NIS-2: Netzwerk- und Informationssicherheit für Unternehmen
Ab dem 18. Oktober 2024 ist die europäische NIS-2-Richtlinie auf nationaler Ebene anwendbar. Vorstände und Geschäftsführungen, auch von kleineren Unternehmen mit mindestens 50 Mitarbeitenden, sind nun gefordert, sich umfassend und nachweisbar gegen Cyberangriffe abzusichern. Mit dem Inkrafttreten der neuen europäischen NIS-2-Gesetzgebung sollen internationale Lieferketten besser geschützt werden.
Am 27. Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht (EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union). Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen.
Der deutsche Regierungsentwurf wurde als „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) veröffentlicht.
Unternehmen aus festgelegten Sektoren (Anlage 1 und 2, ab 50 Beschäftigten oder 10 Millionen Euro Umsatz bzw. ab 250 Beschäftigten oder 50 Millionen Euro Umsatz) sind von der Umsetzung betroffen (§ 28 NIS2UmsuCG):
- "Besonders wichtige" und "wichtige Einrichtungen": Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser und Abwasser, digitale Infrastruktur, Weltraum.
- "Wichtige Einrichtungen": Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe und Herstellung von Waren, Anbieter digitaler Dienste, Forschung.
Indirekt werden jedoch auch Anforderungen an Unternehmen in der Lieferkette, wie z. B. IT-Dienstleister, formuliert.
Der Gesetzentwurf umfasst unter anderem folgende Pflichten:
Risikomanagementmaßnahmen, Business Continuity Management (BCM) (§§ 30, 31)
Meldepflichten (§ 32)
Registrierungspflichten (§§ 33, 34)
Unterrichtungspflichten gegenüber Kunden (§ 35)
Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen (§ 38)
Nachweispflichten für Betreiber kritischer Anlagen (§ 39)
Ein wesentlicher Aspekt ist das Thema „Haftung“. Bei Nichteinhaltung drohen den betroffenen Unternehmen sowie den Geschäftsführern und Vorständen gegebenenfalls Bußgelder.