6 Tipps zur praktischen Umsetzung in Unternehmen
Am 28. November 2022 hat der Rat der EU die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) verabschiedet. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedstaaten haben anschließend 21 Monate Zeit, die Vorgaben in nationales Recht umzusetzen, sodass spätestens bis 2024 neue Regelungen zur Cybersicherheit gelten werden. Spätestens mit der Umsetzung der Richtlinie kommen umfangreiche Pflichten auf Unternehmen zu. Aufgrund der kurzen Umsetzungszeit sollten Unternehmen bereits jetzt die Neuerungen der NIS-2-Richtlinie beachten.
1. Betroffenheit prüfen
Unternehmen sollten prüfen, ob sie dem Anwendungsbereich der NIS-2-Richtlinie unterfallen, da dieser erheblich erweitert wurde. Erfasst werden alle Unternehmen, die über 50 Personen beschäftigen, einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. EUR haben und einem der kritischen Sektoren unterfallen. Bezüglich der wesentlichen Sektoren wurden sowohl gänzlich neue Sektoren wie z.B. Abwasser oder die Verwaltung von IKT-Diensten als auch Ergänzungen der bisherigen Sektoren eingefügt. Gleiches gilt für die wichtigen Sektoren, worunter künftig u.a. die Warenherstellung in allen Bereichen, wie z.B. der Produktion von Computern oder den Branchen Healthcare, Maschinenbau und Mobility, fallen wird.
2. Risikomanagement etablieren
Die NIS-2-Richtlinie legt in Art. 21 ausdrücklich fest, dass die betroffenen Einrichtungen unter Berücksichtigung des Stands der Technik geeignete und verhältnismäßige technische, organisatorische sowie operative Maßnahmen ergreifen müssen, um Cybersicherheitsrisiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu vermeiden. Zur Konkretisierung sieht die Richtlinie eine Vielzahl von Mindestmaßnahmen vor. Hierzu zählen u.a. die Implementierung von Risikoanalyse- und Sicherheitskonzepten für Informationssysteme, die Bewältigung von Sicherheitsvorfällen, ein Backup- und Krisenmanagement, die Gewährleistung der Sicherheit in der Lieferkette, Cybersicherheits-Schulungen sowie ein Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen. Unternehmen sollten daher zur Prävention von Cyberangriffen sowie für den Ernstfall ein funktionierendes Incident Response Management sicherstellen.
3. Cybersecurity ist Chefsache
Die zentrale Verantwortung für das Risikomanagement nach der NIS-2-Richtlinie tragen die Leitungsorgane. Sie sind insbesondere verpflichtet, die Umsetzung von Cybersicherheitsmaßnahmen zu überwachen, und können im Falle der Nichteinhaltung persönlich zur Verantwortung gezogen werden. Darüber hinaus müssen die Leitungsorgane an Cybersicherheits-Schulungen teilnehmen und sicherstellen, dass allen Mitarbeitern bei Bedarf entsprechende Schulungen angeboten werden.
4. Meldepflichten berücksichtigen
Unternehmen unterliegen künftig strengen Meldepflichten. Einrichtungen, die der NIS-2-Richtlinie unterliegen, müssen über jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat, Bericht erstatten. In besonders schweren Fällen sind zudem unverzüglich die Nutzer zu benachrichtigen und ggfs. sogar die Öffentlichkeit zu informieren. Um den Meldepflichten zu genügen, sollten Unternehmen daher eine effektive Krisenkommunikation etablieren und diese für den Notfall erproben.
5. Behördliche Maßnahmen vermeiden
Zur Durchsetzung der Cybersicherheits-Vorgaben werden den nationalen Behörden künftig zahlreiche Kontroll- und Sanktionsmaßnahmen zur Verfügung stehen. Zu nennen sind u.a. Vor-Ort-Kontrollen, Sicherheitsprüfungen sowie Anweisungen oder Anordnungen. Bei Verstößen drohen Unternehmen Bußgelder von bis zu 10 Mio. EUR oder 2% des gesamten weltweiten Jahresumsatzes. Darüber hinaus werden die nationalen Behörden auch befugt sein, Warnungen über Verstöße herauszugeben. Neben der bisherigen Befugnis des Bundesamtes für Sicherheit in der Informationstechnik, Produktwarnungen auszusprechen, drohen mit Umsetzung der Richtlinie damit vermehrt öffentliche Warnungen, die Unternehmen erheblich belasten können.
6. Weitere Regelungen beachten
Das Recht wird zum Treiber der Cybersicherheit. Die EU hat auf die fortschreitende Bedrohungslage im Cyberraum reagiert und es wird zukünftig europaweit verbindliche Vorgaben zur Cybersicherheit geben. Neben den unternehmensbezogenen Anforderungen der NIS-2-Richtlinie werden mit dem Cyber Resilience Act auch produktbezogene Vorgaben zur Cybersicherheit auf Unternehmen zukommen.