freepik
2. August 2024
Umsetzung der NIS-2-Richtlinie für Unternehmen in Deutschland: Ein juristischer Überblick

➞ Überprüfen Sie, ob Ihr Unternehmen in den Anwendungsbereich der NIS-2-Richtlinie fallen kann:

Hier klicken: ANWENDUNGSBEREICH NIS-2-Richtlinie

 

Hintergrund

Die NIS-2-Richtlinie (Network and Information Security Directive) der Europäischen Union ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie und zielt darauf ab, die Cybersicherheit in der EU zu stärken. Die Richtlinie wurde am 16. Dezember 2022 angenommen und tritt ab dem 18. Oktober 2024 in Kraft. Unternehmen der Mitgliedstaaten müssen sich auf umfangreiche Anpassungen und verschärfte Cybersicherheitspflichten vorbereiten, um die Anforderungen der NIS-2-Richtlinie zu erfüllen. Unternehmen haben zudem die Anforderungen der Richtlinie und deren Einhaltung der Sicherheitsmaßnahmen dem Bundesamt für Sicherheit in der Informationstechnik alle zwei Jahre nachzuweisen. Es besteht also eine aktive Umsetzungs- und Nachweispflicht der NIS-2-Richtlinie für Unternehmen.

In Deutschland erfolgt die Umsetzung der NIS-2-Richtlinie durch das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Ein erster Referentenentwurf liegt bereits seit Mai 2023 vor. Die Umsetzungspflicht betrifft nunmehr auch Unternehmen, deren Geschäftsmodelle nicht digital oder datenintensiv sind. IT-Sicherheit wird damit für Unternehmen zu einem wichtigen Compliance-Thema.

Wichtige Punkte der NIS-2-Richtlinie

1. Verantwortung der Geschäftsführung:

    • Die Geschäftsführung trägt die nicht delegierbare Verantwortung für die IT-Sicherheit im Unternehmen. Erforderlich kann daher z.B. ein eigener Geschäftsbereich für IT-Sicherheit oder ein Cyber-Vorstand werden.

2. Erweiterter Anwendungsbereich:

    • Die Richtlinie gilt für wesentliche und wichtige Einrichtungen, einschließlich der kritischen Infrastruktur und der produzierenden Industrie mit mehr als 50 Mitarbeitern und einem Jahresumsatz über 10 Mio. EUR. Der Anwendungsbereich wurde damit deutlich erweitert. Die Richtlinie gilt nicht nur für Betreiber kritischer Infrastrukturen, sondern auch für eine breitere Auswahl von Unternehmen, einschließlich Online-Marktplätze, Cloud-Dienstleister und Datenzentren.

3. Neue Cybersicherheitspflichten:

    • Unternehmen müssen geeignete technische, operative und organisatorische Maßnahmen zur Gewährleistung der IT-Sicherheit ergreifen.

4. Sektor Verarbeitendes Gewerbe/Herstellung von Waren:

    • Dieser Sektor wird erstmals von den neuen Cybersicherheitspflichten erfasst, was viele Unternehmen dazu zwingen wird, sich intensiver mit Cybersicherheits-Compliance auseinanderzusetzen.

 

Bestehende Cybersicherheitspflichten

1. Technische und organisatorische Maßnahmen

  • Risikomanagement: Unternehmen müssen Risikomanagementprozesse implementieren, die regelmäßige Bewertungen und Aktualisierungen umfassen.
  • Sicherheitsmaßnahmen: Einführung von technischen und organisatorischen Maßnahmen zur Sicherstellung der Netz- und Informationssicherheit, einschließlich Maßnahmen zur Erkennung und Abwehr von Angriffen.

2. Berichtspflichten

  • Meldung von Sicherheitsvorfällen: Unternehmen müssen schwerwiegende Sicherheitsvorfälle unverzüglich an die zuständigen nationalen Behörden melden. Dies umfasst erste Meldungen, regelmäßige Updates und Abschlussberichte.
  • Dokumentation: Führung detaillierter Aufzeichnungen über Sicherheitsvorfälle und Maßnahmen.

3. Governance und Haftung

  • Verantwortung der Geschäftsführung: Die Geschäftsführung trägt die nicht delegierbare Verantwortung für die IT-Sicherheit. Sie kann bei Nichteinhaltung der Richtlinie persönlich haftbar gemacht werden.
  • IT-Sicherheitsressort: Diskussion über die Notwendigkeit eines speziellen Ressorts für IT-Sicherheit innerhalb der Unternehmensführung.

4. Kooperation und Informationsaustausch

  • Zusammenarbeit mit Behörden: Enge Zusammenarbeit mit nationalen und europäischen Behörden sowie anderen relevanten Akteuren, um Informationen über Bedrohungen und Sicherheitsvorfälle auszutauschen.

5. Konformität und Überwachung

  • Regelmäßige Audits: Unternehmen müssen regelmäßige Audits durchführen, um die Einhaltung der Sicherheitsvorschriften zu überprüfen.
  • Nachweise gegenüber Behörden: Alle zwei Jahre müssen Betreiber kritischer Infrastrukturen die Einhaltung ihrer Sicherheitsmaßnahmen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen.

 

Fazit

Die NIS-2-Richtlinie erfordert von Unternehmen in Deutschland, ihre Cybersicherheitsmaßnahmen erheblich zu verstärken und die Verantwortung auf Vorstandsebene zu verankern. Unternehmen sollten sich frühzeitig auf diese Anforderungen vorbereiten und entsprechende Maßnahmen zur Einhaltung der neuen Vorschriften ergreifen.

DRUCKEN
Tim Reichelt
Rechtsanwalt | Fachanwalt für Arbeitsrecht
treichelt@dierkes-partner.de
Telefon +49 - (0)40 - 36156 - 122