Die NIS-2-Richtlinie – Inhalt und Umset­zung in der Praxis

Bereits im Jahr 2016 ist die Richt­li­nie “über Maß­nah­men zur Gewähr­leis­tung eines hohen gemein­sa­men Sicher­heits­ni­veaus von Netz- und Infor­ma­ti­ons­sys­te­men in der Uni­on” (kurz: NIS-Richtlinie) in Kraft getre­ten. Da die Digi­ta­li­sie­rung und Ver­net­zung ste­tig vor­an­schrei­ten und Cyber­ri­si­ken zuneh­men, hat die EU-Kommission bereits vor eini­ger Zeit ein Update der NIS-Richtlinie vor­be­rei­tet. Seit dem 13.01.2022 befin­det sich die­ses Update, die sog. NIS-2-Richtlinie, in den Trilog-Verhandlungen zwi­schen EU-Kommission, EU-Parlament und Minis­ter­rat. Wor­auf sich Unter­neh­men ein­stel­len müs­sen und wel­che Schrit­te zur Umset­zung erfor­der­lich sein wer­den, erläu­tern wir Ihnen im fol­gen­den Beitrag.

I. Mas­si­ve Aus­wei­tung des Anwendungsbereichs

Nach aktu­el­lem Kennt­nis­stand wird der Anwen­dungs­be­reich der NIS-2-Richtlinie erheb­lich aus­ge­wei­tet wer­den. Zukünf­tig sol­len bereits Unter­neh­men erfasst sein, die über 50 Per­so­nen beschäf­ti­gen und einen Jah­res­um­satz bzw. eine Jah­res­bi­lanz von über 10 Mio. EUR haben und zu einem kri­ti­schen oder wich­tigs­ten  Sek­tor gehö­ren. Auch die der Richt­li­nie unter­fal­len­den Sek­to­ren wer­den mas­siv erwei­tert. Zum kri­ti­schen Sek­tor Gesund­heit sol­len zukünf­tig bei­spiels­wei­se neben Healthcare-Providern ins­be­son­de­re Labo­re, die Medi­zin­for­schung und Phar­ma­zeu­tik sowie Her­stel­ler von Medi­zin­ge­rä­ten gehö­ren. Deut­lich erwei­tert wird dar­über hin­aus der kri­ti­sche Sek­tor “Digi­ta­le Infra­struk­tur”, der zukünf­tig ins­be­son­de­re auch Cloud-Provider, Rechen­zen­tren sowie Content-Delivery-Netzwerke erfas­sen soll. Zu den wich­ti­gen  Sek­to­ren wer­den zukünf­tig unter ande­rem der gesam­te indus­tri­el­le Sek­tor und ins­be­son­de­re Her­stel­ler von Medi­zin­ge­rä­ten und Com­pu­tern, aber auch die Bran­chen Maschi­nen­bau und Mobi­li­ty zählen.

II. Neue Pflich­ten für Unter­neh­men und hohe Bußgelder

Die NIS-2-Richtlinie sieht ver­schie­de­ne Risi­ko­ma­nage­ment­maß­nah­men und Mel­de­pflich­ten für die Unter­neh­men vor, wel­che durch natio­na­le Auf­sichts­be­hör­den kon­trol­liert und ggf. sank­tio­niert wer­den kön­nen. In Art. 18 Abs. 2 der NIS-2-Richtlinie wer­den die Anfor­de­run­gen an die Risi­ko­ma­nage­ment­maß­nah­men kon­kre­ti­siert. Dazu zäh­len ins­be­son­de­re die Schaf­fung von Risikoanalyse- und Sicher­heits­kon­zep­ten für die Infor­ma­ti­ons­sys­te­me, die Bewäl­ti­gung von Zwi­schen­fäl­len, die Offen­le­gung von Schwach­stel­len sowie die Gewähr­leis­tung der Sicher­heit in der Lie­fer­ket­te. Für die Mel­dung ist ein zwei­stu­fi­ger Ansatz vor­ge­se­hen. Nach Bekannt­wer­den eines Vor­falls haben die Unter­neh­men 24 Stun­den Zeit, einen vor­läu­fi­gen Bericht zu über­mit­teln, gefolgt von einem Abschluss­be­richt spä­tes­tens einen Monat spä­ter. Fer­ner sind stren­ge­re Auf­sichts­maß­nah­men durch die natio­na­len Behör­den und stren­ge­re Durch­set­zungs­an­for­de­run­gen vor­ge­se­hen. So kön­nen die Behör­den ins­be­son­de­re regel­mä­ßi­ge Prü­fun­gen – auch vor Ort – vor­neh­men. Eben­falls soll eine ein­heit­li­che­re Sank­ti­ons­pra­xis in den Mit­glied­staa­ten erreicht wer­den. Dabei kön­nen Geld­bu­ßen bis zu 10 Mil­lio­nen Euro oder 2 % des gesam­ten welt­wei­ten Jah­res­um­sat­zes der Unter­neh­men, je nach­dem, wel­cher Betrag höher ist, erteilt werden.

III. Emp­feh­lung für Unternehmen

Die bis dato ver­öf­fent­lich­ten Ent­wür­fe zur NIS-2-Richtline sind noch nicht ver­bind­lich. Inso­fern bleibt abzu­war­ten, wie der end­gül­ti­ge Wort­laut der Richt­li­nie nach Abschluss der Trilog-Verhandlungen aus­se­hen wird. Sobald die Richt­li­nie in Kraft ist, haben die Mit­glied­staa­ten die­se inner­halb der vor­ge­schrie­be­nen Frist umzu­set­zen. Wäh­rend die Kom­mis­si­on dafür einen Zeit­raum von 18 Mona­ten vor­sah, möch­te der Rat den Mit­glied­staa­ten 24 Mona­te zuge­ste­hen. Klar ist jedoch schon jetzt, dass die recht­li­chen Vor­ga­ben zur Cyber­si­cher­heit für Unter­neh­men erheb­lich anzie­hen wer­den. Gleich­zei­tig sind die erwart­ba­ren Umset­zungs­zeit­räu­me, auch vor dem Hin­ter­grund der ange­spann­ten Markt­la­ge bei der Ver­füg­bar­keit von Cyber­si­cher­heits­ex­per­ten und der erfor­der­li­chen Vor­lauf­zeit für die Umset­zung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, knapp. Unter­neh­men soll­ten daher, spä­tes­tens, wenn die NIS‑2 ‑Richt­li­nie ver­ab­schie­det ist, im Rah­men ihres Cybersecurity-Compliance-Managements prü­fen wel­che neu­en recht­li­chen Pflich­ten sie beach­ten müssen.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.