Für wen gilt die neue NIS-2-Richtlinie?

Geschrieben von Kemal Webersohn, veröffentlicht am 25.04.2024

Die NIS-2-Richtlinie („The Network and Information Security Directive“) ist das Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit. Die Abkürzung „NIS“ steht dabei für „Netzwerk- und Informationssicherheitsrichtlinie“. Diese zielt darauf ab, die Cybersicherheit innerhalb Europas zu stärken, indem sie Maßnahmen zur Gewährleistung der Sicherheit von Netz- und Informationssystemen einführt. Der Fokus liegt dabei auf Modernisierung des bestehenden Rechtsrahmens, um mit der zunehmenden Digitalisierung Schritt zu halten und um europaweit eine einheitliche Herangehensweise und ein einheitliches Niveau für die Gewährleistung von Cybersicherheit zu schaffen. Dazu wurden innerhalb der NIS-2-Richtlinie klare Kriterien gesetzt, um die Betroffenheit des Unternehmens eindeutig feststellen zu können. Diese Richtlinie muss bis zum 17. Oktober 2024 durch die EU-Mitgliedsstaaten umgesetzt werden.

Sind Sie von der neuen NIS-2-Richtlinie betroffen?

Durch die neue NIS-2-Richtlinie wird die Zahl der betroffenen Unternehmen massiv steigen. Denn Ziel der Richtlinie ist, dass es keine unterschiedlichen Mindestschwellenwerte mehr gibt, sondern die Möglichkeit besteht, die Betroffenheit des Unternehmens anhand „uniformen Kriterien“ zu ermitteln. Nach dem ersten Kriterium gilt die NIS-2-Richtlinie für große Unternehmen und Einrichtungen mit über 249 Beschäftigten oder 50 Millionen Euro Jahresumsatz bzw. über 43 Millionen Euro Jahresbilanz sowie für mittlere Unternehmen und Einrichtungen mit mindestens 50 Mitarbeitenden oder mindestens 10 Millionen Jahresumsatz.

Der Unternehmenssektor ist zusätzlich zur Unternehmensgröße das zweite ausschlaggebende Kriterium. Im Rahmen des Unternehmenssektors wird erstmalig mit der Richtlinie NIS-2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ differenziert und ist insbesondere für die Pflichten sowie für die Aufsichts- und Durchsetzungsbefugnisse der zuständigen Behörde von Bedeutung. Diese Einteilung erfolgt über die Anhänge I und II der neuen NIS-2-Richtlinie.

Ob ein Unternehmen betroffen ist, hängt davon ab, ob das Unternehmen zu einem der in der NIS-2-Richtlinie genannten 18 Unternehmenssektoren gehört.

Wesentliche Einrichtungen (Anlage 1 der NIS-2-Richtlinie)

Zu den wesentlichen Einrichtungen (Anhang 1) gehören Unternehmen und Einrichtungen mit hoher sogenannter „Kritikalität“. Dazu zählen Unternehmen und Einrichtungen aus:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten
  • Öffentliche Verwaltung
  • Weltraum

Weitere kritische Sektoren (Anlage 2 der NIS-2-Richtlinie)

Zu den weiteren kritischen Sektoren, welche in der NIS-2-Richtlinie als „wichtige Einrichtungen“ bezeichnet werden (Anhang 2) gehören Unternehmen und Einrichtungen aus:

  • Post- und Kurierdienst
  • Abfallwirtschaft
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitale Dienste
  • Forschung

Ausnahmen im Anwendungsbereich der NIS-2-Richtlinie

Es ist zu beachten, dass Ausnahmen unabhängig von der Größe und des Umsatzes eines Unternehmens bestehen. Denn ein Unternehmen kann auch in den Anwendungsbereich der NIS-2-Richtlinie fallen, sofern es kritische Tätigkeiten ausübt, welche Auswirkungen auf die öffentliche Ordnung haben oder sie grenzüberschreitende Auswirkungen hervorrufen. Unternehmen oder Einrichtungen, die von Aktivitäten wie Verteidigung, öffentliche Sicherheit und Strafverfolgung betroffen sind, sind hingegen vollständig vom Geltungsbereich der NIS-2-Richtlinie ausgeschlossen.

Fazit

Durch die neue NIS-2-Richtlinie soll eine umfassendere und geschütztere digitale Umgebung geschaffen werden. Das bedeutet zugleich, dass die betroffenen Unternehmen, die in den Anhängen 1 und 2 der NIS-2-Richtlinie aufgeführt sind, geeignete, verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen müssen, um Sicherheitsrisiken zu kontrollieren und die Auswirkungen eines Vorfalls zu verhindern und zu minimieren.

Bei Nichteinhaltung der erforderlichen Maßnahmen und Verstößen gegen Meldepflichten drohen den beteiligten Unternehmen erhebliche Bußgelder. Daher wird jedem Unternehmen sowie jeder Einrichtung dringend empfohlen, unmittelbar die Betroffenheit zu prüfen und gegebenenfalls Maßnahmen zu ergreifen, um sicherzustellen, dass das Unternehmen den erforderlichen Anforderungen gerecht wird. Es empfiehlt sich, bei der Umsetzung fachkundige Unterstützung in Anspruch zu nehmen.

Wir stehen Ihnen gerne hierfür zur Verfügung. Kontaktieren Sie uns jederzeit.