Was ist neu an der NIS-2-Richtlinie?  

Die NIS-2-Richtlinie erweitert die Cyber-Sicherheitsanforderungen und die Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und zu verbessern. Zudem enthält sie strengere Anforderungen für verschiedene Sektoren. Unternehmen und Organisationen müssen sich unter anderem mit den Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen. Darüber hinaus erweitert die Richtlinie die Zahl der Organisationen, die in den Anwendungsbereich fallen. Für die Geschäftsleitung der betroffenen Organisationen werden strengere Haftungsregeln gelten. 

Was bedeutet das für Unternehmen, wenn NIS-2 am 17. Oktober 2024 in nationales Recht überführt wird und umzusetzen ist? 

Hier kommen also viele Veränderungen auf Unternehmen zu. Die wichtigsten sind unter anderem die folgenden: 

Ausweitung des Anwendungsbereichs

Die Ausweitung des Anwendungsbereichs beinhaltet die Erweiterung der NIS-2-Richtlinie um zusätzliche Sektoren und Organisationen. Mit NIS-2 werden jetzt klar definierte kritische Sektoren einbezogen, die eine erhöhte Verantwortung für die Sicherheit ihrer Netzwerke und Informationssysteme tragen. Diese Sektoren müssen die neuen Anforderungen erfüllen. Der Referentenentwurf des Bundesinnenministeriums lässt erwarten, dass der deutsche Gesetzgeber sogar noch weiter geht, als von NIS-2 gefordert wurde. Die Regelungen dazu sind in Teilen sehr komplex. 

Die Bundesregierung plant, neue Schwellenwerte zu erlassen, die sowohl für die Cyber-Sicherheit (NIS-2 und BSIG (BSI-Gesetz)) als auch für die physische Sicherheit (EU-RCE) gelten sollen. Diese Verordnung zielt darauf ab, die monetären Schwellenwerte zur Bestimmung der Unternehmensgrößenklassen im Handelsbilanzrecht zu erhöhen. Diese Änderungen sollen den bürokratischen Aufwand für Unternehmen reduzieren und die Kosten senken. Die Anhebung der Schwellenwerte ermöglicht vielen Unternehmen, in eine niedrigere Größenklasse zu fallen und somit weniger strenge Verpflichtungen zu haben. Dies ist ein wichtiger Schritt zur Entbürokratisierung und zur Unterstützung kleiner und mittelständischer Betriebe. 

Die EU RCE-Richtlinie (Regulierung der Resilienz und Widerstandsfähigkeit), die sich insbesondere mit der physischen Sicherheit von kritischen Infrastrukturen befasst, wird in Deutschland durch das sogenannte KRITIS-Dachgesetz umgesetzt. 

Governance und Organhaftung

NIS-2 sieht vor, dass Leitungsorgane (Vorstand, Geschäftsführung etc.) für die Überwachung der Umsetzung der Risikomanagementmaßnahmen Sorge tragen sollen und fordert, dass ein Verstoß gegen diese Pflicht zur privaten Haftung der Leitungsorgane führt.  

Diese Vorgaben scheint die Bundesregierung besonders streng umsetzen zu wollen. Der Referentenentwurf sieht vor, dass die Leitungsorgane ihren Verpflichtungen persönlich nachkommen müssen. Außerdem sollen sie gegenüber ihrer Organisation auch für Bußgelder haften, die aufgrund ihrer Pflichtverletzungen verhängt wurden.  

Dies kann insbesondere für Vorstände und Geschäftsführer von großen Unternehmen fatale Folgen haben. Für Verstöße gegen die Anforderungen von NIS-2 sollen nationale Strafen, Geldbußen und Sanktionen erlassen werden. (Art. 34 Art. 35 Art. 36) 

• Essential Sektoren (wesentliche Einrichtungen): Strafen bis zu einem Maximum von mind. 10 Mio. EUR oder 2 % des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23 (Cyber-Security-Maßnahmen und -Meldungen)
• Important Sektoren (wichtige Einrichtungen): Strafen bis zu einem Maximum von mind. 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23

Die Obergrenze für Bußgelder wird von bisher 20 Millionen Euro (§ 14 Abs. 5 BSIG i.V.m. § 30 Abs. 2 Satz 3 OWiG) auf bis zu 2 % des globalen Jahresumsatzes des Unternehmens erhöht. Da vorgesehen ist, dass die Organisationen auf die Ersatzansprüche gegenüber den Leitungsorganen nicht verzichten dürfen, sind die neuen Haftungsregeln für Leitungsorgane potenziell existenzgefährdend. 

Die Geschäftsfelder von Unternehmen in der digitalen Welt sind in ihren vernetzten Infrastrukturen, der Abhängigkeit von Daten und Softwarelösungen sowie den ständig neuen Angriffsvektoren einem enormen Sicherheitsrisiko ausgesetzt. Das gilt insbesondere für Betreiber kritischer Infrastrukturen. In Anbetracht der aktuellen geopolitischen Lage stellen sie digitale Angriffsziele durch potenzielle Cyberangriffe dar und sind einer erhöhten Gefahr ausgesetzt, die es besonders zu schützen gilt. Deshalb ist die verbindliche Umsetzung von NIS-2 wichtig, um relevante Unternehmen zu identifizieren und zum Aufbau entsprechender Cyberkapazitäten zu verpflichten. 

Wer ist von NIS-2 betroffen? 

Ob ein Unternehmen von der NIS-2-Richtlinie betroffen ist, hängt vom Tätigkeitsbereich sowie von der Unternehmensgröße ab. Es ist wichtig zu wissen, dass die NIS-2-Richtlinie für deutlich mehr Bereiche relevant ist als die erste NIS-Richtlinie. Es wird grundsätzlich unterschieden zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren. Zusätzlich wird zwischen den Kategorien „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ unterschieden. Die Unterteilung der Kategorien spielt hauptsächlich bei der staatlichen Aufsichts- und den Sanktionsmöglichkeiten eine Rolle. 

Betroffenheit nach Tätigkeitsbereich 

Zuerst wird in zwei Sektoren unterschieden. Einerseits werden Sektoren mit hoher Kritikalität definiert und andererseits jene mit sonstiger Kritikalität. Die Sektoren mit hoher Kritikalität decken sich großenteils mit jenen, die bereits in Deutschland unter KRITIS fallen. 

Sektoren mit hoher Kritikalität
( Anhang 1 / NIS-2)

Energie / Verkehr / Bankwesen / Finanzmarktinfrastrukturen / Gesundheitswesen / Trinkwasser / Abwasser / Digitale Infrastruktur / Verwaltung von IKT-Diensten / Öffentliche Verwaltung / Weltraum 

Sonstige kritische Sektoren
(Anhang 2 / NIS-2)

Post- und Kurierdienste / Abfallbewirtschaftung / Produktion, Herstellung und Handel mit chemischen Stoffen / Produktion, Verarbeitung und Vertrieb von Lebensmitteln / Verarbeitendes Gewerbe (Herstellung von Waren - Herstellung von Medizinprodukten - Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen - Herstellung von elektrischen Ausrüstungen – Maschinenbau - Herstellung von Kraftwagen und Kraftwagenteilen - Sonstiger Fahrzeugbau) / Anbieter digitaler Dienste / Forschung 

Zuordnung der Sektoren im Vergleich „KRITIS & NIS 2“

HINWEIS: 

Gem. dem Referentenentwurfs des Bundesinnenministeriums zur Umsetzung der NIS-Richtlinie ist vorgesehen, dass die Regelungen im BSIG zu den UBI aufgehoben werden sollen. UBI werden gem. des Entwurfs in der neuen Einrichtungskategorie „Wesentlichen Einrichtungen & wichtigen Einrichtungen“ aufgehen. 

Betroffenheit nach Unternehmensgröße 

In einem zweiten Schritt muss die Größe des Unternehmens herangezogen werden, um zu definieren, ob es sich um eine wesentliche oder eine wichtige Einrichtung handelt. Unternehmen, die weniger als 50 Beschäftigte haben und weniger als 10 Millionen Euro Jahresumsatz aufweisen, fallen nicht unter die NIS-2-Richtlinie. 

Sonderfälle 

• Folgende Unternehmen sind unabhängig von ihrer Größe von NIS-2 betroffen. (Artikel 3, Absatz 1, Ziffer a / NIS-2)
• Anbieter von Vertrauensdiensten
• Domänennamenregister der Domäne oberster Stufe
• DNS-Diensteanbieter
• Anbieter öffentlicher elektronischer Kommunikationsnetze mit mittlerer Unternehmensgröße
• Öffentliche Verwaltung
• Unternehmen, die als einziger Anbieter eines Dienstes in einem EU-Mitgliedsstaat gesehen werden, der kritisch ist für das öffentliche Leben ist
• Unternehmen, deren Störung einen wesentlichen Effekt auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben
• Unternehmen, die laut der Resilienz-Richtlinie der EU als kritisch einzustufen sind
• Unternehmen, die vor dem 16. Januar 2023 schon als kritisch eingestuft wurden (Artikel 3, Absatz 1 / NIS-2)

Eine Ausnahme bilden Anbieter öffentlicher elektronischer Kommunikationsnetze – hier sind nur Unternehmen von mindestens mittlerer Unternehmensgröße betroffen. Hierunter werden Organisationen verstanden, die zwischen 50 und 250 Beschäftigte haben und entweder einen Jahresumsatz zwischen 10 und 50 Millionen Euro oder eine Jahresbilanz von mindestens 43 Millionen Euro aufweisen. 

Herausforderungen der Unternehmen 

Eine große Herausforderung besteht grundsätzlich darin, dass der Kreis der betroffenen Unternehmen in NIS-2 deutlich ausgeweitet wurde und nicht nur Einrichtungen aus den sogenannten kritischen Sektoren dazu gehören, sondern auch viele mittlere Unternehmen, die mit der ab Oktober 2024 in deutsches Recht umgesetzten Richtlinie zum Handeln aufgefordert werden.  

Eine der großen Pflichten für Unternehmen laut NIS-2-Richtlinie ist das Thema Risiko-Management. NIS-2 verlangt, dass Maßnahmen im Rahmen des Risikomanagements getroffen werden, um die kritische Dienstleistung zu schützen. Die damit verbundenen Aufgabenstellungen, regulatorische Anforderungen in die Unternehmens-Governance einfließen zu lassen und diese zu managen, ist für viele dieser Unternehmen neu und somit eine maximale Herausforderung.  

Die akute Bedrohungslage und die Verpflichtungen, Maßnahmen im Kontext der Regulatorik umzusetzen, erhöht dazu massiv den Handlungsdruck von Unternehmen. Das bedeutet, gerade für Unternehmen, die bislang nicht zur kritischen Infrastruktur gezählt haben, große Veränderungen, Investitionen und Umstellungen. 

Regulatorische Definitionen implementieren, managen und überwachen 

Im Kern geht es bei der regulatorischen Betrachtung immer um gesetzliche, aufsichtsrechtliche oder behördliche Vorgaben, die sicherstellen sollen, dass Unternehmen angemessene Maßnahmen ergreifen, um die Sicherheit und Integrität von Netz- und Informationssystemen zu gewährleisten. 

Hierzu bedarf es in Unternehmen eine umfassende Governance, in der Rahmenbedingungen für die Einhaltung regulatorischer Anforderungen überwacht, gemessen und dokumentiert werden. Viele regulatorische Anforderungen beziehen sich u. a. auf die Sicherstellung und Gewährleistung von Sicherheit, Integrität und Vertraulichkeit von Daten, die oft in IT-Systemen gespeichert und verarbeitet werden. Für das Managen dieser regulatorischen Definitionen ist ein IT-Governance-Modell Voraussetzung. Es ist wesentlicher Bestandteil für die effektive Umsetzung regulatorischer Definitionen im IT-Bereich und bildet auch gleichzeitig das Fundament, um das Sicherheitsniveau und die Cyber-Resilienz in der Unternehmensorganisation zu stärken. 

Mit einem IT-Governance-Modell legen Unternehmen u. a. die Richtlinien, Prozesse und Kontrollen fest, die erforderlich sind, um sicherzustellen, dass IT-Systeme den regulatorischen Anforderungen entsprechen. Für die Risikobetrachtung ist es wichtig, dass ein IT-Governance-Modell bei der Identifizierung, Bewertung und Bewältigung von Risiken im Zusammenhang mit IT-Systemen und -Prozessen unterstützt. Dies beinhaltet die Implementierung von Mechanismen zur automatisierten Überwachung von Systemen, die Erstellung von Compliance-Berichten und die Bereitstellung von Nachweisen für Aufsichtsbehörden oder Auditoren. Dieses Zusammenwirken ist wichtig, da Sicherheitsverletzungen schwerwiegende und weitreichende Folgen haben können, sowohl rechtlich als auch finanziell. 

Es geht bei einem IT-Governance-Modell im Wesentlichen um: 

• Schaffen von Richtlinien im Umgang mit unternehmensweiter IT-Infrastruktur und Prozessen
• Überwachung und Kontrolle von IT-Systemen und -Prozessen
• Risikomanagement im IT-Bereich
• Compliance-Methoden, Monitoring und Berichterstattung
• Change-Management und Anpassungsfähigkeit an sich ändernde regulatorische Bedingungen

Für Unternehmen heißt das, sie brauchen eine umfassende IT-Governance, in der auch die sich stetig ändernden Anforderungen der Gesetzeslage und der Regulatorik abgebildet werden können. 

Ein gebräuchliches und weltweit anerkanntes Referenzmodell ist das IT-Governance-Framework COBIT (Control Objectives for Information and related Technology), welches als Basis für die Einführung und die Optimierung von IT-Governance dienen kann. Es wird vom IT-Governance-Institute und der Information Systems Audit and Control Association (ISACA) veröffentlicht. Bei COBIT handelt es sich um ein sehr umfassendes Framework, das auch Beschreibungen zu Überwachungsaktivitäten sowie eine Vielzahl an Kontrollzielen und Aktivitäten zur Überprüfung der Compliance-Einhaltung aufweist. 

Materna unterstützt Unternehmen bei der Awareness und Einordnung regulatorischer Definitionen im Kontext der IT-Governance in Unternehmen. 

Der Materna-Expertentipp 

Die Themen NIS-2, Regulatorik, Governance, Risk & Compliance sind also eng miteinander verbunden. In unserem Ansatz betrachten wir das Zusammenwirken regulatorischer Definitionen, die Umsetzung und das Managen dieser Aspekte auf Grundlage von Best-Practices, die damit großen Einfluss auf das Risikomanagement und die damit verbundene Informationssicherheit haben. Die Erfahrung in diesem Bereich entstammt unserem langjährigen Engagement im regulierten Sektor und die damit erreichbaren Sicherheitsstandards. Sie sind jedoch auch eine ideale Blaupause für jede Unternehmens-IT, da dieser Ansatz Effizienz gewährleistet. 

1. Beratung, Implementierung, Betrieb und Schulung

• Beratung im Kontext der Regulatorik mit Fokus auf Security und Compliance
• Projektbezogene Beratung mit Analyse und Konzeption
• Betrieb hochverfügbarer und sicherer Infrastrukturen (Maßnahmen zur Aufrechterhaltung der Informationssicherheit im Betrieb, dazu gehört auch die Überwachung und Erfolgskontrolle), 
• Unternehmensweite Change-Kommunikation über alle Ebenen hinweg
• Schulungen und Workshops, u.  für die Sensibilisierung der Mitarbeitenden

1. Absicherung von IT-Infrastruktur

• Risikoanalysen und Reifegrad-Checks (Readiness, Awareness) 
• Technisch-organisatorische Lösungen (Infrastructure as Code, SIEM, -SOC-,)
• Überwachungslösungen und Monitoring
• Unternehmensweite IT-Service-Management-Lösung
• Security- und Vulnerability-Management
• ISMS-Beratung
• GDPR/DSGVO-konforme IT-Infrastruktur nach Zero-Trust-Prinzip (Analyse, Maßnahmen, Umsetzung)
• Cloud Security im Rahmen von Cloud Migrationen (Analyse, Maßnahmen und Umsetzung)
• Komplexe Security-Architekturen (Design, Implementierung & Management)