Bereits im Jahr 2016 ist die Richtlinie “über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union” (kurz: NIS-Richtlinie) in Kraft getreten. Da die Digitalisierung und Vernetzung stetig voranschreiten und Cyberrisiken zunehmen, hat die EU-Kommission bereits vor einiger Zeit ein Update der NIS-Richtlinie vorbereitet. Seit dem 13.01.2022 befindet sich dieses Update, die sog. NIS-2-Richtlinie, in den Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und Ministerrat. Worauf sich Unternehmen einstellen müssen und welche Schritte zur Umsetzung erforderlich sein werden, erläutern wir Ihnen im folgenden Beitrag.
I. Massive Ausweitung des Anwendungsbereichs
Nach aktuellem Kenntnisstand wird der Anwendungsbereich der NIS-2-Richtlinie erheblich ausgeweitet werden. Zukünftig sollen bereits Unternehmen erfasst sein, die über 50 Personen beschäftigen und einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. EUR haben und zu einem kritischen oder wichtigsten Sektor gehören. Auch die der Richtlinie unterfallenden Sektoren werden massiv erweitert. Zum kritischen Sektor Gesundheit sollen zukünftig beispielsweise neben Healthcare-Providern insbesondere Labore, die Medizinforschung und Pharmazeutik sowie Hersteller von Medizingeräten gehören. Deutlich erweitert wird darüber hinaus der kritische Sektor “Digitale Infrastruktur”, der zukünftig insbesondere auch Cloud-Provider, Rechenzentren sowie Content-Delivery-Netzwerke erfassen soll. Zu den wichtigen Sektoren werden zukünftig unter anderem der gesamte industrielle Sektor und insbesondere Hersteller von Medizingeräten und Computern, aber auch die Branchen Maschinenbau und Mobility zählen.
II. Neue Pflichten für Unternehmen und hohe Bußgelder
Die NIS-2-Richtlinie sieht verschiedene Risikomanagementmaßnahmen und Meldepflichten für die Unternehmen vor, welche durch nationale Aufsichtsbehörden kontrolliert und ggf. sanktioniert werden können. In Art. 18 Abs. 2 der NIS-2-Richtlinie werden die Anforderungen an die Risikomanagementmaßnahmen konkretisiert. Dazu zählen insbesondere die Schaffung von Risikoanalyse- und Sicherheitskonzepten für die Informationssysteme, die Bewältigung von Zwischenfällen, die Offenlegung von Schwachstellen sowie die Gewährleistung der Sicherheit in der Lieferkette. Für die Meldung ist ein zweistufiger Ansatz vorgesehen. Nach Bekanntwerden eines Vorfalls haben die Unternehmen 24 Stunden Zeit, einen vorläufigen Bericht zu übermitteln, gefolgt von einem Abschlussbericht spätestens einen Monat später. Ferner sind strengere Aufsichtsmaßnahmen durch die nationalen Behörden und strengere Durchsetzungsanforderungen vorgesehen. So können die Behörden insbesondere regelmäßige Prüfungen – auch vor Ort – vornehmen. Ebenfalls soll eine einheitlichere Sanktionspraxis in den Mitgliedstaaten erreicht werden. Dabei können Geldbußen bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes der Unternehmen, je nachdem, welcher Betrag höher ist, erteilt werden.
III. Empfehlung für Unternehmen
Die bis dato veröffentlichten Entwürfe zur NIS-2-Richtline sind noch nicht verbindlich. Insofern bleibt abzuwarten, wie der endgültige Wortlaut der Richtlinie nach Abschluss der Trilog-Verhandlungen aussehen wird. Sobald die Richtlinie in Kraft ist, haben die Mitgliedstaaten diese innerhalb der vorgeschriebenen Frist umzusetzen. Während die Kommission dafür einen Zeitraum von 18 Monaten vorsah, möchte der Rat den Mitgliedstaaten 24 Monate zugestehen. Klar ist jedoch schon jetzt, dass die rechtlichen Vorgaben zur Cybersicherheit für Unternehmen erheblich anziehen werden. Gleichzeitig sind die erwartbaren Umsetzungszeiträume, auch vor dem Hintergrund der angespannten Marktlage bei der Verfügbarkeit von Cybersicherheitsexperten und der erforderlichen Vorlaufzeit für die Umsetzung von technischen und organisatorischen Maßnahmen, knapp. Unternehmen sollten daher, spätestens, wenn die NIS‑2 ‑Richtlinie verabschiedet ist, im Rahmen ihres Cybersecurity-Compliance-Managements prüfen welche neuen rechtlichen Pflichten sie beachten müssen.