besonders wichtige und wichtige Einrichtungen

  • Wichtige und besonders wichtige Einrichtungen müssen die Maßnahmen zwar umsetzen, aber keine regulären Nachweise hierüber erbringen

    • Das BSI kann aber gem. § 64 NIS2UmsuCG einzelne besonders wichtige Einrichtungen zu Nachweisen und Prüfungen verpflichten oder

    • die Einhaltung der Vorschriften auch selbst überprüfen.

  • Liegen Tatsachen vor, die die Annahme rechtfertigen, dass eine wichtige Einrichtung auferlegte Pflichten nicht oder nicht richtig umsetzt, kann auch wichtigen Einrichtungen eine Nachweispflicht gem. § 65 NIS2UmsuCG auferlegt werden.

Wer unterliegt einer Registrierungspflicht?
  • Erstmals oder wieder die Voraussetzungen einer wichtigen Einrichtung oder besonders wichtigen Einrichtung erfüllt:
    • innerhalb von 3 Monaten nach Erfüllung der Voraussetzungen dem Bundesamt die in § 33 Abs. 1  NISUmsuCG genannten Angaben übermitteln:
      • Name der Einrichtung, Rechtsform und Handelsregisternummer
      • Anschrift und aktuelle Kontaktdaten
        • E-Mail-Adresse
        • IP-Adressbereiche
        • Telefonnummern
      • Relevanter Sektor aus Anlage 1 oder 2 und ggf. der Teilsektor
      • Auflistung der Mitgliedstaaten, in denen die relevaten Dienste erbracht werden
  • Als Betreiber kritischer Anlagen deklariert:
    • innerhalb von 3 Monaten dem Bundesamt die in § 33 Abs. 1, 2 NISUmsuCG übermittlen:
      • Angaben wie oben
      • IP-Adressbereiche der von ihnen betriebenen Anlagen
      • Anlagenkategorie der ermittelten kritischen Anlage und Versorgungskennzahlen gem. Rechtsverordnung (auf Basis von § 54 Abs. 1 NISUmsuCG)
  • Erfolgt keine Übermittlung kann das Bundesamt die Registrierung auch für das Unternehmen vornehmen.
Wann muss eine Meldung erfolgen?

Für alle Einrichtungen

  • Erhebliche Sicherheitsvorfälle müssen dem Bundesamt über das hierfür eingerichtete Meldeverfahren gemeldet werden
  • Relevante Fristen zu beachten bei vorliegen eines erheblichen Sicherheitsvorfalls:
    • Innerhalb von 24 Stunden nach Kenntniserlangung: Frühe Erstmeldung
      • Angabe, ob erheblicher Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder
      • grenzüberschreitende Auswirkungen haben könnte
    • Innerhalb von 72 Stunden nach Kenntniserlangung: Zweite Meldung
      • Angaben der ersten Meldung bestätigen oder aktualisieren
      • Erste Bewertung des erheblichen Sicherheitsvorfalls inklusive Schweregrad, Auswirkungen sowie Kompromittierungsindikatoren
    • Innerhalb eines Monats nach Übermittlung der zweiten Meldung: Abschlussmeldung
      • Ausführliche Beschreibung des Sicherheitsvorfalls
      • Angaben zur Ursache und getroffenen Maßnahmen
      • Potenziell grenzüberschreitende Auswirkungen
  • Auf Nachfrage des Bundesamts sind auch Zwischenmeldungen zu geben

Besonderheiten bei Betreibern kritischer Anlagen

Sofern erheblicher Sicherheitsvorfall Auswirkungen auf die betriebene kritische Anlage hat oder haben könne müssen zusätzliche Informationen erbracht werden:

  • Art der betroffenen Anlage und kritische Dienstleistung
  • Auswirkung des erheblichen Sicherheitsvorfalls auf  die kritische Dienstleistung
Wann liegt ein erheblicher Sicherheitsvorfall vor?

Der Sicherheitsvorfall

  • hat schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste verursacht oder es besteht die Gefahr hierfür
  • hat anderen natürlichen oder juristischen Personen erhebliche materielle oder immaterielle Schäden zugefügt oder es besteht die Gefahr hierzu
Welche Pflichten werden dem Geschäftsleiter auferlegt?
  • Billigungs-, Überwachungs,- und Schulungspflicht nach § 38 NIS2UmsuCG
    • Ergriffene Risikomanangementmaßnahmen müssen gebilligt werden und ihre Umsetzung überwacht
      • Pflicht nicht abdingbar durch vertragliche Absprache mit der Einrichtung
    • Regelmäßige Teilnahme an Schulungen
      • Erlangung von Kenntnissen und Fähigkeiten zur Identifikation und Bewertung von Risiken sowie zur Anwendung von Risikomanagementmethoden im Bereich der Cybersicherheit
      • Einschätzung zu Auswirkungen von Risiken auf die von der Einrichtung erbrachten Dienste
  • Betreiber kritischer Anlagen unterliegen diesen Pflichten auch, da sie zugleich als besonders wichtige Einrichtung gelten
Was passiert wenn man seinen Pflichten nicht nachkommt?

Eine Nichteinhaltung wird schnell teuer. Verstößt ein Unternehmen vorsätzlich oder fahrlässig gegen Vorschriften des NIS2UmsuCG, können gem. § 60 NISUmsuCG empfindliche Bußgelder auferlegt werden. Je nach Verstoß kann eine Strafe von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erwirtschafteten jährlichen Umsatzes auferlegt werden.

Was sollten Sie tun?

Die oben genannten Schwellen der Mitarbeiterzahl oder des Jahresumsatzes sind schnell erreicht. Erfüllt Ihr Unternehmen die Schwelle für eine wichtige oder besonders wichtige Einrichtung aufgrund der Mitarbeiterzahl oder dem Jahresumsatz sollten Sie sich unbedingt mit den betroffenen Sektoren näher auseinandersetzen. In den Anlagen 1 und 2 zu NISUmsuCG werden teilweise sehr weitreichende Einrichtungsarten erwähnt. Es ist daher eine genaue Prüfung erforderlich, ob ihr Unternehmen auch unter diese Einrichtungsart fällt.

Beispiel 1:

In Anlage 2 werden unter den „Anbietern digitaler Dienste“ auch Online-Marktplätze erfasst. Dieser Begriff wird in § 312l Abs. 3 BGB legaldefiniert:

Online-Marktplatz ist ein Dienst, der es Verbrauchern ermöglicht, durch die Verwendung von Software, die vom Unternehmer oder im Namen des Unternehmers betrieben wird, einschließlich einer Webseite, eines Teils einer Webseite oder einer Anwendung, Fernabsatzverträge mit anderen Unternehmern oder Verbrauchern abzuschließen

Unter diese Definition fallen nicht nur Großunternehmen wie Amazon, sondern auch kleine Anbieter wie Kleinanzeigen (ehemals Ebay Kleinanzeigen) oder sogar Marktplätze in Videospielen wie der Skin-Markt in Counter Strike: Global Offensive.

Beispiel 2:

Neben den Online-Marktplätzen werden in Anlage 2 auch Online-Suchmaschinen erfasst. Art. 2 Nr. 5 VO(EU) 2019/1150 definiert Suchmaschinen folgendermaßen:

Einen digitalen Dienst, der es Nutzern ermöglicht, in Form eines Stichworts, einer Spracheingabe, einer Wortgruppe oder einer anderen Eingabe Anfragen einzugeben, um prinzipiell auf allen Websites oder auf allen Websites in einer bestimmten Sprache eine Suche zu einem beliebigen Thema vorzunehmen und Ergebnisse in einem beliebigen Format angezeigt zu bekommen, über die sie Informationen im Zusammenhang mit dem angeforderten Inhalt finden können.

Diese Definition lässt sich nicht nur auf klassische Suchmaschinen wie Google oder Bing anwenden, sondern kann auch (kleinere) Vergleichsportale erfassen.

Beispiel 3:

Anlage 2 führt auch Plattformen für Dienste sozialer Netzwerke auf. Diese werden in § 3 Abs. 1 Nr. 25 NISUmsuCG legaldefiniert:

Eine Plattform, auf der Endnutzer mit unter-schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen mit-einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken können.

Während hier vorrangig an Soziale Netzwerke wie X oder Instagram gedacht werden kann, werden auch kleinere lokale Netzwerke erfasst, solange diese über 50 Mitarbeiter verfügen. So fallen nach öffentlich einsehbaren Informationen auch Portale wie Jodel mit 60 Mitarbeitern oder nebenan.de mit 130 Mitarbeitern in den Anwendungsbereich des NISUmsuCG.

Der Anwendungsbereich betroffener Unternehmen kann also erheblich weiter sein, als er auf den ersten Blick erscheint. Setzen Sie sich zeitnah mit dem NISUmsuCG auseinander, um ungewollte Überraschungen zu vermeiden und hohen Bußgeldern aus dem Weg zu gehen.

Unabhängig von der endgültigen Fassung des Gesetzes, sind Unternehmen, die die Anforderungen an eine wichtige oder besonders wichtige Einrichtung erfüllen, gut beraten sich bereits jetzt ein ausführliches Cybersicherheitskonzept zu erarbeiten.

Sie möchten wissen, ob ihr Unternehmen die Voraussetzungen an eine wichtige oder besonders wichtige Einrichtung erfüllt und welche Maßnahmen Sie ergreifen müssen? Dann nehmen Sie doch mit uns Kontakt auf, wir helfen Ihnen gerne weiter!

Wie geht’s weiter?

Mit einer Verkündung ist Anfang nächsten Jahres zu rechnen. Inkrafttreten muss das Umsetzungsgesetz im Oktober 2024. Übergangsfristen sind derzeit nicht vorgesehen. Bis Oktober können sich die Vorschriften aber nochmal ändern. Wir halten Sie desbezüglich gerne auf dem Laufenden!