Die NIS 2-Richtlinie und das NIS2-Umsetzungsgesetz: Neue Standards für die Cybersicherheitsniveau in der EU
Informationssicherheit spielt eine zentrale Rolle bei der Umsetzung der NIS 2-Richtlinie. Europäische Richtlinien wie NIS 2 fördern die Harmonisierung von Sicherheitsstandards. Diese Richtlinie verpflichtet als Dachgesetz alle Staaten des Geltungsbereichs der EU die Anforderungen der NIS 2- Richtline in Nationales Recht umzusetzen.
In einer zunehmend digitalisierten Welt bildet die Sicherheit von Netz- und Informationssystemen das Fundament wirtschaftlicher und gesellschaftlicher Aktivitäten. Besonders in den letzten Jahren mussten Behörden wie Unternehmen den Anstig von Cybergefahren registrieren. Die Europäische Union hat mit der NIS 2-Richtlinie (Network and Information Systems Directive 2) einen entscheidenden Schritt unternommen, um die Cybersicherheit auf ein neues Niveau zu heben. Das begleitende NIS 2-Umsetzungsgesetz überträgt diese Standards in nationales Recht. Dieser Beitrag beleuchtet die zentralen Neuerungen und Anforderungen sowie die praktischen Auswirkungen für Unternehmen und öffentliche Einrichtungen und grenzt sie von der Digital Operational Resilience Act (DORA) ab.
Hintergrund und Ziele der NIS 2-Richtlinie
Gesetzgebung im Bereich der Cybersicherheit ist ein fortlaufender Prozess, um aktuellen Bedrohungen von Cyberangriffen zu begegnen. Risikomanagement ist für Organisationen ein wesentlicher Bestandteil, um sich gegen Cyberbedrohungen zu wappnen.
Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 legte den Fokus auf die Sicherheit wesentlicher Dienste und digitaler Anbieter. Mit der 2022 verabschiedeten NIS 2-Richtlinie wurden die Standards für Dienstleistungen an die aktuellen Bedrohungslagen angepasst. Die zentralen Ziele umfassen die Erhöhung des Cybersicherheitsniveaus, die Förderung der Zusammenarbeit durch grenzüberschreitenden Informationsaustausch, die Harmonisierung der Anforderungen sowie die Stärkung der Widerstandsfähigkeit kritischer Infrastrukturen, die Kritikalität und Lieferketten.
Vom Referentenentwurf zum Gesetzesentwurf
Die Umsetzung der NIS 2-Richtlinie in Deutschland erfolgt schrittweise. Zunächst wurde ein Referentenentwurf durch das Bundesministerium des Innern und für Heimat erarbeitet, der die geplanten Maßnahmen zur Umsetzung der EU-Vorgaben skizzierte. Nach der Ressortabstimmung und Berücksichtigung von Stellungnahmen wurde daraus ein Gesetzesentwurf, der nun im parlamentarischen Verfahren beraten wird. Ziel ist es, die neuen Cybersicherheitsanforderungen fristgerecht in nationales Recht zu überführen und eine wirksame Aufsicht sowie Durchsetzung sicherzustellen.
Erweiterte Anforderungen und Neuerungen
Die strikte Einhaltung der Meldepflicht ist entscheidend für die effektive Handhabung von Sicherheitsvorfällen. Standardisierung erleichtert die Umsetzung von Sicherheitsmaßnahmen in verschiedenen Branchen.
Die NIS 2-Richtlinie erweitert und verschärft die bisherigen Regelungen in mehreren Schlüsselbereichen. Zunächst wird der Anwendungsbereich erheblich erweitert: Mehr Branchen, darunter Energie, Verkehr, Gesundheitswesen und Betreiber digitaler Infrastruktur, fallen nun unter die Richtlinie. Auch mittelgroße Unternehmen und öffentliche Verwaltungen werden einbezogen. Unternehmen müssen umfassende Risikobewertungen vornehmen, kontinuierliches Risikomanagement betreiben und fortschrittliche Schutzmaßnahmen implementieren. Die Sicherheitsvorfälle müssen nach ihrer Registrierung zeitnah den zuständigen Behörden gemeldet werden, um eine koordinierte Reaktion zu ermöglichen. Strengere Sanktionen und erweiterte Befugnisse der Aufsichtsbehörden sollen die Einhaltung der Vorschriften sicherstellen. Darüber hinaus fördern neue Netzwerke und Plattformen die Zusammenarbeit zwischen Mitgliedstaaten und Organisationen.
Abgrenzung zur Digital Operational Resilience Act (DORA)
DORA und die NIS2-Richtlinie verfolgen beide das Ziel, die Cybersicherheit in der EU zu verbessern, jedoch mit unterschiedlichen Schwerpunkten und Zielgruppen. Während die NIS2-Richtlinie übergreifend verschiedener Sektoren für kritische Infrastrukturen, Anlagen und öffentliche Verwaltungen gilt, richtet sich DORA speziell an den Finanzsektor. DORA zielt darauf ab, die operationelle Resilienz von Finanzinstituten zu stärken und sicherzustellen, dass sie auch in Krisenzeiten funktionsfähig bleiben.
Ein wesentlicher Unterschied liegt in den Anforderungen: DORA fordert insbesondere Finanzinstitute und betroffene Unternehmen dazu auf, ihre Informations- und Kommunikationstechnologien (IKT) widerstandsfähig zu machen, mit Schwerpunkt auf IKT-Risikoüberwachung, Tests und Drittanbieter-Risiken. Die NIS2-Richtlinie hingegen hat einen breiteren Anwendungsbereich und legt verstärkt Wert auf die Harmonisierung von Sicherheitsanforderungen und Meldepflichten in verschiedenen Branchen. Unternehmen, die sowohl unter DORA als auch unter NIS2 fallen, müssen sicherstellen, dass sie die jeweiligen spezifischen Anforderungen beider Regulierungen erfüllen.
Es ist daher immer zu fragen, ob der Anwendungsbereich für DORA und NIS-2 eröffnet ist, d.h. ob man als Unternehmen oder Institution von den Regelungen von DORA oder NIS-2 betroffen ist. Denn wenn ein Unternehmen oder eine Institution bereits nicht betroffen ist, müssen die DORA-Regelungen oder auch die Regelungen der NIS-2 nicht eingehalten und daher auch nicht umgesetzt werden.
Aufgrund der Komplexität der Regelungen von DORA und NIS-2 ist es daher insbesondere für Unternehmen sinnvoll, prüfen zu lassen, ob sie den Regelungen der NIS-2 oder DORA überhaupt unterfallen. Denn wenn das nicht der Fall ist und die Regelungen nicht umgesetzt werden müssen, kann dies unter Umständen in erheblichem Maße Personal und finanzielle Mittel einsparen, da keine aufwendigen Umsetzungsmaßnahmen gesetzeskonform durchzuführen sind.
Aber auch von DORA und NIS-2 betroffene Unternehmen und Institutionen sollten prüfen, inwieweit die gesetzlichen Regelungen für sie gelten, um den Umsetzungsaufwand im Idealfall möglichst gering zu halten und dadurch auch den personellen Einsatz und den finanziellen Einsatz gering halten zu können. Denn das kann betroffenen Unternehmen und Instititutionen im Einzelfall viel Geld einsparen und auch die Geschäftsleitung oder den Vorstand und die Aufsichtsorgane im Hinblick auf Haftungsfragen entlasten.
Das NIS2-Umsetzungsgesetz
Datenschutzanforderungen ergänzen die Cybersicherheitsmaßnahmen unter der NIS2-Richtlinie.
Das NIS2-Umsetzungsgesetz überführt die Vorgaben der EU-Richtlinie in nationales Recht. Sicherheitsanforderungen, Pflichten und Durchsetzungsmechanismen werden in deutsches Recht integriert. Mehr Organisationen als zuvor werden verpflichtet, Maßnahmen zur Cybersicherheit umzusetzen. Das Gesetz legt spezifische technische und organisatorische Sicherheitsmaßnahmen fest, die für die betroffenen Organisationen verbindlich sind. Nationale Behörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), erhalten erweiterte Befugnisse, um die Einhaltung der Vorschriften zu überwachen und durchzusetzen. Mechanismen zur Koordination und zum Wissensaustausch werden geschaffen, um die Sicherheitsstandards europaweit zu harmonisieren.
Herausforderungen bei der Umsetzung
Operationelle Resillienz ist insbesondere für kritische Infrastrukturen von enormer Bedeutung.
Die Umsetzung der neuen Regelungen birgt Herausforderungen, insbesondere für kleinere Organisationen. Viele Unternehmen müssen ihre bestehenden Sicherheitsmaßnahmen erheblich ausbauen. Dies erfordert Investitionen in Technologien, Schulungen und Notfallpläne. Effiziente Systeme zur Erkennung und Meldung von Sicherheitsvorfällen müssen implementiert werden, um den verschärften Vorgaben zu genügen. Öffentliche Einrichtungen müssen zudem sicherstellen, dass sie den Anforderungen der EU und der nationalen Regelungen gleichermaßen gerecht werden.
Praktische Maßnahmen zur Umsetzung
Hackerangriffe auf kritische Infrastrukturen (Kritis) unterstreichen die Dringlichkeit der neuen Maßnahmen.
Betroffene Organisationen sollten die folgenden Risikomanagementmaßnahmen ergreifen: Durchführung einer Risikoanalyse, um Schwachstellen zu identifizieren und zu bewerten; Entwurf und Entwicklung eines Sicherheitsplans, der Maßnahmen zur Risikominderung und Notfallpläne umfasst; Implementierung technischer und organisatorischer Maßnahmen wie Firewalls und Intrusion-Detection-Systeme sowie Schulung des Personals; regelmäßige Überprüfung und Verbesserung der Sicherheitsmaßnahmen; und aktive Teilnahme an Netzwerken für den Informationsaustausch. Insbesondere die Zusammenarbeit mit dem BSI und anderen relevanten Behörden kann dazu beitragen, die Einhaltung der Richtlinien zu gewährleisten.
Sanktionen
Bei Verstößen gegen die NIS 2-VErordnung drohen Strafen von bis zu 10 Millionen Euro, beziehungsweise wenn der Umsatz eines Jahres über 500 Millionen Euro liegt, eine Bußgeldhöhe von bis zu 2% des Weltweiten Jahresumsatzes.
Fazit
Wie vorstehend dargestellt, lohnt es sich für Unternehmen und Instititutionen im ersten Schritt zu prüfen bzw. im Rahmen eines begleiteten Projekts überprüfen zu lassen, ob diese von DORA und NIS-2 überhaupt betroffen sind. Denn wenn die rechtliche Prüfung zu dem Ergebnis kommt, dass dies nicht der Fall ist kann sich dies positiv auf Geschäftsleitung, Vorstand, Aufsichtsorgane, Personal und Finanzielle Mittel auswirkden, da dann keine Umsetzungsmaßnahmen nach DORA und NIS-2 erfolgen müssen.
Selbst wenn man als Unternehmen oder Institution betroffen ist. kann es sich durchaus lohnen, zu prüfen bzw. prüfen zu lassen, inwieweit man den Regelungen der DORA oder NIS-2 unterfällt. Dann selbst wenn man DORA und NIS-2 für ein möglichst optimales Cybersicherheitsniveau beachten muss, können die Umsetzungsmaßnahmen – je nach Reichweite der zu beachtenden Gesetzesvorschriften – unter Umständen erheblich minimiert werden. Auch dadurch lässt sich personeller Aufwand reduzieren und Geld sparen.
Festzuhalten ist:
Die NIS 2-Richtlinie und das NIS 2-Umsetzungsgesetz markieren einen Meilenstein für die Cybersicherheit in der EU. Trotz der Herausforderungen bieten sie Unternehmen und öffentlichen Einrichtungen die Chance, ihre Sicherheitsinfrastruktur nachhaltig zu verbessern und sich gegen künftige Bedrohungen zu wappnen. Organisationen, die die neuen Anforderungen konsequent umsetzen, können nicht nur ihre Widerstandsfähigkeit stärken, sondern auch Vertrauen und Wettbewerbsvorteile gewinnen. Im Vergleich dazu ergänzt DORA die regulatorischen Maßnahmen, indem sie den Finanzsektor gezielt adressiert und dessen spezifische Anforderungen abdeckt. Zusammen tragen beide Regulierungen zur Stabilität und Sicherheit der digitalen Infrastruktur in der EU bei. Es liegt nun an der Geschäftsleitung der Unternehmen und Institutionen, diese Gelegenheit zu nutzen und ihre Rolle in einer zunehmend vernetzten Welt zu festigen.
Von DORA und NIS-2 betroffene Unternehmen und Instititutionen ist dabei zu empfehlen, sich gesetzeskonform aufstellen, um rechtliche und finanzielle Nachteile wie teure Strafzahlungen und Haftungsprobleme für die Geschäftsleitung zu vermeiden. Hierfür können sich auch Schulungen im Hinblick auf DORA und NIS-2 zur Prüfung des Umsetzungsstandes der gesetzlichen Regelungen und zur Sensibilierung im Bereich der Compliance anbieten.