Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.

Diese nun aufgehobene Richtlinie ließ den Mitgliedsstaaten einen sehr großen Umsetzungsspielraum. Dies führte zu nationalen Unterschieden beispielsweise in Bezug auf den Anwendungsbereich und die Verpflichtungen für Unternehmen, aber auch bei Aufsicht und Durchsetzung. Ziel der NIS-2-Richtlinie ist es, diese Fragmentierung des Binnenmarkts zwischen den Mitgliedstaaten zu beseitigen. Es soll ein einheitlicher Rechtsrahmen festgelegt werden, um ein einheitliches Niveau der Cyberresilienz im europäischen Binnenmarkt sicherzustellen.

Dazu sind eine Reihe von Maßnahmen auf nationaler Ebene sowie die Zusammenarbeit zwischen den EU-Staaten vorgesehen. So soll jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie erlassen und Computer-Notfallteams (CSIRTs) einrichten, welche auf Unionsebene in einem Netzwerk zusammenarbeiten. Außerdem ist die Einrichtung einer europäischen Schwachstellendatenbank, die Einsetzung einer Kooperationsgruppe zum Informationsaustausch zwischen den Mitgliedstaaten und die Einrichtung eines europäischen Netzwerks zum Informationsaustausch und Management von Cyberkrisen vorgesehen.

Für wen gilt die NIS-2-Richtlinie?

Durch die NIS-2-Richtlinie werden einheitliche Kriterien für den Anwendungsbereich festgelegt und dieser auf einen noch größeren Teil der Wirtschaft ausgeweitet. Im Vergleich zur NIS-Richtlinie wurde die Liste der kritischen Sektoren erweitert, sodass in Zukunft mehr Unternehmen als noch zuvor in den Anwendungsbereich fallen werden.

Adressaten der Richtlinie sind öffentliche und private sowie in der EU tätige Einrichtungen aus den in Anhang I und II der Richtlinie genannten Sektoren mit Kritikalität. Diese umfassen u.a. die Bereiche Energie, Verkehr, Bankwesen, die Finanzmarktinfrastrukturen sowie das Gesundheitswesen und die digitale Infrastruktur als Sektoren mit hoher Kritikalität. Neu hinzugekommen sind unter anderem die Sektoren Abwasser, öffentliche Verwaltung und Weltraum sowie die Verwaltung von IKT-Diensten.

Die genannten Einrichtungen fallen jedoch grundsätzlich nur dann in den Anwendungsbereich, wenn sie zudem die Schwellenwerte für mittlere Unternehmen nach der Definition der Kommission für KMU überschreiten. Dies gilt aktuell für Unternehmen der genannten Sektoren mit mehr als 50 beschäftigten Personen und einem Jahresumsatz oder einer Jahresbilanz von über 10 Mio. EUR.

Die Richtlinie erfasst jedoch auch bestimmte Einrichtungen mit Kritikalität unabhängig von ihrer Größe. Dies gilt zum Beispiel für bestimmte Anbieter von Kommunikationsnetzen und Kommunikationsdiensten, Vertrauensdiensteanbietern oder TLD-Namenregister und DNS-Diensteanbietern. Das bedeutet, dass in diesen Bereichen auch Kleinstunternehmen und kleine Unternehmen von der Richtlinie erfasst sein können.

Wesentliche und wichtige Einrichtungen

Die Richtlinie unterscheidet zudem zwischen wesentlichen und wichtigen Einrichtungen (Art. 3 NIS-2-RL), wobei die Einordnung nach dem Grad der Kritikalität des Sektors erfolgt und sich unter anderem auf den Umfang der durch die nationalen Behörden durchführbaren Maßnahmen auswirkt. Wesentliche Einrichtungen sind insbesondere die in Anhang I genannten. Dazu zählen beispielsweise die Sektoren Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur. Darüber hinaus können Einrichtungen auch durch die Mitgliedstaaten als wesentlich eingestuft werden.

Zu den wichtigen Einrichtungen gehören hingegen solche aus den in Anhang I oder II aufgeführten Bereichen, die nicht als wesentlich nach den Kriterien der Richtlinie gelten. Darunter fallen insbesondere die in Anhang II genannten sonstigen kritischen Sektoren, wie beispielsweise Post- und Kurierdienste, die Herstellung bestimmter Waren (zum Beispiel Medizinprodukte, Datenverarbeitungsgeräte und Kfz) sowie Anbieter digitaler Dienste.

Verpflichtungen

Die NIS-2-Richtlinie legt den in ihren Anwendungsbereich fallenden Einrichtungen umfangreiche Verpflichtungen auf. Wesentliche und wichtige Einrichtungen müssen Risikomanagementmaßnahmen im Bereich der Cybersicherheit ergreifen, die eine Reihe von Anforderungen umfassen (Art. 21 Abs. 2 NIS-2-RL). Dazu gehören unter anderem Sicherheitskonzepte und Schulungen im Bereich der Cybersicherheit. Darüber hinaus können wesentliche und wichtige Einrichtungen dazu verpflichtet werden, im Bereich der IT bestimmte, bezüglich der Cybersicherheit zertifizierte IKT-Produkte, -Dienste und -Prozesse zu verwenden (Art. 24 Abs. 1 NIS-2-RL).

Bei den in Art. 23 Abs. 3 NIS-2-RL näher definierten erheblichen Sicherheitsvorfällen bestehen für wesentliche und wichtige Einrichtungen zudem Meldepflichten gegenüber der zuständigen Stelle. Eine erste Meldung (Frühwarnung) hat unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls erfolgen. Eine zweite Meldung mit einer ersten Bewertung des Vorfalls ist innerhalb von 72 Stunden zu übermitteln. Spätestens nach einem Monat muss ein Abschlussbericht an die zuständige Stelle übersendet werden. Gegebenenfalls müssen wesentliche und wichtige Einrichtungen die Empfänger ihrer Dienste auch selbst über erhebliche Cyberbedrohungen informieren (Art. 23 Abs. 2 NIS-2-RL). Die Kommission kann Durchführungsrechtsakte erlassen, in denen die Art der Angaben und die Form der Meldung näher bestimmt werden.

Maßnahmen und Befugnisse

Die NIS-2-Richtlinie weist ein beachtliches Maßnahmen- und Sanktionsregime auf, das sich abhängig von der Einstufung der betroffenen Einrichtung unterscheidet.

Zu den möglichen Maßnahmen zählen unter anderem Vor-Ort-Kontrollen und gezielte Sicherheitsprüfungen (die Kosten sind unter Umständen von der geprüften Einrichtung zu tragen). Die Behörden können Informationen anfordern und den Zugang zu Daten, Dokumenten und sonstigen Informationen verlangen. Dies schließt die Anforderung von Nachweisen über die Umsetzung der Cybersicherheitskonzepte ein. Ferner haben die zuständigen Behörden unter anderem die Befugnis Warnungen herauszugeben und eine Reihe von Anweisungen zu erlassen.

Gegen wesentliche Einrichtungen können weitreichendere Maßnahmen, wie zum Beispiel Ad-hoc-Prüfungen, Stichprobenkontrollen oder regelmäßige Sicherheitsüberprüfungen ergriffen werden. Auch kann die Behörde sie zur Benennung eines Überwachungsbeauftragten verpflichten und unter bestimmten Voraussetzungen sogar die Zertifizierung oder die Genehmigung vorübergehend aussetzen (Art. 32 Abs. 5 lit. a NIS-2-RL).

Bußgelder

Die Bußgelder für die Nichteinhaltung der Risikomanagementmaßnahmen und Berichtspflichten können für wesentliche Einrichtungen mindestens bis zu 10 Millionen EUR oder 2 % des weltweiten Vorjahresumsatzes betragen, je nachdem welcher Betrag höher ist. Gegen wichtige Einrichtungen können Bußgelder von mindestens bis zu 7 Millionen EUR oder 1,4 % des weltweiten Vorjahresumsatzes festgesetzt werden.

Im Gegensatz zur Verhängung von Bußgeldern nach der DSGVO werden Geldbußen in der NIS-2-Richtlinie nicht „zusätzlich zu oder anstelle von Maßnahmen“ verhängt, sondern „zusätzlich zu jeglichen der Maßnahmen“ die in Art. 34 Abs. 2 NIS-2-Richtlinie genannt sind.

Im Verhältnis zur DSGVO ist außerdem zu beachten, dass ein Verstoß, welcher bereits zu einer DSGVO-Geldbuße geführt hat, nicht noch einmal mit einer Geldbuße nach der NIS-2-Richtlinie sanktioniert werden kann, auch wenn das Verhalten an sich einen Verstoß gegen Regelungen dieser Richtlinie darstellt (Art. 35 Abs. 2 NIS-2-RL).

Verhältnis zum Datenschutzrecht

Die NIS-2-Richtlinie lässt die DSGVO unberührt (ErwG 14 NIS-2-RL) und verweist an mehreren Stellen auf deren Regelungen zum Schutz personenbezogener Daten. Da die Verarbeitung personenbezogener Daten im Rahmen der Richtlinie der DSGVO unterliegt, dürfen die in der NIS-2-Richtlinie genannten Stellen und Einrichtungen personenbezogene Daten nur im Einklang mit der DSGVO verarbeiten (Art. 2 Abs. 14 NIS-2-RL). ErwG 121 NIS-2-RL deutet an, dass als Rechtsgrundlage zur Verarbeitung personenbezogener Daten, wenn es um die Gewährleistung der Sicherheit von Netz- und Informationssystemen geht, eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) in Betracht kommen könnte.

Die nach der NIS-2-Richtlinie zuständigen Behörden sollen mit den Datenschutzbehörden zusammenarbeiten (ErwG 108 und Art. 31 Abs. 3 NIS-2-RL) und ihnen Datenschutzverstöße melden (Art. 35 NIS-2-RL).

Weiteres Verfahren und Empfehlungen

Die NIS-2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und tritt am 16. Januar 2023 in Kraft. Danach müssen die Mitgliedstaaten die Vorschriften bis zum 17. Oktober 2024 in nationales Recht umsetzen. Ab dem auf diese Frist folgenden Tag sind die Vorschriften innerstaatlich anwendbar.

Aufgrund der umfangreichen Anforderungen der NIS-2-Richtlinie sowie der absehbaren Zeit bis zur Umsetzung in nationales Recht raten wir dazu, frühzeitig auf die neuen Regelungen zu reagieren.