Die NIS2-EU-Richtlinie ist der Nachfolger der NIS und legt den Mindeststandard für Cyber Security für Mitglieder der Europäischen Union fest. Die Richtlinien zur Sicherheit von Netz- und Informationssystemen (NIS2) bilden die Basis für ein umfassendes Risikomanagement bei Unternehmen. Es ist das Ziel, die sicherheitskritischen Netz- und Informationssysteme vor Cyberangriffen zu schützen.
Am 16. Januar 2023 trat die NIS2-EU-Richtlinie in Kraft. Die EU-Mitgliedsstaaten haben nun 21 Monate – bis zum 17. Oktober 2024 – Zeit, sie in nationales Recht zu überführen.
Insgesamt richtet sich die NIS 2 an die Betreiber Kritischer Infrastrukturen aus 18 Sektoren. Diese teilen sich in elf Essential-Sektoren und sieben Important-Sektoren. Die 18 Sektoren gehen über die KRITIS-Sektoren und die Unternehmen im besonderen öffentlichen Interesse (UBI) hinaus, umfassen diese aber zum Teil. Sie werden in “Sektoren mit hoher Kritikalität” und “sonstige kritische Sektoren” aufgeteilt. Die Sektoren mit hoher Kritikalität” müssen besonders strenge Anforderungen erfüllen.
- Die “Sektoren mit hoher Kritikalität” wurden auf elf Sektoren erhöht. Hierzu gehören aktuell:
- Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
- Gesundheit (Versorger, Labore, F&E, Pharma)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken und Finanzmärkte
- Wasser- und Abwasserversorgung
- Digital (Anbieter von: Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Rechenzentrumsdiensten, Anbieter Cloud-Computing-Diensten, Inhaltsbereitstellungsnetzwerken, Vertrauensdiensten)
- ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung
Neben den Maßnahmen für die wesentlichen Sektoren sieht die NIS2-EU-Richtlinie auch Maßnahmen für “sonstige kritische Sektoren” vor. Diese wurden auf sieben Sektoren erweitert. Hierzu zählen:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie
- Ernährung
- Industrie (Technik und Ingenieurwesen)
- Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, soziale Netzwerke)
- Forschung
Die Vorgaben, die die NIS2-EU-Richtlinie für Unternehmen vorsieht, sind weitreichend. Dazu gehören zum Beispiel verschiedene IT-Sicherheits- und Risikomanagement-Maßnahmen sowie Meldepflichten mit kurzen Fristen. Nach Bekanntwerden eines Vorfalls haben die Betriebe nur 24 Stunden Zeit, einen vorläufigen Bericht zu übermitteln. Spätestens einen Monat später ist zudem ein Abschlussbericht fällig. NIS2 bringt damit erheblichen Aufwand mit sich. Für große Unternehmen sind diese Pflichten umsetzbar, einige Mittelständler dürften jedoch überfordert sein. Gerade kleinere Firmen haben oft keinen eigenen IT-Leiter und nicht genügend Personal, um die vorgesehenen Pflichten zu erfüllen. Wegen des Fachkräftemangels ist es zudem schwierig, externe IT-Dienstleister zu verpflichten.
NIS2 verschärft mit den Anforderungen und neuen Regelungen zu Bußen bei Verstößen auch die persönliche Haftung der Geschäftsleiter. Die neue EU-Veorordnung dürfte den allgemeinen Trend zur Ausweitung der Managehaftung (wie schon beim LkSG und ESG) weiter befeuern.