- 07.06.24
- Lesedauer: 4 Minuten
NIS-2-Richtlinie:Umsetzung und aktueller Stand in Deutschland
Autor: Dr. Markus Hülper, Rechtsanwalt
Im Zeitalter der Digitalisierung sind Netz- und Informationssysteme unverzichtbar für das Funktionieren unserer Gesellschaft und Wirtschaft. Um diese Systeme besser zu schützen und die Cybersicherheit zu stärken, hat die Europäische Union die NIS-2-Richtlinie verabschiedet. Sie ist bis zum 17.10.2024 in nationales Recht umzusetzen.
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security) ist eine Weiterentwicklung der ersten NIS-Richtlinie, die seit 2016 in Kraft trat. Sie zielt darauf ab, ein hohes einheitliches Niveau der Cybersicherheit in der gesamten EU zu gewährleisten. Die NIS-2-Richtlinie erweitert den Anwendungsbereich der ursprünglichen Richtlinie und stellt strengere Anforderungen an die Sicherheit von Netz- und Informationssystemen.
Hauptziele der NIS-2-Richtlinie
Stärkung des Cybersicherheitsniveaus in der EU
Die NIS-2-Richtlinie zielt darauf ab, das allgemeine Niveau der Cybersicherheit in allen Mitgliedstaaten der EU zu erhöhen, um besser auf Bedrohungen reagieren zu können.
Präzisierung und Vereinheitlichung der konkreten Anforderungen:
Durch die NIS-2-Richtlinie werden spezifische Sicherheitsanforderungen klarer definiert und ausgeweitet, um eine einheitliche Umsetzung in allen EU-Staaten zu gewährleisten.
Erweiterung der Sektoren, die unter die Richtlinie fallen:
Mehr Sektoren und Unternehmen, einschließlich kleiner und mittlerer Unternehmen (KMU), werden nun unter die NIS-2-Richtlinie fallen, um ein breiteres Spektrum an Netz- und Informationssystemen zu schützen.
Stärkung der Widerstandsfähigkeit gegenüber Cyberbedrohungen:
Die Richtlinie verpflichtet Unternehmen dazu, Maßnahmen zu ergreifen, die ihre Fähigkeit zur Abwehr und Bewältigung von Cyberangriffen verbessern.
Schutz der kritischen Infrastruktur:
Im Fokus steht der Schutz kritischer Infrastrukturen, um die Funktionsfähigkeit wichtiger gesellschaftlicher und wirtschaftlicher Prozesse sicherzustellen.
Verbesserung der Reaktionsfähigkeit:
Durch die NIS-2-Richtlinie soll die Fähigkeit zur schnellen und effektiven Reaktion auf Cybervorfälle in der gesamten EU verbessert werden.
Umsetzung der NIS-2-Richtlinie in Deutschland
Deutschland hat bereits Maßnahmen ergriffen, um die NIS-2-Richtlinie in nationales Recht umzusetzen. Die Bundesrepublik verfolgt dabei einen umfassenden Ansatz, der sowohl gesetzliche als auch technische und organisatorische Maßnahmen umfasst.
Gesetzliche Maßnahmen
Im Zuge der Umsetzung der NIS-2-Richtlinie hat Deutschland das IT-Sicherheitsgesetz 2.0 eingeführt, das im Mai 2021 in Kraft trat. Dieses Gesetz sieht unter anderem folgende Maßnahmen vor:
Erweiterung der Meldepflichten:
Betreiber kritischer Infrastrukturen (KRITIS) sind verpflichtet, erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dies stellt sicher, dass das BSI frühzeitig über Sicherheitsvorfälle informiert wird und entsprechende Maßnahmen einleiten kann.
Stärkere Sicherheitsanforderungen:
Unternehmen müssen nachweisen, dass sie über angemessene Sicherheitsmaßnahmen verfügen, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören regelmäßige Sicherheitsüberprüfungen und die Implementierung von Schutzmaßnahmen gegen Cyberangriffe.
Erhöhung der Sanktionen:
Bei Verstößen gegen die Sicherheitsanforderungen können hohe Geldstrafen verhängt werden. Die Bußgelder betragen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Außerdem sollen Geschäftsführer und andere Leitungsorgane bei Verstößen gegen die erweiterten Cybersicherheits-Pflichten persönlich haften. (vgl. § 38 BSIG-E).
Technische und organisatorische Maßnahmen
Neben den gesetzlichen Vorgaben setzt Deutschland auch auf technische und organisatorische Maßnahmen, um die Cybersicherheit zu stärken. Dazu gehören:
Förderung von Kooperationen:
Die Zusammenarbeit zwischen Staat, Wirtschaft und Wissenschaft wird intensiviert, um gemeinsam Lösungen für aktuelle Cyberbedrohungen zu entwickeln. Durch den Austausch von Wissen und Ressourcen können Synergien genutzt und die Abwehr von Cyberangriffen verbessert werden.
Sensibilisierung und Schulung:
Unternehmen und ihre Mitarbeiter werden durch Schulungen und Aufklärungskampagnen für die Bedeutung der Cybersicherheit sensibilisiert. Dies umfasst sowohl technische Schulungen als auch Sensibilisierungsmaßnahmen, um ein Bewusstsein für sichere Verhaltensweisen im Umgang mit IT-Systemen zu schaffen.
Stärkung des BSI:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird personell und finanziell weiter aufgestockt, um seine Aufgaben effektiv wahrnehmen zu können. Dies umfasst die Bereitstellung von Ressourcen für die Überwachung und Analyse von Cyberbedrohungen sowie die Unterstützung von Unternehmen bei der Umsetzung von Sicherheitsmaßnahmen.
Der aktuelle Stand des deutschen Referentenentwurfs
Der Referentenentwurf zur Umsetzung der NIS-2-Richtlinie in Deutschland wurde im Februar 2023 veröffentlicht und befindet sich derzeit in der Anhörungsphase. Der Entwurf sieht vor, die Anforderungen der NIS-2-Richtlinie umfassend in nationales Recht zu integrieren und die bestehenden Regelungen des IT-Sicherheitsgesetzes 2.0 zu erweitern und anzupassen.
Wichtige Inhalte des Referentenentwurfs
Im Zuge der Umsetzung der NIS-2-Richtlinie hat Deutschland das IT-Sicherheitsgesetz 2.0 eingeführt, das im Mai 2021 in Kraft trat. Dieses Gesetz sieht unter anderem folgende Maßnahmen vor:
Erweiterung des Anwendungsbereichs:
Der Entwurf sieht vor, dass mehr Sektoren und Unternehmen, einschließlich kleiner und mittlerer Unternehmen (KMU), unter die Regelungen der NIS-2-Richtlinie fallen werden.
Erhöhung der Sicherheitsanforderungen:
Unternehmen müssen detaillierte Nachweise über die Erfüllung der vorgeschriebenen Sicherheitsmaßnahmen erbringen.
Verstärkte Meldepflichten:
Die Meldepflichten bei Sicherheitsvorfällen werden ausgeweitet, gleichzeitig werden die Fristen für die Meldung von Vorfällen verkürzt. Unternehmen müssen zudem eine Kontaktstelle einrichten und betreiben.
Kooperation und Austausch:
Der Entwurf fördert die Kooperation und den Informationsaustausch zwischen verschiedenen Akteuren im Bereich der Cybersicherheit, um schneller auf Bedrohungen reagieren zu können.
Sanktionsmechanismen:
Die Sanktionen bei Verstößen gegen die Sicherheitsanforderungen werden verschärft, um die Einhaltung der Vorgaben zu gewährleisten.
Herausforderungen bei der Umsetzung
Die Umsetzung der NIS-2-Richtlinie stellt Deutschland vor verschiedene Herausforderungen:
Komplexität der Anforderungen
Die erweiterten Sicherheitsanforderungen und Meldepflichten erfordern von Unternehmen erhebliche Investitionen in ihre IT-Sicherheit.
Koordinationsaufwand:
Die Zusammenarbeit zwischen verschiedenen Akteuren muss intensiviert werden, um eine effektive Umsetzung der Richtlinie zu gewährleisten.
Ressourcenknappheit:
Sowohl auf Seiten der Unternehmen als auch der Behörden besteht ein hoher Bedarf an qualifiziertem Personal, um die Vorgaben der NIS-2-Richtlinie umzusetzen.
Fazit: Unternehmen müssen jetzt handeln
Die NIS-2-Richtlinie ist ein wichtiger Schritt zur Stärkung der Cybersicherheit in der EU. Deutschland hat bereits bedeutende Fortschritte bei der Umsetzung der Richtlinie gemacht, steht jedoch auch vor erheblichen Herausforderungen. Durch eine Kombination aus gesetzlichen Maßnahmen, technischer Unterstützung und intensiver Zusammenarbeit kann es gelingen, ein hohes Niveau der Cybersicherheit zu erreichen und die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen.
Für Unternehmen und Organisationen bedeutet dies, dass sie sich gut auf die neuen Anforderungen vorbereiten müssen. Eine frühzeitige Auseinandersetzung mit den Regelungen und die Implementierung geeigneter Sicherheitsmaßnahmen sind entscheidend, um den gesetzlichen Vorgaben gerecht zu werden und mögliche Sanktionen zu vermeiden.
Wir unterstützen Sie dabei, die Anforderungen der NIS-2-Richtlinie zu verstehen und umzusetzen. Mit unserer Expertise und Erfahrung im Bereich der IT-Sicherheit stehen wir Ihnen als kompetenter Partner zur Seite, um Ihre Netz- und Informationssysteme optimal zu schützen.
