Welche Auswirkungen hat die NIS2-Richtlinie auf europäische Unternehmen?

Die am 10. November 2022 verabschiedete NIS2-Richtlinie zur Sicherheit von Netz- und Informationssystemen markiert einen Wendepunkt der Bemühungen der Europäischen Union (EU) um die drastische Erhöhung des Schutzniveaus europäischer Unternehmen.

Welche Änderungen bringt die NIS2 gegenüber der NIS1 mit sich? Welche Auswirkungen und Entwicklungen sind zu erwarten? Erfahren Sie all dies in diesem Artikel!

Warum wurde die NIS-Richtlinie überarbeitet?

Nach der Umsetzung der ersten Version der Richtlinie, die im Juli 2016 verabschiedet wurde, beauftragte die Europäische Kommission 2020 Wavestone mit der Durchführung einer retrospektiven Studie zur Umsetzung der NIS1. Ziel war es, die Relevanz, die Kohärenz, den Mehrwert und die Effizienz der Richtlinie in der EU zu bewerten.

Die Ergebnisse der Studie zeigen, dass die NIS-Richtlinie zwar die Cyber-Resilienz in der EU deutlich erhöht hat, die Unterschiede zwischen den Rechtsrahmen der Mitgliedstaaten im Bereich der Cyber-Sicherheit jedoch nicht beseitigt hat. Diese Unterschiede zwischen den Mitgliedstaaten bei der Umsetzung der Richtlinie betreffen zahlreiche Aspekte: Unterschiede bei den Sektoren, die unter die NIS fallen, unterschiedliche Sanktionen, unterschiedliche Kontrollverfahren in den einzelnen Ländern u.v.m. Die Bußgelder für Verstöße gegen die Richtlinie reichen von 10.000 € in einigen Ländern bis zu 19 Millionen € in anderen.

Angesichts der zunehmenden Digitalisierung der europäischen Volkswirtschaften und der Heterogenität der nationalen Versionen der NIS1 war eine Überarbeitung der Richtlinie erforderlich. Somit hat die Europäische Kommission die NIS2-Richtlinie am 27. Dezember 2022 im Europäischen Amtsblatt veröffentlicht.

Neue Ausweitung des Kreises der von der NIS-Richtlinie betroffenen Akteure

Schaffung einer neuen Typologie von Einrichtungen und Ausweitung der betroffenen Sektoren

Die neue Richtlinie gilt nunmehr für zwei Arten von Einrichtungen:

Wesentliche Einrichtungen (EE), die bereits unter der Bezeichnung Betreiber wesentlicher Dienste (OES) in der ersten Version der Richtlinie zu finden waren
Wichtige Einrichtungen (IE)

Der Aufbau dieser letzten Kategorie zielt darauf ab, die Entwicklung der digitalen Anwendungen in der Gesellschaft zu begleiten. Sie betrifft zum Beispiel den Sektor der Herstellung von IT-Geräten. Außerdem werden IEs als weniger kritisch angesehen als EEs: die Verpflichtungen, die ihnen durch die nationalen Umsetzungen auferlegt werden, werden daher weniger restriktiv sein.

Bei den EE hat der Gesetzgeber die Luft- und Raumfahrtindustrie, die öffentliche Verwaltung, Abwassermanagement sowie IKT (Informations- und Kommunikationstechnologie) als zusätzliche Sektoren aufgenommen. Außerdem wurde der Umfang des Energiesektors um Wasserstoff sowie Heiz- und Kühlnetze erweitert.

Die Mitgliedstaaten können in ihren künftigen nationalen Bestimmungen auch Sektoren und Teilsektoren hinzufügen. Viele haben dies bei der Umsetzung der NIS1 in nationales Recht bereits getan.

Wesentliche Wirtschaftszweige und Subsektoren: Energie, Transport, Gesundheit, Raumfahrt, Trinkwasse, Abwasser, Öffentliche Verwaltung, Digitale Infrastruktur, Bankwesen, Infrastruktur für Finanzmarkt und ICT-Dienstleistungsmanagement

Durch die NIS2-Richtlinie hinzugekommene Sektoren oder Subsektoren: digitale Dienstleister und Manufacturing

Streichung des Mechanismus zur namentlichen Benennung von OES durch nationale Behörden

Unter der NIS1-Richtlinie waren die Mitgliedstaaten für die Benennung der der Richtlinie unterliegenden Betreiber innerhalb ihrer nationalen Grenzen verantwortlich. Mit der NIS2 wird dieser Benennungsmechanismus abgeschafft und die Resilienz aller Akteure in einem bestimmten Sektor erhöht.

Gemäß der NIS2-Richtlinie gilt eine Einrichtung gestützt auf zwei Kriterien als wesentlich oder wichtig:

Größe der Einrichtung (Zahl der Beschäftigten, Einnahmen, Jahresabschluss)
Kritikalität des Tätigkeitsbereichs: Auf welche Art von Einrichtungen beziehen sich die Aktivitäten der Einrichtung?

Größe der Einrichtung	Anzahl der Beschäftigten	Einnahmen (Mio. €)	Jahresabschluss (Mio. €)	Sektoren mit hoher Kritikalität	Sonstige kritische Sektoren
Mittelgroß und groß	x ≥ 250	y ≥ 50	z ≥ 43	Wesentliche Einrichtungen	Wichtige Einrichtungen
Mittel	50 ≥ x > 250	10 ≥ y > 50	10 ≥ z > 43	Wichtige Einrichtungen	Wichtige Einrichtungen
Kleinst- und kleine Einrichtungen	x < 50	y < 10	z < 10	Nicht betroffen	Nicht betroffen

Somit müssen nun alle großen und mittleren Betreiber innerhalb eines in der Richtlinie aufgeführten Sektors die NIS erfüllen. Nur die kleinsten Einrichtungen sind von dieser Verpflichtung befreit.

Allerdings sieht die Richtlinie einige Ausnahmen vor. Die NIS2 erlaubt es Mitgliedstaaten, bei Bedarf Akteure unabhängig von diesen zwei Kriterien aufzunehmen oder auszuschließen (z. B. Monopolstellung, wesentlicher grenzüberschreitender Dienst, für einen Mitgliedstaat besonders kritischer Dienst usw.).

Neue Verpflichtungen für europäische Einrichtungen

Europäische Vorgaben zu Cybersicherheitsthemen und Unterstreichung eines risikobasierten Ansatzes

Die Cybersicherheitsvorschriften, die auf die Tätigkeiten und Informationssysteme (IS) der betroffenen Einrichtungen angewandt werden, werden in den nationalen Umsetzungen (wie bei NIS 1) detailliert beschrieben.

In der NIS2 wird jedoch bereits ein risikobasierter Ansatz gefordert.

Darüber hinaus werden die Einrichtungen aufgefordert, Maßnahmen zu den folgenden Themen der Cybersicherheit zu ergreifen:

ISS-Richtlinien (einschließlich Risikoanalyse)
Bewältigung von Sicherheitsvorfällen
Betriebskontinuität und Krisenmanagement
Lieferkettensicherheit (Third-Party-Management)
Sicherheit beim Erwerb, bei der Entwicklung und Wartung von Netz- und Informationssystemen, Handhabung von Schwachstellen
Verfahren zur Beurteilung der Effizienz von Maßnahmen zum Cybersicherheitsrisikomanagement (Audit)
Grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen
Verfahren und Richtlinien in Zusammenhang mit Kryptographie (Verschlüsselung)
Sicherheit des Personals, Zugangskontrollrichtlinien und Asset-Management
Kommunikationssicherheit (starke oder kontinuierliche Authentifizierung)
Einige dieser Maßnahmen finden sich bereits in zahlreichen nationalen Bestimmungen zur Umsetzung der ersten Version der Richtlinie.

Verschärfte Meldepflicht für Cybersicherheitsvorfälle

Die unter die NIS-Richtlinie fallenden (wichtigen oder wesentlichen) Einrichtungen müssen ihre Cybersicherheitsvorfälle weiterhin den zuständigen Behörden (CSIRT, nationale Behörde) melden, die neue Fassung der Richtlinie legt die Verfahren für die Meldung und Berichterstattung von Cybersicherheitsvorfällen fest.

Eine der wichtigsten Änderungen ist die Meldepflicht für Sicherheitsvorfälle, die als „erheblich“ eingestuft werden. Ein Sicherheitsvorfall gilt als erheblich, wenn er:

er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann,
er andere natürliche oder juristische Personen durch erhebliche materielle, physische oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Die NIS2 legt außerdem den Zeitrahmen und das Format für die Meldung von Sicherheitsvorfällen fest. Bisher sah die NIS1 (abgesehen von der „schnellstmöglichen“ Meldung des Sicherheitsvorfalls) keine spezifische Frist und kein bestimmtes Format vor.

Schließlich sieht die NIS2 vor, dass die Einrichtungen gegebenenfalls Sicherheitsvorfälle den Empfängern ihrer Dienstleistungen und, wenn die Umstände dies erfordern, der Öffentlichkeit melden müssen.

Verschärfte Kontrollverfahren

Zur Stärkung der Rolle der zuständigen Behörden bei der Umsetzung dieser Maßnahmen ist in der Richtlinie ein neuer Mindestkontrollrahmen für die gesamte EU festgelegt.

Für EE können zwei Arten von Kontrollen durchgeführt werden:

Ex-ante-Kontrollen, d. h. Kontrollmaßnahmen im Voraus
Ex-post-Kontrollen, d. h. die Ergreifung von Kontrollmaßnahmen, wenn es Belege oder Hinweise dafür gibt, dass eine Einrichtung die Anforderungen hinsichtlich der Cybersicherheitsmaßnahmen und der Meldung von Sicherheitsvorfällen nicht erfüllt.

IE hingegen unterliegen ausschließlich Ex-post-Kontrollen.

Betrachten wir beispielsweise die Unterscheidung von EE und IE bei Audits:

EE können regelmäßigen Audits unterzogen werden (für Ex-ante-Kontrollen)
IE können ausschließlich gestützt auf Sicherheitsbeurteilungen oder verfügbare risikorelevante Informationen gezielten Sicherheitsaudits unterzogen werden (für Ex-post-Kontrollen).

Die Einzelheiten der Ex-ante-Kontrollen sind in den nationalen Bestimmungen festzulegen, aber die Richtlinie besagt, dass sie auf objektiven, nichtdiskriminierenden und transparenten Kriterien basieren.

In der NIS2 wird jedoch bereits ein risikobasierter Ansatz gefordert. Darüber hinaus werden die Einrichtungen aufgefordert, Maßnahmen zu ergreifen:

Schärfere Sanktionen

Gemäß der ersten Version der NIS-Richtlinie waren die europäischen Mitgliedstaaten bei der Festlegung der Sanktionen vollkommen frei. Die NIS2 geht einen Schritt weiter und schreibt allen EU-Mitgliedstaaten ein gemeinsames Sanktionssystem sowohl für EE als auch für IE vor. Dieses gemeinsame Sanktionssystem beseitigt die Unterschiede hinsichtlich der Höhe der Sanktionen, die von den Mitgliedstaaten im Rahmen der NIS1 festgelegt wurden.

Hinweis: Die Personen, die für die Durchsetzung der Richtlinie in Einrichtungen verantwortlich sind, werden im Falle eines Verstoßes gegen die Verpflichtungen aus der Richtlinie haftbar gemacht.

Die NIS2 schreibt allen EU-Mitgliedstaaten ein gemeinsames Sanktionssystem sowohl für EE als auch für IE vor.

Und jetzt?

Alle Mitgliedsstaaten haben bis Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen.

Zur Erinnerung: Die NIS1 wurde im Juli 2016 verabschiedet und trat im August 2016 in Kraft. Anschließend:

veröffentlichte Frankreich sein nationales Gesetz am 26. Februar 2018
Belgien am 7. April 2019
Luxemburg am 28. Mai 2019

Es ist denkbar, dass einige Länder den Prozess beschleunigen, da die nationalen Versionen von NIS2 auf den bereits vorhandenen nationalen Versionen von NIS1 aufbauen werden.

Wavestone unterstützt Sie bei der Vorbereitung auf die NIS2.

Wavestone passt seine Unterstützung an die Compliance-Zeile der einzelnen Unternehmen an.

Für Unternehmen, die als wesentliche Einrichtung gemäß der NIS2 gelten, die bereits unter NIS1 fall oder für die das französische Militärplanungsgesetz (LPM) gilt und eine NIS1-Abweichungsbewertung erstellt haben, ist es gegebenenfalls eine gute Idee, sich bereits jetzt mit der Compliance zu befassen. In diesem Fall kann Wavestone Ihnen bei der Erstellung einer Compliance-Bewertung und eines Fahrplans sowie eines NIS2-Compliance-Programms helfen.

Unternehmen, die als wichtige Einrichtung gelten oder nie unter die NIS1 oder das LPM fielen, möchten gegebenenfalls im Hinblick auf die Compliance noch die Umsetzung in nationales Recht abwarten. In diesem Fall kann Wavestone Sie in den Bereichen Regulierungsüberwachung, Eignungsuntersuchungen, Definition der relevanten Perimeter (Einrichtungen, Geschäftsaktivitäten, IS), dem Verständnis und der Sensibilisierung für die NIS2 sowie Budgetierung für einen NIS2-Rahmen für 2024 unterstützen.

Verfasst von

Ouala Barhoumi

Manager – Frankreich, Paris

Wavestone
LinkedIn

Teilen