NIS2: wie kam es zur neuen EU-Richtlinie und was ändert sich?

Die neue EU-Richtlinie NIS2 muss bis zum 17. Oktober 2024 in die deutsche Gesetzgebung eingebunden werden. NIS2 steht dabei für „Network and Information Security – Version 2“. Seit Januar 2023 ist die Richtlinie in der EU in Kraft. Sie soll sicherstellen, dass als kritisch eingestufte Einrichtungen die Bevölkerung in den Mitgliedsstaaten mit lebenswichtigen Gütern und Diensten versorgen können. Doch wie ist es zur zweiten Version von NIS gekommen und was sind die Unterschiede zu NIS1? Dies und Weiteres werden wir in einer Serie von Blogartikeln näher betrachten. Im ersten Artikel gehen wird wir auf die Entstehung und die Neuerungen von NIS2 ein.

Historie NIS1 und KRITIS

Die Europäischen Union führte 2016 die erste Cybersecurity-Richtlinie ein. Heute ist diese Richtlinie als NIS1 bekannt. Diese Richtlinie wurde vor dem Hintergrund einer sich verschärfenden Bedrohungslage und steigender Anforderungen an die IT-Sicherheit in Europa entwickelt. Damit versuchte die EU, für die Gesellschaft bedeutende Branchen und Dienstleistungen in den Mitgliedsländern vor IT-Angriffen zu schützen.

Die NIS1 enthält verbindliche Vorgaben zum Schutz der Systeme von Unternehmen, die als Betreiber „Kritischer Infrastrukturen“ (KRITIS) tätig sind. Diese KRITIS-Unternehmen spielen eine entscheidende Rolle in der Gesellschaft, da sie Dienstleistungen in wichtigen Bereichen wie Energieversorgung, Gesundheit und Transport erbringen.

Entstehung NIS2

Durch die fortschreitende Digitalisierung steigt auch die Bedrohungslage stetig an. Ein höherer Schutzbedarf für eine angemessene Eindämmung der aktuellen Risiken bei KRITIS-Unternehmen ist erforderlich. Daher wurde von der EU beschlossen, die NIS1-Richtlinie zu überarbeiten. Nach langen Abwägungen und Diskussionen entstand im Ergebnis NIS2. Nach der Zustimmung vom EU-Parlament sowie des europäischen Rats wurde NIS2 am 14. Dezember 2022 als aktualisierte Version verabschiedet. Nach dem Inkrafttreten am 16. Januar 2023 haben die EU-Mitgliedstaaten 21 Monate Zeit, die neuen Regelungen jeweils in nationales Recht umzusetzen. Entsprechend sollten sich betroffene Unternehmen schon jetzt mit den Voraussetzungen der NIS2 Richtlinie auseinandersetzen, um rechtzeitig erforderliche Maßnahmen planen und umsetzen zu können.

Abbildung 1: Zeitstrahl der Entstehung von NIS2

Zeitgleich mit NIS2 trat auch die sogenannte CER-Richtlinie – „Critical Entities Resilience Directive“ – in Kraft. Dabei reguliert CER für KRITIS-Unternehmen den physischen Schutz vor Sabotage und anderen Angriffen, etwa bei Zutrittsrichtlinien zu Rechenzentren. Die Sicherheit der Informations- und Kommunikationstechnik ist dagegen Gegenstand von NIS2. Auf CER wird in diesem und den folgenden NIS2 Artikeln nicht im Detail eingegangen.

Stand der deutschen Gesetzgebung

Die Entwürfe für das bereits bestehende KRITIS-Dachgesetz (KRITIS-DachG) zur CER-Umsetzung und das etwas sperrig betitelte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befinden sich aktuell in unterschiedlichen Stadien des Gesetzgebungsverfahrens.

Während bei der Umsetzung des KRITIS-Dachgesetzes neben der Ressortabstimmung bereits die Länder- und Verbändeanhörungen für den zweiten Referentenentwurf abgeschlossen sind, gibt es beim NIS2 kaum Fortschritte. Ein erster Referentenentwurf kursierte inoffiziell bereits im Sommer 2023. Das federführende Bundesministerium des Innern und für Heimat (BMI) veröffentlichte jedoch noch keine offizielle Version. Der Zeitplan wird nun immer enger. Ein konkreter Gesetzentwurf muss zunächst durch das Kabinett und anschließend durch das Parlament. Durch dieses aufwändige Verfahren kann eine Fristüberschreitung des Startdatums von NIS2 am 18. Oktober 2024 nicht ausgeschlossen werden.

Von NIS2 betroffene Branchen und Sektoren

Der Anwendungsbereich wurde deutlich erweitert und umfasst jetzt insgesamt achtzehn Industriesektoren von Wasser bis Weltraum. Die bisherigen 9 Sektoren der KRITIS Verordnung gehen in den neuen Bereichen auf. NIS2 unterscheidet weiterhin zwischen Sektoren mit hoher Kritikalität sowie sonstigen kritischen Sektoren. Die CER-Richtlinie betrifft dabei die 11 Sektoren mit hoher Kritikalität. Ein Überblick der betroffenen Sektoren zeigt die Tabelle in Abbildung 2.

Abbildung 2: von NIS2 betroffene Sektoren

Dabei stellt NIS2, wie auch schon NIS1, umfassende Anforderungen an das Risikomanagement und die Cybersicherheit.

Neue Einstufung als betroffenes Unternehmen

Ein weiteres Kernstück der Reform ist eine völlige Neusortierung der Zielgruppe. Im bisherigen Verständnis kritischer Infrastrukturen war die Bestimmung ihrer Kritikalität in der KRITIS-Verordnung (KritisVO) geregelt. Diese wird künftig durch das Kritis-DachG (CER) sowie NIS2UmsuCG (NIS2) ersetzt.

Das bisherige, dreistufige Verfahren legte bislang die Sektorenzugehörigkeit, bestimmte Anlagenkategorien und konkrete Schwellenwerte fest. Die Überschreitung dieser Schwellenwerte ließ einen Betreiber zu KRITIS im Sinne der Verordnung werden. Virtueller Maßstab dieser Schwellenwerte war bei allen Anlagen immer eine Zahl von 500 000 Menschen, die von einem Ausfall der kritischen Infrastruktur betroffen wären.

Nach langem Hin und Her hat man sich in den Verhandlungen zu den NIS2 (wie auch CER) darauf verständigt, die Einstufung kritischer Einrichtungen umzugestalten und europaweit künftig nach Unternehmensgröße (ab 50 Mitarbeitern aufwärts), Umsatzzahlen (10Mio€/Jahr) sowie Sektor-Zugehörigkeit vorzunehmen. Diese Einstufung wird künftig im bereits genannten NIS2UmsuCG geregelt.

Durch diese Änderungen werden künftig nach Schätzungen des Statistischen Bundesamts zehnmal mehr Unternehmen als bisher gesetzlich zur Einhaltung der Vorschriften aus den NIS2 und CER-Richtlinien verpflichtet sein. Bisherige KRITIS Unternehmen fallen automatisch und weiterhin unter die neue Richtlinie.

Neuerungen bei NIS2

Was sind nun die wichtigsten Unterschiede bzw. Neuerrungen bei NIS2 gegenüber NIS1? Es gibt 4 wichtige Änderungen:

1. Mehr als doppelt so viele Sektoren (18 statt 7) als bisher werden als kritisch eingestuft.
2. Verstöße gegen Vorgaben der NIS2 werden nach einem jetzt einheitlichen sowie erheblich verschärften Bußgeldkatalog geahndet, der nach oben nur noch durch prozentuale Anteile vom weltweiten Jahresumsatz gedeckelt ist – ähnlich wie bei der 2018 eingeführten DSGVO. Bislang konnten EU-Staaten die Strafen selbst bestimmen. In Deutschland lag die Höchststrafe bei 20Mio €.
3. NIS2 führt erstmals eine Geschäftsleiterverantwortung ein. Chefs haften also künftig persönlich, wenn sie ihre Pflichten verletzen – inklusive Schadensersatzforderungen, die aus dem eigenen Vermögen zu leisten sind.
4. Die neue Richtlinie regelt die bisher schon bestehende Meldepflicht an die Bundesnetzagentur sowie das BSI bei Sicherheitsvorfällen neu. Sie ist in Zukunft dreistufig statt einstufig: Bereits binnen 24 Stunden muss eine vorläufige Meldung erfolgen, wenn eine kritische Dienstleistung ausfällt – auch wenn noch keine präzise Kenntnis vorliegt, was genau passiert ist. Spätestens nach 72 Stunden erwarten die jeweiligen nationalen Aufsichtsbehörden (in Deutschland die Bundesnetzagentur) eine qualifizierte Meldung über den Vorfall und seine Bekämpfung.

Fazit

Durch die neue Art der Einstufung fallen deutlich mehr Unternehmen unter die KRITIS-Regulierung. Für diese ergeben sich dadurch viele neue Aufgabenstellungen. Gerade bei kleineren Firmen kann der Aufwand für ein angemessenes Risikomanagement schnell zu einer großen Herausforderung werden. Bislang schon als KRITIS eingestufte Unternehmen müssen ihre schon vorhandenen Konzepte prüfen und ggf. anpassen. Welche Maßnahmen hier genau getroffen werden sollten, wie im Detail die Einstufung als kritisches Unternehmen abläuft sowie weitere Details erfahren sie in einem der nächsten Blog-Artikel.