Die NIS-2-Richtlinie: Teil 1 – Einführung und Status der Umsetzung

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) der Europäischen Union ist am 27.12.2022 in Kraft getreten. Sie zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten (siehe nachfolgend „Regelungsziele“). Die Mitgliedstaaten waren verpflichtet, die NIS-2-Richtlinie, ebenso wie die Richtlinie zur Resilienz kritischer Einrichtungen („CER-Richtlinie“ (EU) 2022/2557), bis zum 17.10.2024 in nationales Recht umzusetzen. Erwartungsgemäß hat Deutschland diese Frist verstreichen lassen (siehe nachfolgend „Umsetzung in Deutschland: Wie geht es weiter?“).

Die zu implementierenden Mindestmaßnahmen für Unternehmen, die unter den Anwendungsbereich fallen (siehe nachfolgend „Wer fällt unter das BSIG / die NIS-2-Richtlinie?“), können sehr zeit- und kostenintensiv sein sowie Ressourcen binden; je nach Reifegrad der bereits im Unternehmen vorhandenen IT-Sicherheitsmaßnahmen. Daher sollten betroffene Unternehmen nicht auf die Umsetzung der NIS-2-Richtlinie warten.

Regelungsziele

Die NIS-2-Richtlinie ist Teil der europäischen Cybersicherheitsstrategie, die Ende 2020 verabschiedet wurde (Cybersicherheitsstrategie der EU). Mit der EU-Cybersicherheitsstrategie will die EU zum einen die Sicherheit wesentlicher Dienstleistungen, wie Krankenhäuser, Energienetze und Eisenbahnen, aber auch „die Sicherheit der ständig wachsenden Anzahl von vernetzten Objekten in unseren Häusern, Büros und Fabriken“ abdecken. Im Fokus der EU-Cybersicherheitsstrategie stehen der Aufbau „kollektiver Fähigkeiten“ gemeinsam mit internationalen Partnern, mit dem Ziel der Reaktionsfähigkeit auf große Cyberangriffe und der Gewährleistung der internationalen Sicherheit und Stabilität im Cyberspace.

Dabei gibt es drei Fokusbereiche:

  • Fokusbereich 1: Stärkung der Resilienz, technologische Souveränität und Führung.
  • Fokusbereich 2: Aufbau der operativen Fähigkeit zur Verhinderung, Abschreckung und Reaktion;
  • Fokusbereich 3: Zusammenarbeit zur Förderung eines globalen und offenen Cyberspace.

Die NIS-2-Richtlinie ist dem zweiten und dritten Fokusbereich zuzuordnen. Sie dient daher insbesondere der Verhinderung von, der Abschreckung vor und der Reaktion auf Cyberangriffe.

Umsetzung in Deutschland: Wie geht es weiter?

Deutschland arbeitet derzeit an der Umsetzung der NIS-2-Richtlinie. Das Bundesministerium des Innern und für Heimat (BMI) hat einen Entwurf für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) vorgelegt, der umfassende Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorsieht. Dieser Entwurf existiert seit dem 2.10.2024 als Bundestagsdrucksache (BT-Drs. 20/13184, Gesetzgebungsstand: DIP). Der noch im September angedachte Umsetzungszeitplan (Übersicht bei cyberintelligence.institute) hakt aber mit dem Ampelaus. Seit der Beratung am 11.10.2024 geht es nicht mehr voran.

Ob sich die Parteien noch einmal vor der Bundestagswahl zusammenraufen und das Gesetz verabschieden, lässt sich nicht vorhersagen. Wenn dies aber der Fall sein sollte, wird das Gesetz ohne Übergangsfrist wirksam wird. Betroffene Unternehmen müssen daher – sofern nicht bereits geschehenen – zeitnah Compliance mit den Anforderungen sicherstellen (Überblick nachfolgend „Überblick Regelungsinhalte“; ausführlich siehe „NIS-2-Richtlinie: Teil 2 – Risikomanagementmaßnahmen oder was jetzt zu tun ist“).

Hinweis: Die EU-Kommission hat gegen Deutschland – und 22 weitere Mitgliedstaaten – bereits Ende November 2024 wegen der nicht vollständigen Umsetzung der NIS-2-Richtlinie und der CER-Richtlinie ein Vertragsverletzungsverfahren eingeleitet (siehe EU Kommission, Pressemitteilung vom 28.11.2024).

Überblick Regelungsinhalte NIS2UmsuCG

Die wichtigsten Änderungen für Unternehmen aus dem NIS2UmsuCG finden sich im BSIG. Zukünftig differenziert das BSIG abhängig von ihrer Wichtigkeit nach drei Einrichtungskategorien:

  • Wichtige Einrichtungen,
  • besonders wichtige Einrichtungen und
  • Einrichtungen der Bundesverwaltung.

Für Betreiber kritischer Anlagen gelten besondere Pflichten, der Gesetzgeber definiert sie aber nicht als eine spezielle Einrichtungskategorie.

Für die genannten Einrichtungskategorien findet das BSIG Anwendung und die damit verbundenen jeweiligen Risikomanagementmaßnahmen sind umzusetzen.

Wer fällt unter das BSIG / die NIS-2-Richtlinie?

Ob ein Unternehmen, eine besonders wichtige oder eine wichtige Einrichtung ist, ist anhand dreier Kategorien zu bestimmen und kann im Detail komplex sein:

1. (Besonders) wichtige Einrichtungen ohne weitere Kriterien

Hinweis:

Besonders wichtige Einrichtung danach sind Betreiber kritischer Anlagen, auch dann, wenn sie eine Einrichtung einer Bundesverwaltung sind (§ 28 Abs. 1 S. 2 Hs. 2 BSIG), qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter.

Wichtige Einrichtungen: Vertrauensdiensteanbieter, die keine qualifizierten sind.

2. (Besonders) wichtige Einrichtungen mit Schwellenwert

Hinweis:

Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, wenn sie

  1. weniger als 50 Mitarbeiter beschäftigen oder (= besonderes wichtige Einrichtung) / und (= wichtige Einrichtung)
  2. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen

3. (Besonders) wichtige Einrichtungen mit Schwellenwert und besonderer Einrichtungsart nach Anlage 1 und/oder 2 BSIG

Hinweis Schwellenwerte:

Eine Einstufung als besonders wichtige Einrichtung setzt

  1. mindestens 250 Mitarbeiter oder
  2. einen Jahresumsatz von 50 Mio. Euro und 43 Mio. Jahresbilanzsumme voraus.

Eine wichtige Einrichtung muss mindestens

  1. 50 Mitarbeiter haben oder
  2. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro aufweisen.

Sektoren – Anlage 1  und 2 NIS-2 (teils leicht anders im BSIG bezeichnet)

 

 

Workflow zur automatisierten Bestimmung des Anwendungsbereichs / Einzelfallberatung

Wir arbeiten gerade im Rahmen unserer Legal Tech Tools an einem Workflow zu einfachen Bestimmung, ob ein Unternehmen unter das BSIG / die NIS-2-Richtlinie fällt und welche Pflichten sich daraus ergeben. Gerne beraten wir Sie auch im Einzelfall und umfassender. Sprechen Sie uns gerne an.