NIS 2.0 – Network-and-Information-Security-Richtlinie 2.0 verabschiedet
Im Dezember 2022 haben der Rat und das Europäische Parlament die NIS 2.0-Richtlinie verabschiedet und damit die gesetzlichen Anforderungen an die IT-Sicherheit in Europa umfassend überarbeitet und erweitert. Damit reagiert der Gesetzgeber auf die erhöhte Bedrohungslage und die damit verbundenen erhöhten Anforderungen an Cybersicherheit.
Die Mitgliedsstaaten müssen die neuen Regelungen nun national umsetzen. In Deutschland ist der Gesetzgeber verpflichtet, das BSIG deutlich anzupassen anpassen. Die wichtigsten Neuerungen dieser Reform finden Sie in diesem Beitrag auf einen Blick.
Das Ziel: Eine europaweit einheitliche(re) IT-Sicherheit
Die EU erachtet die Cybersicherheit als eine Kernvoraussetzung für das reibungslose Funktionieren des Binnenmarkts (vgl. Erwägungsgrund 2). Die teilweise stark divergierende Umsetzung der ersten NIS-Richtlinie, die dazu geführt hat, dass Unternehmen in den Mitgliedstaaten unterschiedlich betroffen sind, war dem Gesetzgeber ein wesentlicher Dorn im Auge. Das Ziel der NIS 2.0-Richtlinie ist daher, die großen Unterschiede zwischen den Mitgliedstaaten durch die Vorgabe eines einheitlichen Kriteriums für ihre Anwendung zu beseitigen (vgl. Erwägungsgrund 5).
Die Richtlinie gilt für alle öffentlichen oder privaten Einrichtungen, die in bestimmten Sektoren tätig und nach der KMU-Definition der EU-Kommission mindestens „mittlere Unternehmen“ sind (Art. 2 Abs. 1). In bestimmten Fällen greifen die Vorgaben der Richtlinie jedoch auch unabhängig von der Größe. Eine „wesentliche Einrichtung“ muss also nicht zwingend auch eine „große“ Einrichtung sein. Dieser Ansatz ist die Antwort auf die wachsenden gegenseitigen Abhängigkeiten zentraler Infrastrukturen, die zu weitreichenden negativen Kaskadeneffekten führen können– auch wenn am Anfang dieser Kette vielleicht „nur“ ein oder mehrere mittelgroße Akteure stehen. Die Schwellenwerte der nationalen BSI-Kritisverordnung für „Kritische Infrastrukturen“ dürften also bald Geschichte sein.
Erweiterter Anwendungsbereich
Die Union hat den Anwendungsbereich der Vorgaben zur Cybersecurity deutlich erweitert. Die Richtlinie spricht von „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Das Pendant zu den „wesentlichen Einrichtungen“ sind die in der Vorgängerrichtlinie genannten „Betreiber wesentlicher Dienste“, die in der deutschen Umsetzung als „Kritische Infrastrukturen“ bezeichnet werden (vgl. § 2 Abs. 10 BSIG).
Mit den „wichtigen Einrichtungen“ ist nun eine weitere Kategorie hinzugekommen. Als solche gelten vor allem Einrichtungen, die nach der Auflistung in Anhang II in „sonstigen kritischer Sektoren“ tätig sind (vgl. Art. 3 Abs. 2). Die Union sieht die Verantwortung für die Cybersicherheit vor allem bei den Akteuren dieser beiden Kategorien (vgl. Erwägungsgrund 77).
Mit dem IT-Sicherheitsgesetz 2.0 im April 2021 hat der deutsche Gesetzgeber den Adressatenkreis der nationalen Cybersecurityvorgaben bereits selbstständig deutlich vergrößert. Reguliert werden nunmehr nicht nur „Kritische Infrastrukturen“ und „Digitale Dienste“, sondern auch „Unternehmen im besonderen öffentlichen Interesse“. Nach der Umsetzung der NIS 2.0-Richtlinie dürfte nun eine vierte Kategorie hinzukommen – oder aber der deutsche Gesetzgeber gleicht die Unternehmen im besonderen öffentlichen Interesse an die wichtigen Einrichtungen an.
Als „wesentliche Einrichtungen“ und damit als „Kritische Infrastrukturen“ gelten die Akteure insbesondere folgender Sektoren:
- Energie
- Verkehr
- Bank- und Finanzwesen
- Gesundheitswesen
- Trink- und Abwasser
- Digitale Infrastruktur
- öffentliche Verwaltung
- Weltraum
Als „wichtige Sektoren“: gelten unter anderem:
- Post und Kurier
- Abfallwirtschaft
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Bildung und Forschung.
Konkrete Anforderungen
Eine Kernanforderung der NIS2.0-Richtlinie an wesentliche und wichtige Einrichtungen ist, dass sie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ nach dem „Stand der Technik“ ergreifen (Art. 21 Abs. 1).
Den Ausgangspunkt soll eine „systemische Analyse“ bilden, die den „menschlichen Faktor“ sowie den „Grad der Abhängigkeit von Netz- und Informationssystemen“ berücksichtigt (vgl. Erwägungsgrund 78). Die geforderten Maßnahmen sollen keine unverhältnismäßige finanzielle und administrative Belastung für die Einrichtungen bedeuten.
Allerdings macht der Gesetzgeber deutlich, dass sich die Verhältnismäßigkeit nach den potenziellen „gesellschaftlichen und wirtschaftlichen Auswirkungen“ bemisst, die ein Cybersicherheitsvorfall hervorrufen kann (Erwägungsgrund 82). Gerade „wesentlichen Einrichtungen“ dürfte es daher nur selten gelingen, sich im Rahmen der Verhältnismäßigkeit auf den Aufwand und die Kosten der geforderten Maßnahmen zu berufen.
Die Richtlinie verlangt zudem einen „gefahrenübergreifenden Ansatz“, der auch physische Beeinträchtigungen wie Diebstahl, Feuer, Überschwemmungen und Telekommunikations- oder Stromausfälle berücksichtigt. Ergänzt wird die NIS 2.0-Richtlinie von der zeitgleich bekanntgemachten Richtlinie über die Resilienz kritischer Einrichtungen, die auf die physische Sicherheit abzielt, etwa hinsichtlich Terrorakte oder Naturkatastrophen.
Daneben sind die betroffenen Einrichtungen verpflichtet „erhebliche Sicherheitsvorfälle“ unverzüglich zu melden (Art. 23 Abs. 1).
Cybersecurity als Compliance-Thema
Die IT-Sicherheit der wesentlichen und wichtigen Einrichtungen ist Chefsache. Die Richtlinie sieht vor, dass die Leitungsorgane die Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und für Verstöße verantwortlich gemacht werden können (Art. 20 Abs. 1).
Die Richtlinie hält den Mitgliedsstaaten ausdrücklich die Möglichkeit offen, für Verstöße gegen die nationalen Umsetzungsvorschriften auch strafrechtliche Sanktionen gegen die verantwortlichen Personen festzulegen (vgl. Erwägungsgrund 131).
Strenge Aufsicht durch Behörden
Zur Durchsetzung der Anforderungen an wesentliche und wichtige Einrichtungen sieht die NIS-2.0- Richtlinie eine umfassende Aufsicht durch staatliche Behörden vor. Die Richtlinie nennt dabei explizit Vor-Ort-Kontrollen, Ad-hoc-Prüfungen Sicherheitsaudits und Sicherheitsscans (Art. 32 f.).
Am stärksten betroffen sind die wesentlichen Einrichtungen, die einem umfassenden Ex-ante- und Ex-post-Aufsichtssystem unterliegen (vgl. Erwägungsgrund 122). Diese Akteure sind dazu angehalten, die Implementierung ihres Risikomanagementsystems systematisch zu dokumentieren.
Bei Verstößen drohen Bußgelder von 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (Art. 34 Abs. 4).
Handlungsbedarf
Auch wenn die Mitgliedsstaaten nun zwei Jahre Zeit haben, die europäischen Vorgaben in nationales Recht zu gießen, besteht für die betroffenen Einrichtungen bereits heute Handlungsbedarf.
Nach der Richtlinie sind die wesentlichen und wichtigen Einrichtungen dazu angehalten, ihre Risikomanagementmaßnahmen in die vertraglichen Vereinbarungen mit ihren direkten Lieferanten und Diensteanbietern einzubeziehen (Erwägungsgrund 85). Die betroffenen Einrichtungen sollten also prüfen, ob sie der Regulierung unterliegen und beim Abschluss künftiger Verträge darauf achten, die geforderten Maßnahmen gegenüber ihren Dienstleistern zu implementieren. Eine nachträgliche Änderung der vertraglichen Grundlagen bedarf der (manchmal teurer erkauften) Mitwirkung des Dienstleisters.
Die wichtigste Erkenntnis aus den Entwicklungen der Vergangenheit ist jedoch, dass die Cybersicherheit keine „lästige“ gesetzliche Pflicht ist, sondern im ureigensten Interesse der Unternehmen und Einrichtungen liegt. Die Auswirkungen eines Cybersicherheitsvorfalls können für diese Einrichtungen wie auch für Gesellschaft und Wirtschaft insgesamt weitaus drastischer ausfallen als jede behördliche Maßnahme zur Durchsetzung der gesetzlichen Anforderungen.