Die NIS-2-Richtlinie stellt Unternehmen vor neue Cybersecurity-Pflichten. Erfahren Sie, wer betroffen ist, welche Maßnahmen erforderlich sind und wie die Geschäftsführerhaftung ausgestaltet ist.
Cybersecurity-Pflichten für Unternehmen: Was die NIS-2-Richtlinie verlangt
Die Bedrohungslage im Cyberraum verschärft sich kontinuierlich. Ransomware-Angriffe, Lieferkettenattacken und staatlich gelenkte Cyberoperationen treffen Unternehmen aller Größenordnungen. Der europäische Gesetzgeber hat mit der NIS-2-Richtlinie (EU) 2022/2555 einen umfassenden regulatorischen Rahmen geschaffen, der die Cybersicherheitsanforderungen für Unternehmen erheblich verschärft. Die nationale Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betrifft deutlich mehr Unternehmen als die Vorgängerregelung und bringt empfindliche Sanktionen bei Verstößen mit sich.
Wer ist von der NIS-2-Richtlinie betroffen?
Wesentliche und wichtige Einrichtungen
Die NIS-2-Richtlinie unterscheidet zwischen wesentlichen Einrichtungen (essential entities) und wichtigen Einrichtungen (important entities). Diese Kategorisierung bestimmt das Ausmaß der Aufsicht und die Höhe möglicher Bußgelder.
Wesentliche Einrichtungen umfassen unter anderem:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
- Öffentliche Verwaltung
- Weltraum
Wichtige Einrichtungen umfassen unter anderem:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie und Lebensmittel
- Verarbeitendes Gewerbe (Medizinprodukte, Maschinen, Fahrzeuge, Elektronik)
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Schwellenwerte
Die Betroffenheit richtet sich nach Unternehmensgröße und Sektor:
- Mittlere Unternehmen: Ab 50 Mitarbeitern oder ab 10 Mio. Euro Jahresumsatz und Bilanzsumme
- Große Unternehmen: Ab 250 Mitarbeitern oder ab 50 Mio. Euro Jahresumsatz
Bestimmte Einrichtungen sind unabhängig von der Größe betroffen, etwa Anbieter von DNS-Diensten, TLD-Registries, qualifizierte Vertrauensdienste und Betreiber kritischer Infrastrukturen.
Risikomanagement-Pflichten
Mindestanforderungen an die Cybersicherheit
Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen. Die Maßnahmen müssen mindestens folgende Bereiche abdecken:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Bewältigung von Sicherheitsvorfällen (Incident Response)
- Business Continuity Management einschließlich Backup-Management und Wiederherstellung
- Sicherheit der Lieferkette und Sicherheitsaspekte in Beziehungen zu Dienstleistern
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen, einschließlich Schwachstellenmanagement
- Konzepte und Verfahren zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Asset Management
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Dokumentationspflichten
Alle Maßnahmen und deren Umsetzung sind umfassend zu dokumentieren. Dies umfasst:
- Risikoanalysen und deren regelmäßige Aktualisierung
- Sicherheitsrichtlinien und -konzepte
- Incident-Response-Pläne
- Schulungsnachweise
- Ergebnisse von Audits und Penetrationstests
- Lieferantenbewertungen hinsichtlich Cybersicherheit
Meldepflichten bei Sicherheitsvorfällen
Die NIS-2-Richtlinie führt ein gestuftes Meldesystem für erhebliche Sicherheitsvorfälle ein:
Dreistufiges Meldeverfahren
Frühwarnung innerhalb von 24 Stunden: Nach Kenntnis eines erheblichen Sicherheitsvorfalls muss eine erste Meldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgen. Diese muss angeben, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen möglich sind.
Vorfallmeldung innerhalb von 72 Stunden: Eine aktualisierte Meldung mit einer ersten Bewertung des Vorfalls, einschließlich Schweregrad, Auswirkungen und -- sofern verfügbar -- Kompromittierungsindikatoren.
Abschlussbericht innerhalb eines Monats: Ein detaillierter Bericht mit Beschreibung des Vorfalls, Art der Bedrohung, ergriffene Gegenmaßnahmen und grenzüberschreitende Auswirkungen.
Was ist ein erheblicher Sicherheitsvorfall?
Ein Sicherheitsvorfall gilt als erheblich, wenn er:
- schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann
- andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann
Sicherheit der Lieferkette
Ein besonderer Schwerpunkt der NIS-2-Richtlinie liegt auf der Lieferkettensicherheit. Unternehmen müssen:
- Die spezifischen Schwachstellen ihrer unmittelbaren Zulieferer und Dienstleister berücksichtigen
- Die Gesamtqualität der Produkte und Cybersicherheitspraktiken ihrer Zulieferer bewerten
- Vertragliche Vereinbarungen über Sicherheitsanforderungen mit Lieferanten treffen
- Regelmäßige Überprüfungen der Lieferkettensicherheit durchführen
Dies hat erhebliche Auswirkungen auf die Vertragsgestaltung: Bestehende Lieferantenverträge müssen um Cybersicherheitsklauseln ergänzt werden.
Geschäftsführerhaftung
Persönliche Verantwortung der Leitungsebene
Die NIS-2-Richtlinie etabliert eine persönliche Haftung der Geschäftsleitung für die Einhaltung der Cybersicherheitspflichten. Die Leitungsorgane müssen:
- Die Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen
- An Cybersicherheitsschulungen teilnehmen
- Allen Mitarbeitern regelmäßige Schulungen anbieten
Bei schuldhafter Verletzung dieser Pflichten haften Geschäftsführer und Vorstände persönlich gegenüber dem Unternehmen. Ein Verzicht des Unternehmens auf die Geltendmachung von Schadensersatzansprüchen oder ein Vergleich ist nach dem deutschen Umsetzungsentwurf nicht möglich.
Das BSI als Aufsichtsbehörde
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zur zentralen Aufsichtsbehörde. Seine Befugnisse umfassen:
- Audits und Überprüfungen (bei wesentlichen Einrichtungen auch proaktiv)
- Anordnungen zur Beseitigung von Mängeln
- Anforderung von Nachweisen über die Umsetzung der Sicherheitsmaßnahmen
- Warnungen an die Öffentlichkeit über betroffene Einrichtungen
- Bei wesentlichen Einrichtungen: Bestellung eines Überwachungsbeauftragten
- Temporäre Untersagung von Leitungsaufgaben bei wiederholten Verstößen
Bußgelder und Sanktionen
Die Bußgeldrahmen orientieren sich am Vorbild der DSGVO:
- Wesentliche Einrichtungen: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
Überschneidungen mit der DSGVO
NIS-2 und DSGVO verfolgen unterschiedliche Schutzziele, überschneiden sich aber in der Praxis erheblich:
- Technische und organisatorische Maßnahmen nach Art. 32 DSGVO decken sich teilweise mit den NIS-2-Anforderungen
- Meldepflichten bei Datenschutzverletzungen (72 Stunden nach DSGVO) ergänzen die NIS-2-Meldepflichten
- Ein integriertes Compliance-Management ist empfehlenswert, um Doppelstrukturen zu vermeiden
Wichtig: Die Einhaltung der NIS-2-Anforderungen ersetzt nicht die DSGVO-Compliance und umgekehrt. Beide Regelwerke bestehen nebeneinander.
Praktischer Umsetzungsfahrplan
Phase 1: Betroffenheitsanalyse (sofort)
- Prüfen Sie, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist
- Identifizieren Sie alle relevanten Netz- und Informationssysteme
- Bestimmen Sie den verantwortlichen Personenkreis auf Leitungsebene
Phase 2: Gap-Analyse (1--3 Monate)
- Erfassen Sie den Ist-Stand Ihrer Cybersicherheitsmaßnahmen
- Vergleichen Sie mit den NIS-2-Mindestanforderungen
- Identifizieren Sie Handlungsbedarf und priorisieren Sie Maßnahmen
Phase 3: Implementierung (3--12 Monate)
- Etablieren Sie ein Informationssicherheits-Managementsystem (ISMS)
- Implementieren Sie Incident-Response-Prozesse und Meldestrukturen
- Schulen Sie Geschäftsleitung und Mitarbeiter
- Überprüfen und ergänzen Sie Lieferantenverträge
- Dokumentieren Sie alle Maßnahmen lückenlos
Phase 4: Kontinuierliche Verbesserung (fortlaufend)
- Regelmäßige Audits und Penetrationstests
- Aktualisierung der Risikoanalysen
- Anpassung an neue Bedrohungslagen und regulatorische Entwicklungen
Fazit
Die NIS-2-Richtlinie markiert einen Paradigmenwechsel in der Cybersicherheitsregulierung. Die erheblich erweiterte Betroffenheit, die persönliche Geschäftsführerhaftung und die empfindlichen Bußgelder machen eine frühzeitige und strukturierte Umsetzung unverzichtbar. Unternehmen, die bereits über ein funktionierendes ISMS verfügen, haben einen Vorsprung -- doch auch sie müssen ihre Prozesse an die spezifischen NIS-2-Anforderungen anpassen.
compleneo berät Sie umfassend bei der Umsetzung der NIS-2-Anforderungen -- von der Betroffenheitsanalyse über die Implementierung technischer und organisatorischer Maßnahmen bis hin zur Vertragsgestaltung mit Lieferanten. Gemeinsam mit unserem interdisziplinären Team aus den Bereichen Datenschutz, IT-Recht und Compliance stellen wir sicher, dass Ihr Unternehmen den neuen Anforderungen gerecht wird.
