Die Richtlinie (EU) 2022/2555 über “Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union”, besser bekannt als NIS 2-Richtlinie wurde im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen. Sie gilt seit Anfang des Jahres und ist bis zum Oktober nächsten Jahres umzusetzen. Ziel ist, kritische Infrastrukturen besser vor Cyberbedrohungen zu schützen und für ein hohes EU weites Sicherheitsniveau zu sorgen. Bestehende Bestimmungen wurden verschärft. Unternehmen, die den Bestimmungen der neuen NIS 2-Richtlinie nicht gerecht werden, drohen hohe Bußgelder.
Der Inhalt der Richtlinie ist sowohl für die Mitgliedstaaten als auch Unternehmen bestimmt. Mitgliedsstaaten sollen nationale Cybersicherheitsstrategien verabschieden und zuständige nationale Behörden einrichten oder benennen. Unternehmen müssen ein Cybersicherheitsmanagement einführen und darüber berichten.
Der genaue Umfang der Maßnahmen wird sich nach dem deutschen Umsetzungsgesetz richten. Im September wurde vom BSI ein „Diskussionspapier“ zum Dialog mit der Wirtschaft veröffentlicht, als dritten Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG).
In diesem Beitrag schlüsseln wir Ihnen den Vorschriften des NIS2UmsuCG auf und zeigen Ihnen, wie schnell ein Unternehmen als wichtige Einrichtung qualifiziert werden kann.
Wenn Sie prüfen wollen, ob Ihr Unternehmen unter die NIS-2-Regulierung fällt und welche Maßnahmen daraus gegebenenfalls folgen, melden Sie sich gern bei uns.
Übersicht: Wozu werden Betroffene Unternehmen verpflichtet?
|
Betreiber kritischer Anlagen |
Besonders wichtige Einrichtung |
Wichtige Einrichtung |
Registrierungspflicht | ✅ | ✅ | ✅ |
Meldepflicht | ✅ | ✅ | ✅ |
Maßnahmen zum Risikomanagement | ✅ | ✅ | ✅ |
Höhere Anforderungen an Maßnahmen zum Risikomanagement | ✅ | ❌ | ❌ |
Einsatz von Systemen zur Angriffserkennung | ✅ | ❌ | ❌ |
Informationspflichten | ✅ | ✅ | ✅ |
Nachweispflicht | ✅ | ❌* | ❌* |
Billigungs-, Überwachungs- und Schulungspflicht des Geschäftsleiters | ✅ | ✅ | ✅ |
*Nachweispflicht im Einzelfall möglich
Welche Sektoren sind laut NIS2UmsuCG Sektoren mit hoher Kritikalität?
Die Sektoren mit hoher Kritikalität ergeben sich aus der Anlage 1 des NIS2UmsuCG:
Sektor |
Teilsektor |
Einrichtungsart |
Energie | ||
Stromversorgung | ||
Stromlieferanten (§ 3 Nr. 31a EnWG | ||
Betreiber von Elektrizitätsverteilernetzen (§ 3 Nr. 3 EnWG) | ||
Betreiber von Übertragungsnetzen (§ 3 Nr. 10 EnWG) | ||
Nominierte Strommarktbetreiber (Art. 2 Nr. 8 VO[EU] 2019/943) | ||
Aggregatoren (§ 3 Nr. 1a EnWG) | ||
Betreiber von Energiespeicheranlagen (§ 3 Nr. 15d EnWG) | ||
Anbieter von Ausgleichsleistungen (§ 3 Nr. 1b EnWG) | ||
Ladepunktbetreiber (§ 2 Nr. 8 LSV) | ||
Fernwärme und -kälteversorgung | ||
Betreiber von Fernwärme- bzw. Fernkälte-versorgung (§ 3 Nr. 19, 20 GEG) | ||
Kraftstoff- und Heizölversorgung | ||
Betreiber von Erdöl-Fernleitungen | ||
Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen | ||
Zentrale Bevorratungsstellen (Art. 2 lit. f RL 2009/119/EG) | ||
Gasversorgung | ||
Betreiber von Gasverteilnetzen (§ 3 Nr. 8 EnWG) | ||
Betreiber von Fernleitungsnetzen (3 Nr. 5 EnWG) | ||
Betreiber von Gasspeicheranlagen (§ 3 Nr. 6 EnWG) | ||
Betreiber von LNG-Anlagen (3 Nr. 9 EnWG) | ||
Gaslieferanten (§ 3 Nr. 19b EnWG) | ||
Betreiber von Anlagen zur Gewinnung von Erdgas | ||
Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas | ||
Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung | ||
Transport und Verkehr | ||
Luftverkehr | ||
Luftfahrtunternehmen, die für gewerbliche Zwecke genutzt werden (Art. 3 Nr. 4 VO [EG] Nr. 300/2008) | ||
Flughafenleitungsorgane (Art. 2 Nr. 2 RL 2009/12/EG), Flughäfen (Art. 2 Nr. 1 RL 2009/12/EG) einschließlich der Flughäfen des Kernnetzes und Einrichtungen, die innerhalb von Flughäfen befindliche zugehörige Einrichtungen betreiben (Anhang II Abschnitt 2 VO[EU] Nr. 1315/2013) | ||
Flugverkehrskontrolldienste (§ 27c Abs. 2 Nr. 1 lit. a LuftVG) | ||
Schienenverkehr | ||
Eisenbahninfrastrukturbetreiber (§ 2 Nr. 6, 6a AEG), einschließlich zentraler Einrichtungen, die den Zugbetrieb vorausschauend und bei unerwartet eintretenden Ereignissen disponiert | ||
Eisenbahnverkehrsunternehmen (§ 2 Nr. 3 AEG), einschließlich Betreiber einer Serviceeinrichtung (§ 2 Nr. 9 AEG) | ||
Schiffahrt | ||
Passagier- und Frachtbeförderungsunter-nehmen der Binnen-, See- und Küstenschifffahrt (Anhang I VO[EG] Nr. 725/2004) Die einzelnen betriebenen Schiffe dieser Unternehmen sind nicht mitumfasst |
||
Leitungsorgane von Häfen (Art. 3 Nr. 1 RL 2005/65/EG), einschließlich ihrer Hafenanlagen (Art. 2 Nr. 11 VO[EG] Nr. 725/2004), sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben | ||
Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße (§ 1 Abs. 6 Nr. 1 WaStrG) | ||
Straßenverkehr | ||
Betreiber einer Anlage oder eines System zur Verkehrsbeeinflussung im Straßenverkehr, einschließlich der in § 1 Abs. 4 Nr. 1, 3 und 4 des FStrG genannten Einrichtungen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und -sicherheit im Straßenbau, sowie der Telekommunikationsnetze der Bundesautobahnen. | ||
Betreiber eines intelligenten Verkehrssystems (§ 2 Nr. 1 IVSG) | ||
Finanz- und Versicherungswesen | ||
Bankwesen | ||
Kreditinstitute: Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rück-zahlbare Gelder des Publikums entgegen-zunehmen und Kredite für eigene Rechnung zu gewähren | ||
Finanzmarktinfrastruktu-ren | ||
Handelsplätze (§ 2 Abs. 22 WpHG) | ||
Zentrale Gegenparteien, die zwischen die Gegenparteien der auf einem oder mehre-ren Märkten gehandelten Kontrakte tritt und somit als Käufer für jeden Verkäufer bzw. als Verkäufer für jeden Käufer fungiert | ||
Gesundheit | ||
Erbringer von Gesundheitsdienstleistungen | ||
EU-Referenzlaboratorien (VO[EU] Nr. 2022/2371) | ||
Unternehmen, die Forschungs- und Ent-wicklungstätigkeiten in Bezug auf Arzneimittel ausüben (§ 2 AMG) | ||
Unternehmen, die pharmazeutische Erzeugnisse herstellen (Abschnitt C Abteilung 21 NACE Rev. 2) | ||
Unternehmen, die Medizinprodukte herstel-len, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch eingestuft werden (Art. 22 VO[EU] Nr. 2022/123) | ||
Wasser und Abwasser | ||
Trinkwasserversorgung | ||
Betreiber von Wasserversorgunsanlagen (§ 2 Nr. 3 TrinkwV), unter Ausschluss der Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist | ||
Abwasserbeseitigung | Unternehmen, die Abwasser sammeln, entsorgen oder behandeln (§ 2 Abs. 1 AbwAG), unter Ausschluss der Unternehmen, für die dies einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit darstellt | |
Informationstechnik und Telekommunikation | ||
Betreiber von Internet-Knoten (Internet Exchange Points) | ||
DNS-Dienstanbieter, ausgenommen Betreiber von Root-Nameservern | ||
TLD-Namensregister | ||
Anbieter von Cloud-Computing-Diensten | ||
Anbieter von Rechenzentrumsdiensten | ||
Betreiber von Inhaltszustellnetzen (Content Delivery Networks) | ||
Vertrauensdienstanbieter | ||
Anbieter öffentlicher elektronischer Kommu-nikationsnetze | ||
Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste | ||
Managed Services Provider | ||
Managed Security Services Provider | ||
Weltraum | ||
Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze |
Was sind sonstige kritische Sektoren?
Sonstige kritische Sektoren ergeben sich aus Anlage 2 zum NIS2UmsuCG:
Sektor |
Teilsektor |
Einrichtungsart |
Transport und Verkehr | ||
Post- und Kurierdienste | ||
Anbieter von Postdienstleistungen (§ 4 Nr. 1 PostG), einschließlich Anbieter von Kurierdiensten | ||
Siedlungsabfallentsorgung | ||
Unternehmen der Abfallbewirtschaftung (§ 3 Abs. 14 KrWG), ausgenommen Unternehmen, für die die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit darstellt | ||
Produktion, Herstellung und Handel mit chemischen Stoffen | ||
Unternehmen, die Stoffe herstellen und mit Stoffen oder Gemischen handeln (Art. 3 Nr. 9, 14 VO[EG] Nr. 1907/2006) und Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren (Art. 3 Nr. 3 VO[EG] Nr. 1907/2006) | ||
Produktion, Verarbeitung und Vertrieb von Lebensmitteln | ||
Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind (Art. 3 Nr. 2 VO[EG] Nr. 178/2002) | ||
Verarbeitendes Gewerbe/Herstellung von Waren | ||
Unternehmen, die Medizinprodukte herstellen (Art. 2 Nr. 1 VO[EU] 2017/745) und Einrichtungen, die In-vitro-Diagnostika herstellen (Art. 2 Nr. 2 VO[EU] 2017/746), mit Ausnahme der bereits in Anhang I unter „Gesundheit“ aufgeführten Einrichtungen, die Medizinprodukte herstellen | ||
Herstellung von Medizinprodukten und In-vitro-Diagnostika | ||
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 26 der NACE Rev. 2 ausüben | ||
Herstellung von Daten-verarbeitungsgeräten, elektronischen und optischen Erzeugnissen | ||
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 27 der NACE Rev. 2 ausüben | ||
Maschinenbau | ||
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 28 der NACE Rev. 2 ausüben | ||
Herstellung von Kraftwagen und Kraftwagenteilen | ||
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 29 der NACE Rev. 2 ausüben | ||
Sonstiger Fahrzeugbau | ||
Unternehmen, die eine der Wirtschaftstätig-keiten im Sinne des Abschnitts C Abteilung 30 der NACE Rev. 2 ausüben | ||
Anbieter digitaler Dienste | ||
Anbieter von Online Marktplätzen | ||
Anbieter von Online-Suchmaschinen | ||
Anbieter von Plattformen für soziale Netzwerke | ||
Forschung | ||
Forschungseinrichtungen |
Was ist eine besonders wichtige Einrichtung?
Besonders wichtige Einrichtungen sind
- Unternehmen, die in Sektoren aus Anlage 1 mit entweder mehr als 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro und einer Jahresbilanz von mehr als 43 Millionen Euro.
- Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Registries oder DNS-Diensteanbieter
- Ein Anbieter von Telekommunikationsdiensten
- Ein Betreiber kritischer Anlagen
- Eine Einrichtung, die dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehört
Was ist eine wichtige Einrichtung?
Wichtige Einrichtungen sind
- Unternehmen, die in Sektoren aus Anlage 1 und 2 mit entweder mehr als 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanz von jeweils mehr als 10 Millionen Euro.
- Vertrauensdiensteanbieter
Die nicht als besonders wichtige Einrichtungen zu qualifizieren sind.
Gibt es Ausnahmen?
Ausgenommen sind Finanzunternehmen im Sinne des Art. 2 Abs. 2 der VO (EU) 2022/2554. Diese umfassen:
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung über Krypto-Märkte zugelassen sind und Emittenten wertreferenzierter Token
- Zentralverwahrer
- zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
- Einrichtungen der betrieblichen Altersvorsorgung
- Ratingagenturen
- Administratoren kritischer Referenzwerte
- Schwarmfinanzierungsdienstleister
- Verbriefungsregister
Ferner sollen Unternehmen ausgenommen sein, für welche die Anforderungen der VO (EU) 2022/2554 auf Grund des Kreditwesengesetzes oder des Versicherungsaufsichtsgesetz gelten. Normen hierzu sollen in den jeweiligen Gesetzen ergänzt werden (zukünftig: § 1a Abs. 2 KWG, § 293 Abs. 5 VAG).
Was sind kritische Anlagen?
Kritische Anlagen sind gem. § 28 Abs. 6 des NIS2UmsuCG Anlagen, die den Sektoren
- Energie
- Transport
- Finanz- und Versicherungswesen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Ernährung
- Informationstechnik und Telekommunikation
- Weltraum
- Siedlungsabfallentsorgung
angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden
Welche Anlagen im Einzelnen kritisch sind, bestimmt sich nach der Rechtsverordnung nach § 57 Abs. 5 NIS2UmsuCG.
Was für Maßnahmen müssen implementiert werden?
Besonders wichtige und wichtige Unternehmen
- Verpflichtung geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen
- Ziel: Störungen von IT-Systemen vermeiden und Auswirkungen von Sicherheitsvorfällen gering halten
- Die ergriffenen Maßnahmen müssen mindestens folgende Aspekte umfassen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß-nahmen im Bereich der Cybersicherheit,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Betreiber kritischer Anlagen
- Auch aufwendigere Maßnahmen verhältnismäßig, sofern der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steht
- Betreiber kritischer Anlagen müssen Systeme zur Angriffserkennung einsetzen
- Systeme müssen:
- Dem Stand der Technik entsprechen
- fortlaufend Bedrohungen identifizieren und vermeiden
- geeignete Maßnahmen für Störungen vorsehen
- Aufwand darf nicht außer Verhältnis zu den Folgen eines Aufalls oder der Beeinträchtigung der betroffenen kritischen Anlagen stehen
- Systeme müssen:
Muss die Implementation nachgewiesen werden?
Betreiber kritischer Infrastruktur
- Eine Nachweispflicht besteht nur für Betreiber kritischer Anlagen
- Innerhalb von 3 Jahren nach Inkrafttreten des NISUmsuCG Erfüllung der oben genannten Anforderungen gegenüber dem Bundesamt nachweisen
- Anschließend erneuter Nachweis alle 3 Jahre
- Werden Sicherheitslücken gefunden:
- Bundesamt kann Vorlage einer Behebungsstrategie verlangen oder
- im Einvernehmen mit zuständiger Aufsichtsbehörde die Behebung der Sicherheislücke
Besonders wichtige und wichtige Einrichtungen
-
Wichtige und besonders wichtige Einrichtungen müssen die Maßnahmen zwar umsetzen, aber keine regulären Nachweise hierüber erbringen
-
Das BSI kann aber gem. § 64 NIS2UmsuCG einzelne besonders wichtige Einrichtungen zu Nachweisen und Prüfungen verpflichten oder
-
die Einhaltung der Vorschriften auch selbst überprüfen.
-
-
Liegen Tatsachen vor, die die Annahme rechtfertigen, dass eine wichtige Einrichtung auferlegte Pflichten nicht oder nicht richtig umsetzt, kann auch wichtigen Einrichtungen eine Nachweispflicht gem. § 65 NIS2UmsuCG auferlegt werden.
Wer unterliegt einer Registrierungspflicht?
- Erstmals oder wieder die Voraussetzungen einer wichtigen Einrichtung oder besonders wichtigen Einrichtung erfüllt:
- innerhalb von 3 Monaten nach Erfüllung der Voraussetzungen dem Bundesamt die in § 33 Abs. 1 NISUmsuCG genannten Angaben übermitteln:
- Name der Einrichtung, Rechtsform und Handelsregisternummer
- Anschrift und aktuelle Kontaktdaten
- E-Mail-Adresse
- IP-Adressbereiche
- Telefonnummern
- Relevanter Sektor aus Anlage 1 oder 2 und ggf. der Teilsektor
- Auflistung der Mitgliedstaaten, in denen die relevaten Dienste erbracht werden
- innerhalb von 3 Monaten nach Erfüllung der Voraussetzungen dem Bundesamt die in § 33 Abs. 1 NISUmsuCG genannten Angaben übermitteln:
- Als Betreiber kritischer Anlagen deklariert:
- innerhalb von 3 Monaten dem Bundesamt die in § 33 Abs. 1, 2 NISUmsuCG übermittlen:
- Angaben wie oben
- IP-Adressbereiche der von ihnen betriebenen Anlagen
- Anlagenkategorie der ermittelten kritischen Anlage und Versorgungskennzahlen gem. Rechtsverordnung (auf Basis von § 54 Abs. 1 NISUmsuCG)
- innerhalb von 3 Monaten dem Bundesamt die in § 33 Abs. 1, 2 NISUmsuCG übermittlen:
- Erfolgt keine Übermittlung kann das Bundesamt die Registrierung auch für das Unternehmen vornehmen.
Wann muss eine Meldung erfolgen?
Für alle Einrichtungen
- Erhebliche Sicherheitsvorfälle müssen dem Bundesamt über das hierfür eingerichtete Meldeverfahren gemeldet werden
- Relevante Fristen zu beachten bei vorliegen eines erheblichen Sicherheitsvorfalls:
- Innerhalb von 24 Stunden nach Kenntniserlangung: Frühe Erstmeldung
- Angabe, ob erheblicher Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder
- grenzüberschreitende Auswirkungen haben könnte
- Innerhalb von 72 Stunden nach Kenntniserlangung: Zweite Meldung
- Angaben der ersten Meldung bestätigen oder aktualisieren
- Erste Bewertung des erheblichen Sicherheitsvorfalls inklusive Schweregrad, Auswirkungen sowie Kompromittierungsindikatoren
- Innerhalb eines Monats nach Übermittlung der zweiten Meldung: Abschlussmeldung
- Ausführliche Beschreibung des Sicherheitsvorfalls
- Angaben zur Ursache und getroffenen Maßnahmen
- Potenziell grenzüberschreitende Auswirkungen
- Innerhalb von 24 Stunden nach Kenntniserlangung: Frühe Erstmeldung
- Auf Nachfrage des Bundesamts sind auch Zwischenmeldungen zu geben
Besonderheiten bei Betreibern kritischer Anlagen
Sofern erheblicher Sicherheitsvorfall Auswirkungen auf die betriebene kritische Anlage hat oder haben könne müssen zusätzliche Informationen erbracht werden:
- Art der betroffenen Anlage und kritische Dienstleistung
- Auswirkung des erheblichen Sicherheitsvorfalls auf die kritische Dienstleistung
Wann liegt ein erheblicher Sicherheitsvorfall vor?
Der Sicherheitsvorfall
- hat schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste verursacht oder es besteht die Gefahr hierfür
- hat anderen natürlichen oder juristischen Personen erhebliche materielle oder immaterielle Schäden zugefügt oder es besteht die Gefahr hierzu
Welche Pflichten werden dem Geschäftsleiter auferlegt?
- Billigungs-, Überwachungs,- und Schulungspflicht nach § 38 NIS2UmsuCG
- Ergriffene Risikomanangementmaßnahmen müssen gebilligt werden und ihre Umsetzung überwacht
- Pflicht nicht abdingbar durch vertragliche Absprache mit der Einrichtung
- Regelmäßige Teilnahme an Schulungen
- Erlangung von Kenntnissen und Fähigkeiten zur Identifikation und Bewertung von Risiken sowie zur Anwendung von Risikomanagementmethoden im Bereich der Cybersicherheit
- Einschätzung zu Auswirkungen von Risiken auf die von der Einrichtung erbrachten Dienste
- Ergriffene Risikomanangementmaßnahmen müssen gebilligt werden und ihre Umsetzung überwacht
- Betreiber kritischer Anlagen unterliegen diesen Pflichten auch, da sie zugleich als besonders wichtige Einrichtung gelten
Was passiert wenn man seinen Pflichten nicht nachkommt?
Eine Nichteinhaltung wird schnell teuer. Verstößt ein Unternehmen vorsätzlich oder fahrlässig gegen Vorschriften des NIS2UmsuCG, können gem. § 60 NISUmsuCG empfindliche Bußgelder auferlegt werden. Je nach Verstoß kann eine Strafe von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erwirtschafteten jährlichen Umsatzes auferlegt werden.
Was sollten Sie tun?
Die oben genannten Schwellen der Mitarbeiterzahl oder des Jahresumsatzes sind schnell erreicht. Erfüllt Ihr Unternehmen die Schwelle für eine wichtige oder besonders wichtige Einrichtung aufgrund der Mitarbeiterzahl oder dem Jahresumsatz sollten Sie sich unbedingt mit den betroffenen Sektoren näher auseinandersetzen. In den Anlagen 1 und 2 zu NISUmsuCG werden teilweise sehr weitreichende Einrichtungsarten erwähnt. Es ist daher eine genaue Prüfung erforderlich, ob ihr Unternehmen auch unter diese Einrichtungsart fällt.
Beispiel 1:
In Anlage 2 werden unter den „Anbietern digitaler Dienste“ auch Online-Marktplätze erfasst. Dieser Begriff wird in § 312l Abs. 3 BGB legaldefiniert:
Online-Marktplatz ist ein Dienst, der es Verbrauchern ermöglicht, durch die Verwendung von Software, die vom Unternehmer oder im Namen des Unternehmers betrieben wird, einschließlich einer Webseite, eines Teils einer Webseite oder einer Anwendung, Fernabsatzverträge mit anderen Unternehmern oder Verbrauchern abzuschließen
Unter diese Definition fallen nicht nur Großunternehmen wie Amazon, sondern auch kleine Anbieter wie Kleinanzeigen (ehemals Ebay Kleinanzeigen) oder sogar Marktplätze in Videospielen wie der Skin-Markt in Counter Strike: Global Offensive.
Beispiel 2:
Neben den Online-Marktplätzen werden in Anlage 2 auch Online-Suchmaschinen erfasst. Art. 2 Nr. 5 VO(EU) 2019/1150 definiert Suchmaschinen folgendermaßen:
Einen digitalen Dienst, der es Nutzern ermöglicht, in Form eines Stichworts, einer Spracheingabe, einer Wortgruppe oder einer anderen Eingabe Anfragen einzugeben, um prinzipiell auf allen Websites oder auf allen Websites in einer bestimmten Sprache eine Suche zu einem beliebigen Thema vorzunehmen und Ergebnisse in einem beliebigen Format angezeigt zu bekommen, über die sie Informationen im Zusammenhang mit dem angeforderten Inhalt finden können.
Diese Definition lässt sich nicht nur auf klassische Suchmaschinen wie Google oder Bing anwenden, sondern kann auch (kleinere) Vergleichsportale erfassen.
Beispiel 3:
Anlage 2 führt auch Plattformen für Dienste sozialer Netzwerke auf. Diese werden in § 3 Abs. 1 Nr. 25 NISUmsuCG legaldefiniert:
Eine Plattform, auf der Endnutzer mit unter-schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen mit-einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken können.
Während hier vorrangig an Soziale Netzwerke wie X oder Instagram gedacht werden kann, werden auch kleinere lokale Netzwerke erfasst, solange diese über 50 Mitarbeiter verfügen. So fallen nach öffentlich einsehbaren Informationen auch Portale wie Jodel mit 60 Mitarbeitern oder nebenan.de mit 130 Mitarbeitern in den Anwendungsbereich des NISUmsuCG.
Der Anwendungsbereich betroffener Unternehmen kann also erheblich weiter sein, als er auf den ersten Blick erscheint. Setzen Sie sich zeitnah mit dem NISUmsuCG auseinander, um ungewollte Überraschungen zu vermeiden und hohen Bußgeldern aus dem Weg zu gehen.
Unabhängig von der endgültigen Fassung des Gesetzes, sind Unternehmen, die die Anforderungen an eine wichtige oder besonders wichtige Einrichtung erfüllen, gut beraten sich bereits jetzt ein ausführliches Cybersicherheitskonzept zu erarbeiten.
Sie möchten wissen, ob ihr Unternehmen die Voraussetzungen an eine wichtige oder besonders wichtige Einrichtung erfüllt und welche Maßnahmen Sie ergreifen müssen? Dann nehmen Sie doch mit uns Kontakt auf, wir helfen Ihnen gerne weiter!
Wie geht’s weiter?
Mit einer Verkündung ist Anfang nächsten Jahres zu rechnen. Inkrafttreten muss das Umsetzungsgesetz im Oktober 2024. Übergangsfristen sind derzeit nicht vorgesehen. Bis Oktober können sich die Vorschriften aber nochmal ändern. Wir halten Sie desbezüglich gerne auf dem Laufenden!