Es gibt eine Neuerung im europäischen KRITIS-Recht: Die NIS2-RL (RL 2022/2555) ist die Nachfolgerin der NIS-RL (RL 2016/1148) und wurde am 27.12.2022 veröffentlicht. Wie alle europäischen Richtlinien bedarf sie zu ihrer Wirksamkeit zunächst der Umsetzung in nationales Recht, was in Deutschland durch das sog. „Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, kurz: NIS2UmsuCG “ erfolgen soll. Aus dem Gesetzgebungsprozess ist zu hören, dass die Verabschiedung des Gesetzes zügig vorangehen soll. Höchste Zeit also, sich die NIS2-RL einmal näher anzuschauen. Dabei ist zu beachten, dass die NIS2-RL anders als noch die NIS-RL (nur) eine Mindestharmonisierung vorschreibt; d.h. es ist nicht auszuschließen, dass der Gesetzgeber in der nationalen Umsetzung über die Vorgaben der europäischen Richtlinie hinausgeht.
Adressatenkreis (Art. 3 NIS2-RL)
Zunächst wird der Adressatenkreis grundlegend neu sortiert. Wurde bislang zwischen wesentlichen Diensten (in Deutschland: kritische Infrastrukturen) und digitalen Diensten unterschieden, gibt es nun die zwei Oberkategorien wesentliche Einrichtungen und wichtige Einrichtungen. Zu den wesentlichen Einrichtungen gehören u.a. Energie, Transport, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser und Digitale Infrastrukturen (z.B. Internet-Knoten, DNS oder Rechenzentren). Neu hinzugekommen sind hier Abwasser, Raumfahrt und öffentliche Verwaltung.
Zu den wichtigen Einrichtungen gehören zum Teil die bisher bereits adressierten digitalen Dienste (Online-Marktplätze, Suchmaschinen und nun neu die sozialen Netzwerke). Weiterhin ergänzt wurden Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Ernährung, Industrie sowie Bildung und Forschung.
Dabei können grundsätzlich Unternehmen ab 50 Mitarbeitenden und > 50 Mio. EUR Umsatz adressiert werden. Aber auch bei Unterschreiten dieser Grenzwerte ist eine Adressierung möglich, etwa wenn Unternehmen in einem Staat trotz geringerer Größe für die jeweilige Gesellschaft und Wirtschaft kritisch sind (sog. „sole provider“).
Ob ein Unternehmen somit unter das KRITIS-Recht fällt lässt sich nicht pauschal bestimmen, sondern wird auch in Abhängigkeit der ausstehenden nationalen Umsetzung der NIS2-RL zu betrachten sein. Weiterhin ist zu beachten, dass ein Unternehmen gleichwohl als wesentliche oder wichtige Einrichtung gelten kann, selbst wenn es nicht in eine entsprechende Sektorenkategorie fällt.
Risikomanagement-Maßnahmen (Art. 21 NIS2-RL)
Gegenüber der NIS-RL bzw. dem nationalen § 8a BSIG ändert sich vor allem die mindestens zu ergreifenden Maßnahmen. Diese werden in Art. 21 Abs. 2 deutlich ausgeweitet (nachfolgende Aufzählung ist nicht abschließend): So wird ausdrücklich ein Konzept zur Risikoanalyse (mithin wohl ein Risikomanagement) gefordert. Dabei soll nicht nur die Verhinderung, sondern auch die Bewältigung von Sicherheitsvorfällen beachtet werden. Auch das sog. Business-Continuity-Management (BCM) ist nun ausdrücklich benannt. Neu ist weiterhin die Sicherheit in der Lieferkette und die Sicherheit „bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen„. Weiterhin sind nun Verfahren im Bereich der Cyberhygiene und entsprechende Schulungen der Mitarbeitenden gefordert. Dem Gebot der Technikneutralität des Rechts zum Trotz wird außerdem die „Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme“ gefordert. An sich ist auch dies aber sicherlich sinnvoll und auch im Übrigen sind die Konkretisierungen des sonst sehr unbestimmten Gesetzesauftrags der risikoangemessenen IT-Sicherheitsgewähr zu begrüßen. Die korrespondierende Governance-Pflicht der Leitungsorgane ist in Art. 20 Abs. 1 NIS2-RL niedergelegt.
Berichtspflichten (Art. 23 NIS2-RL)
Die Berichtspflichten nach einem erheblichen und damit meldepflichtigen Sicherheitsvorfall sind nach Art. 23 Abs. 4 gestaffelt: Unverzüglich, spätestens aber innerhalb von 24h ist eine erste Frühwarnung abzugeben. Weiterhin so schnell wie möglich, spätestens aber innerhalb von 72h ist eine aktualisierende Meldung über den Sicherheitsvorfall abzugeben, die insbesondere schon eine erste Bewertung sowie die sog. Indicators of Compromise enthalten soll. Schließlich folgt nach einem Monat ein Abschlussbericht mit einer ausführlichen Beschreibung des Sicherheitsvorfalls, was insbesondere dessen Auswirkungen (ggf. auch grenzüberschreitend) und Ursachen sowie die vorgenommen Abhilfemaßnahen umfasst. Dauert der Sicherheitsvorfall noch an, ist anstelle des Abschlussberichts ein Zwischenbericht vorzulegen und der Abschlussbericht folgt spätestens innerhalb eines Monats nach Ende des Sicherheitsvorfalls.
Sanktionen (Art. 32, 34 NIS2-RL)
Das Sanktionsregime der NIS2-RL umfasst bei wesentlichen Einrichtungen 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes im vergangenen Jahr, je nachdem was höher ist. Bei wichtigen Einrichtungen sind es 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes. Weiterhin verlangt Art. 32 Abs. 6, dass natürlichen Personen, welche für eine wesentliche Einrichtung verantwortlich sind, für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Richtlinie haftbar gemacht werden.
Umsetzung in nationales Recht
Die Umsetzungsfrist bis zum 17.10.2024 wurde nicht eingehalten. Eine Timeline der Entwürfe findet sich dankenswerterweise auf der Seite der AG KRITIS.
Fazit
Insgesamt stellt die NIS2-RL in jeder Hinsicht eine Intensivierung gegenüber ihrer Vorgängerregelung dar. Sowohl eine Erweiterung des Adressatenkreises, eine Erweiterung (und Konkretisierung) der Handlungspflichten, ein strengeres Meldewesen sowie ein verschärftes Sanktionsregime stehen ins Haus.