Ziel der NIS-2-Richtlinie ist die Gewährleistung der Netz- und Informationsicherheit bei relevanten Unternehmen. Die Juristen Peter Katko, Sina Biermann und Daniel Santa ordnen ein und geben Handlungsempfehlungen.
Die NIS-2-RL – „The Network and Information Security (NIS) Directive“, RL (EU) 2022/2555 – ist am 16. Januar 2023 in Kraft getreten. Sie ersetzt künftig die Richtlinie zur Gewährleistung von Netzwerk- und Informationssicherheit („NIS-1-RL“) aus dem Jahr 2017 als Teil der europäischen Digitalen Agenda. Die NIS-2-RL erweitert, auch für kommunale Akteure, den Anwendungsbereich, die Cybersicherheitsanforderungen und Sanktionen der NIS-1-RL.
Ziel der NIS-2-RL ist die Sicherstellung der Netz- und Informationssicherheit bei relevanten Unternehmen. Dabei unterscheidet sie zwischen wesentlichen und wichtigen Einrichtungen.1
Wiederum davon zu unterscheiden sind sogenannte Kritische Einrichtungen, die ihre Regulierung zukünftig in der „Critical Entities Resilience Directive“ (RL (EU) 2022/2557) finden: Sie hat die physische Belastbarkeit von IT und OT-Systemen zum Gegenstand. OT steht für Operative Technologie: Hardware und Software, mit der die Leistung physischer Geräte überwacht und gesteuert wird.
Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die NIS-2-RL in nationales Recht umsetzen. In Deutschland ist zu diesem Zweck das NIS-2-Umsetzungsgesetz („NIS2UmsuCG-E“) in Arbeit, das voraussichtlich ab Oktober 2024 in Kraft tritt.
Unter die NIS-2-RL können private wie auch öffentliche Einrichtungen fallen. Voraussetzung ist hierfür, dass diese Einrichtungen ihre Dienste in der Union erbringen oder ihre Tätigkeit dort ausüben und einem der Sektoren zuordbar sind, die in den Anhängen I („Sektoren mit hoher Kritikalität“) und II („sonstige kritische Sektoren“) konkretisiert werden.
Auch Einrichtungen der öffentlichen Verwaltung fallen in den Anwendungsbereich, soweit sie Teil der öffentlichen Verwaltung der Zentralregierung oder gemäß nationalem Recht als öffentliche Verwaltung auf regionaler Ebene definiert sind.
Signifikante Ausnahmen bestehen etwa für Einrichtungen in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung und Strafverfolgung.2 Die in den Anwendungsbereich fallenden Einrichtungen werden wie folgt qualifiziert:
- Dem Anwendungsbereich der „Sektoren mit hoher Kritikalität“ (Anhang I) unterfallen unter anderem Einrichtungen aus den Bereichen Energie, Verkehr, Trinkwasser, Abwasser, digitale Infrastruktur sowie auch die öffentliche Verwaltung.
- Bei den „sonstigen kritischen Sektoren“ (Anhang II) finden sich Unternehmen und Einrichtungen aus der Abfallbewirtschaftung oder Anbieter digitaler Dienste (unter anderem Anbieter von Onlinemarktplätzen, Onlinesuchmaschinen) wieder.3
- Als „wesentliche Einrichtungen“ nach Art. 3 NIS-2-RL sind Einrichtungen aus Anhang I („Sektoren mit hoher Kritikalität“) einzustufen, wenn sie die Schwellenwerte für große Unter- nehmen überschreiten oder größenunabhängig von einem EU-Mitgliedstaat als wesentliche Einrichtung klassifiziert werden.4 – Mittlere Unternehmen sind solche Unternehmen, die mehr als 50 Personen beschäftigen und deren Jahresumsatz oder Jahresbilanzsumme mindestens 10 bis 50 Millionen Euro beträgt. Große Unternehmen sind solche, die mehr als 250 Beschäftigte haben und mehr als 50 Millionen Euro Umsatz oder eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufweisen (2003/361/EG).
- „Wichtige Einrichtungen“ sind hingegen Unternehmen mittlerer Größe und solche, die den „Sektoren mit hoher Kritikalität“ oder „sonstigen kritischen Sektoren“ entsprechen, aber aufgrund der Schwellenwerte nicht als wesentliche Einrichtungen gelten.
Akribisch auf Sicherheit achten
Die Basis zur Einhaltung der umzusetzenden NIS-2-Anforderungen, wie etwa der verschiedenen Risikomanagementmaßnahmen und Berichtspflichten für Cybersecurity (insbesondere Kapitel IV der NIS-2-RL), bildet ein sogenanntes Compliance-Management-System („CMS“). Danach ist ein Organisationsrahmen zu schaffen, in dem die einzelnen regulatorischen Anforderungen mit einer Ablauf- und Aufbauorganisation identifiziert, definiert und umgesetzt werden.
Mit der Aufbau- und Ablauforganisation werden für jeden Prozess oder Prozessabschnitt eindeutige Rollen und Verantwortlichkeiten festgelegt. Hierzu bieten sich anerkannte und erprobte Standards an, beispielsweise der Prüfstandard 980 des Instituts der deutschen Wirtschaftsprüfer (IDW PS 980).
Sofern kommunale Betriebe als „wesentliche“ oder „wichtige Einrichtungen“ im Sinne der NIS-2-RL gelten, haben sie ein CMS für umfangreiche Risikomanagementmaßnahmen nach Art. 21 ff. NIS-2-RL zu etablieren. Diese umfassen Prozesse und Maßnahmen wie Back-up-Managementsysteme und die Anwendung grundlegender Cyberhygieneverfahren, die unter anderem regelmäßige Soft- und Hardwareupdates sowie Passwortänderungen beinhalten.
Weitgehende Verpflichtungen
Mitgliedstaaten können den jeweiligen Einrichtungen zusätzliche Verpflichtungen auferlegen (Art. 24 NIS-2-RL), wie die Nutzung spezieller zertifizierter IKT-Produkte, -Dienste und -Prozesse (im Sinne des Artikels 2 Nr. 12 ff. Verordnung (EU) 2019/881). Es gelten umfassende Registrierungs-, Nachweis- und Unterrichtungspflichten.
Im Fall eines erheblichen Sicherheitsvorfalls gelten künftig nach Art. 23 NIS-2-RL abgestufte Berichtspflichten an das sogenannte Computer-Notfallteam („CSIRT“)5: von einer Frühwarnung (innerhalb 24 Stunden) über eine Bewertung (innerhalb von 72 Stunden) bis zu einem Abschlussbericht (nach einem Monat). Ein erheblicher Sicherheitsvorfall liegt bei erheblichen Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten vor.
Aufgrund des exponentiellen Anstiegs von Cyberangriffen innerhalb von Lieferketten und der daraus folgenden Vulnerabilität für eine Vielzahl von Unternehmen und öffentlichen Stellen hält die Kommission einen weitergehenden Schutz von Lieferketten geboten. Das zielt auf die Verflechtung verschiedener Unternehmen: zum Beispiel Lieferanten, Hersteller, Distributoren und Dienstleister, die kooperativ zusammenarbeiten.
Als Programmpunkt des CMS ist, als Teil der Risikomanagementmaßnahmen gem. Art. 21 Abs. 2 d) NIS-2-RL, die Sicherheit der Lieferkette zu gewährleisten — einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Für den Fall der Nichteinhaltung der Maßnahmen, die durch die NIS-2-RL vorgegeben sind, qualifiziert Art. 32 NIS-2-RL ein weitreichendes Aufsichts- und Durchsetzungsregime, für dessen Einhaltung national zu benennende Cybersicherheitsbehörde(n) zuständig sind. Der Katalog an Aufsichts- und Durchsetzungsmaßnahmen umfasst unter anderem Vor-Ort-Kontrollen, Ad-hoc-Prüfungen und die Anforderung von Nachweisen für die Umsetzung der Cybersicherheitskonzepte.6
Bei Nichteinhaltung der Anforderungen sind Bußgelder in empfindlichen Höhen vorgesehen (Art. 34 NIS-2-RL bzw. § 60 Abs. 5, 6 NIS2UmscuCG-E). Die NIS-2-RL und entsprechend der NIS2UmsuCG-E sehen für wesentliche Einrichtungen einen Höchstbetrag der Geldbuße von zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes vor, bei wichtigen Einrichtungen von sieben Millionen Euro oder 1,4 Prozent des weltweiten Vorjahresumsatzes. Diese Bußgelder sollen ausschließlich zusätzlich, nie anstelle von anderen angeordneten Maßnahmen, verhängt werden.
Neben Sanktionen und Bußgeldern für die Einrichtungen sieht die NIS-2-RL auch die persönliche Haftung von „Leitungsorganen“ vor (im NIS2UmscuCG-E findet sich der Begriff „Geschäftsleiter“ wieder). Umfasst sind von diesem Begriff zumindest Geschäftsführer und Werkleiter, wodurch je nach Ausgestaltung auch kommunale Akteure betroffen sein könnten.
Der derzeitige NIS2UmscuCG-E gibt bereits eine Binnenhaftung im Verhältnis zwischen Einrichtung und Geschäftsleiter vor, die sowohl Regressansprüche als auch Bußgeldforderungen umfasst (§ 38 Abs. 2 NIS2UmscuCG-E). Die Vorschriften über die Amtshaftung gehen der Haftungsregel aus der NIS-2-RL jedoch vor, so dass eine Ausweitung der bestehenden Haftung von Amtsträgern nicht erfolgt.7
Weiter verpflichtet Art. 20 Abs. 2 NIS-2-RL Leitungsorgane wesentlicher und wichtiger Einrichtungen, an Schulungen teilzunehmen und sie allen Mitarbeitenden regelmäßig anzubieten. Leitungsorgane sollten daher noch stärker einen Blick auf das CMS ihrer Organisation haben und mit Kommunikations- und Trainingsmaßnahmen agieren sowie in die Umsetzung von Cybersicherheitsmaßnahmen einbezogen werden, als sie dies idealerweise heute schon tun.
Spätestens jetzt aktiv werden
Kommunale Akteure können vom Anwendungsbereich der NIS-2-RL erfasst sein und sind dann zur Umsetzung der Schutzmaßnahmen verpflichtet. Bereits bestehende Schutzmaßnahmen für die Cybersicherheit sollten daher überprüft und bei Bedarf kontinuierlich angepasst und verbessert werden. Falls sich kommunale Akteure bisher nicht mit dem Thema Cybersicherheit und NIS-2-RL beschäftigt haben, sollten sie dies spätestens jetzt tun, nicht zuletzt aufgrund anderweitig empfindlich drohender Sanktionen.
Peter Katko, Sina Biermann, Daniel Santa
Die Autoren
Dr. Peter Katko, licencié en droit, CIPP/E, EuroprivacyTM Implementer, ist Rechtsanwalt, Partner und Global Digital Law Leader bei der Ernst & Young Law GmbH. Sina Biermann, LL.M., ist dort Rechtsanwältin und Associate, Daniel Santa ist Wirtschaftsjurist und Associate.
Quellen: 1. Dittrich, CB 2023, Heft 08, Umschlagteil, I [1]; Kipker, MMR-Aktuell 2023, 455199. 2. Kipker, MMR-Aktuell 2023, 455199; Art. 2 Abs. 7, 8 NIS-2-RL. 3. Kipker, MMR-Aktuell 2023, 455199. 4. Kipker, MMR-Aktuell 2023, 455199. 5. Siehe hierzu auch Richtlinie (EU) 2016/1148. 6. Kipker, MMR-Aktuell 2023, 455199. 7. NIS-2-RL, Art. 20 Abs. 1; NIS2UmscuCG-E, Begründung, B. Besonderer Teil, Zu § 38, Zu Absatz 2.