Ende der Umsetzungsfrist für NIS-2-Richtlinie: Was Unternehmen beachten sollten

Die zweite EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) wurde Ende 2022 verabschiedet und ist Anfang 2023 in der EU in Kraft getreten. Sie löst die bestehenden Verpflichtungen zum Risikomanagement und zur Meldung von Cybersicherheitsvorfällen ab, die im Rahmen des ursprünglichen NIS-Systems galten. Die neuen Regelungen sind strenger und betreffen mehr Unternehmen als zuvor.

Bevor die NIS2 angewandt werden kann, müssen die Mitgliedstaaten sie jedoch noch in nationales Recht überführen. Dies sollte bis zum 17. Oktober dieses Jahres geschehen. Deutschland wird die Frist jedoch verpassen – und ist damit nicht der einzige EU-Mitgliedstaat, der bei der Umsetzung der NIS2 in Verzug ist.

Daniel Widmann von Pinsent Masons geht aktuell davon aus, dass das Gesetz zur Umsetzung der NIS2-Richtlinie voraussichtlich im März 2025 verabschiedet wird. Da die NIS-2-Richtlinie selbst nicht unmittelbar gegenüber betroffenen Unternehmen gilt, haben Unternehmen in Deutschland noch eine Schonfrist bis Anfang 2025 für die Umsetzung der in der NIS-2-Richtlinie vorgesehenen Pflichten. Mit Inkrafttreten der nationalen Umsetzungsgesetze gelten die NIS-2-Pflichten dann aber unmittelbar, das heißt es wird keine Übergangsfristen geben.

„In unserer Beratung zu NIS2 sehen wir aktuell eine große Unsicherheit bei unseren Mandanten, ob sie von der NIS2-Richtlinie betroffen sein werden oder nicht“, erklärt Widmann. „Auf den ersten Blick erscheint der Anwendungsbereich der NIS2-Richtlinie mit dem Verweis auf kritische Sektoren und dem Erreichen bestimmter Schwellenwerte relativ klar. Bei genauerer Betrachtung wirft der Anwendungsbereich der NIS2-Richtlinie zahlreiche Fragen auf“, so Widmann.

Gemäß der EU-Richtlinie fallen nur Organisationen ab einer bestimmten Größe unter die NIS2-Richtlinie. Die Größe definiert sich über die Mitarbeiterzahl und den Jahresumsatz. Gemäß der aktuellen Fassung des deutschen Gesetzesentwurfs müsste bei der Ermittlung der Mitarbeiterzahl und des Jahresumsatzes allerdings nur die der Art der Niederlassung zuzurechnende Geschäftstätigkeit berücksichtigt werden. Das bedeutet, dass nur der Teil der Organisation, der die in den NIS2-Anhängen aufgeführten Geschäftstätigkeiten ausübt, bei der Berechnung der NIS2-Schwellenwerte berücksichtigt würde und nicht andere Teile des Unternehmens, wie beispielsweise die Personalabteilung oder die Buchhaltung.

Aktuell wird darüber diskutiert, ob eine solche Einschränkung des Geltungsbereichs der NIS2 mit EU-Recht vereinbar ist. „Um auf der sicheren Seite zu sein, sollten Unternehmen, die sich fragen, ob sie in den Geltungsbereich von NIS2 fallen, den Wortlaut der NIS2-Richtlinie und nicht den aktuellen Wortlaut des deutschen Gesetzesentwurfes berücksichtigen“, so Widmann.

„Die Mehrzahl unserer Mandanten arbeitet grenzüberschreitend. Vorfälle in ihren IT-Systemen haben in der Regel grenzüberschreitende Auswirkungen. Die Zuständigkeiten der nationalen Aufsichtsbehörden unter NIS2 sind aber grundsätzlich national geregelt. Dies bedeutet für unsere Mandanten, dass sie erhebliche IT-Vorfälle zukünftig wohl mehreren EU-Aufsichtsbehörden gleichzeitig melden müssen. Das wird die Implementierung entsprechender Prozesse erfordern und für erhöhten Aufwand sorgen“, so Widmann. Ausnahmen sollen unter anderem für den Sektor Digitale Infrastruktur gelten – beispielsweise für Managed Service Provider oder Anbieter von Cloud Computing Diensten. Solche Unternehmen sollen einen erheblichen IT-Vorfall nur an die für ihre Hauptniederlassung zuständige Aufsichtsbehörde melden müssen.

Die NIS2 baut auf der ursprünglichen NIS-Richtlinie auf, die 2018 in der EU in Kraft getreten ist. Sie verpflichtet Organisationen, die in den Geltungsbereich der Richtlinie fallen, im Rahmen eines abgestuften Regulierungssystems dazu, ein Risikomanagement-System einzuführen und Cybersicherheitsvorfälle zu melden. Dabei wird zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden. „Wesentliche Einrichtungen“ unterliegen strengeren Anforderungen und einer umfassenderen behördlichen Aufsicht als „wichtige Einrichtungen“.

Als „wesentliche Einrichtung“ eingestuft werden könnten beispielsweise Anbieter elektronischer Kommunikationsnetze oder -dienste, Pharmaunternehmen, Betreiber von Wasserstoffproduktion, -speicherung und -übertragung, Cloud-Computing-Anbieter und möglicherweise auch Rechenzentren und Unternehmen, die nach dem EU-Gesetz über digitale Dienste als „sehr große Online-Plattformen“ eingestuft werden.

Das Konzept der „wichtigen Einrichtungen“ umfasst unter anderem Anbieter von Online-Suchmaschinen, Online-Marktplätzen und sozialen Netzwerken sowie Hersteller von Computern und Fahrzeugen, Unternehmen, die in der Lebensmittelproduktion und -verarbeitung tätig sind, Chemieunternehmen und Anbieter von Abfallentsorgungsdiensten. Die Richtlinie gilt für relevante Einrichtungen, die ihre Dienstleistungen innerhalb der EU erbringen oder ihre Tätigkeiten innerhalb der EU ausüben.

Widmann weist darauf hin, dass in vielen Branchen allerdings noch unklar sei, welche Unternehmen genau unter die NIS2 fallen. In der Chemiebranche beispielsweise sei gemäß dem Wortlaut der NIS2-Richtlinie der Anwendungsbereich außerordentlich weit gefasst: In Anhang II wird unter Punkt 3 der chemische Sektor mit „Produktion, Herstellung und Handel mit chemischen Stoffen“ beschrieben. Demzufolge sind alle Unternehmen, die Stoffe herstellen, mit Stoffen oder Gemischen handeln oder Erzeugnisse aus Stoffen oder Gemischen produziert, von der NIS2 betroffen, sofern sie nicht als Kleinunternehmen gelten. Der Begriff Stoffe wird wiederum in der Verordnung (EG) Nr. 1907/2006 (REACH-VO) definiert. Folgt man dieser Definition, wären weite Teile des verarbeitenden Gewerbes betroffen und müssten das neue Sicherheitssystem implementieren.

Die genauen Cybersicherheitsmaßnahmen, die jede Organisation umsetzen muss, um ihren gesetzlichen Verpflichtungen im Rahmen von NIS-2 nachzukommen, hängen von Faktoren wie Größe, Risikoexposition, der Wahrscheinlichkeit des Auftretens von Vorfällen und deren Schwere sowie der Verfügbarkeit und den Kosten für die Umsetzung von Technologie oder internationalen Standards ab. Auch die Sicherheit der Lieferkette muss berücksichtigt werden.

Bei Verstößen gegen die NIS2 drohen „wesentlichen Einrichtungen“ Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Für „wichtige Einrichtungen“ sind Bußgelder in Höhe von sieben Millionen Euro oder 1,4 Prozent des Umsatzes vorgesehen.

Zudem müssen Führungsgremien die ergriffenen Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit genehmigen und deren Umsetzung überwachen. Einzelpersonen in diesen Gremien können persönlich haftbar gemacht werden, wenn die Organisation ihren Cybersicherheitsverpflichtungen gemäß NIS2 nicht nachkommt.