top of page

News

NIS 2 - Richtlinie

Dieser Teil gibt eine allgemeine Übersicht der NIS-2-Richtlinie und dem deutschen NIS-2-Umsetzungsgesetz sowie einen Blick auf den aktuellen Stand des Gesetzgebungsprozesses. Der zweite Teil beschäftigt sich mit der Frage, wer eigentlich von NIS-2 betroffen ist, wie und von wem die Betroffenheit zu ermitteln ist und was daraus folgt. Im dritten Teil vertiefen wir die häufigsten an uns gestellten Fragen, die Ihnen helfen werden, das Thema für Ihr Unternehmen noch besser umzusetzen. Im vierten Teil listen wir die zehn wichtigsten Punkte, die Sie unbedingt beachten sollten, um Ihre NIS-2-Einführung zum Erfolg zu führen. Heute also Teil I – und wenn Sie nicht so lange auf Teil II, III und IV warten möchten, können Sie uns gerne vorher kontaktieren. Teil I Die Europäische NIS-2-Richtlinie und das deutsche NIS-2-Umsetzungsgesetz – der aktuelle Stand Überblick Die Europäische NIS-2-Richtlinie (Network and Information Systems Directive) ist eine bedeutende Weiterentwicklung des Cyber Security Frameworks in Europa. Sie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die Richtlinie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Das deutsche NIS-2-Umsetzungsgesetz (NIS2UmsuCG) dient der Implementierung dieser Richtlinie in nationales Recht und bringt wesentliche Änderungen und Erweiterungen mit sich. Der Kreis der betroffenen Einrichtungen wird sich dabei um ca. 30.000 Unternehmen und öffentliche Einrichtungen erweitern. In diesem Artikel werden die Hauptmerkmale der NIS-2-Richtlinie und des deutschen Umsetzungsgesetzes sowie der aktuelle Stand des Gesetzgebungsprozesses erläutert. Hintergrund der NIS-2-Richtlinie Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 zielte darauf ab, die Cybersicherheit in der EU zu stärken, indem sie Maßnahmen zur Erhöhung der Sicherheit von Netz- und Informationssystemen einführte. Die NIS-2-Richtlinie baut auf diesen Grundlagen auf und adressiert die zunehmenden Cyberbedrohungen und Herausforderungen. Zu den wesentlichen Neuerungen der NIS-2-Richtlinie gehören: 1.Erweiterter Anwendungsbereich: Die Richtlinie gilt für eine breitere Palette von Sektoren und Unternehmen, nun auch etwa für die Lebensmittelwirtschaft, die Abfallwirtschaft, für Post- und Kurierdienste, die Herstellung bestimmter kritischer Produkte sowie die Raumfahrt. 2.Strengere Sicherheitsanforderungen: Unternehmen müssen umfangreiche Risikomanagementmaßnahmen implementieren, um die Sicherheit der Netz- und Informationssysteme einschließlich ihrer physischen Umwelt zu gewährleisten. 3.Verstärkte Aufsicht und Durchsetzung: Nationale Behörden erhalten deutlich erweiterte Befugnisse zur Überwachung und Durchsetzung der Richtlinie, einschließlich der Möglichkeit, hohe Geldstrafen zu verhängen. 4.Verpflichtende Meldung von Sicherheitsvorfällen: Unternehmen sind verpflichtet, relevante Sicherheitsvorfälle innerhalb von 24 Stunden zu melden. Das deutsche NIS2 Umsetzungsgesetz Das deutsche NIS2 Umsetzungsgesetz zielt darauf ab, die Anforderungen der NIS-2-Richtlinie in nationales Recht umzusetzen. Dies beinhaltet die Anpassung bestehender Gesetze, insbesondere des BSI-Gesetzes, des Telekommunikationsgesetzes und des Energiewirtschaftsgesetzes, um den erweiterten Anwendungsbereich und die verschärften Anforderungen zu erfüllen. Zu den wesentlichen Bestimmungen des Umsetzungsgesetzes gehören: 1.Anwendungsbereich: Das Gesetz gilt für Betreiber kritischer Infrastrukturen (KRITIS), für „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ bestimmter Sektoren und Unternehmensgrößen, für Bundeseinrichtungen sowie einige Sonderfälle. 2.Sicherheitsmaßnahmen: Unternehmen sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dies umfasst regelmäßige Risikobewertungen, die Implementierung von Sicherheitsvorkehrungen (einschließlich in der Lieferkette) und die Schulung des Personals. 3.Meldepflichten: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Kontinuität wesentlicher Dienste haben könnten, müssen innerhalb von 24 Stunden nach ihrer Entdeckung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, gefolgt von einer Aktualisierung und ersten Bewertung innerhalb von 72 Stunden nach der Meldung. Endgültige Berichte sind spätestens einen Monat nach Entdeckung des Vorfalls vorzulegen. 4.Fristen: Betroffene Unternehmen müssen sich innerhalb von drei Monaten ab Bekanntgabe des Gesetzes beim BSI registrieren. Im Übrigen gibt es keine Übergangsfristen für die Umsetzung, das heißt, ab Tag eins der Geltung des Gesetzes sind seine Anforderungen von betroffenen Unternehmen zu erfüllen. Zwar gibt es für Unternehmen, die nicht KRITIS sind, keine einmaligen oder regelmäßigen Nachweispflichten; allerdings kann das BSI Stichproben durchführen und Maßnahmen anordnen. Und im Fall eines erheblichen Sicherheitsvorfalls muss man sich (mindestens) auf unangenehme Nachfragen vorbereiten, wenn bis dahin keine Maßnahmen umgesetzt wurden. 5.Strafen und Sanktionen: Verstöße gegen die Anforderungen des NIS-2-Umsetzungsgesetzes können mit hohen Geldstrafen geahndet werden. Die Höhe der Strafen hängt von der Schwere des Verstoßes und der Größe des Unternehmens ab. Es ist also dringend anzuraten, sich intensiv mit den im Gesetz vorgesehenen Risikomanagementmaßnahmen auseinanderzusetzen. Wichtige Aspekte im Gesetzgebungsprozess der NIS2-Richtlinie in Deutschland Der Gesetzgebungsprozess für das deutsche NIS-2-Umsetzungsgesetz befindet sich derzeit in einem fortgeschrittenen Stadium. Das Bundesinnenministerium hat den 4. Referentenentwurf des Gesetzes am 26. Juni 2024 veröffentlicht. Nach Medieninformationen geht selbst die Bundesregierung nicht davon aus, dass sie die von der EU gesetzte Umsetzungsfrist zum 17. Oktober 2024 einhalten wird. Allerdings ist inzwischen mit einem Inkrafttreten im Frühjahr 2025 zu rechnen. Im Vergleich zur Vorversion springt vor allem der Wegfall der Unwirksamkeit eines Verzichts des Unternehmens auf Schadensersatzansprüche gegenüber der Geschäftsleitung ins Auge. Allerdings muss die Geschäftsleitung die Risikomanagementmaßnahmen „umsetzen“ und ihre Umsetzung überwachen (§ 38 Abs. 1 NIS2UmsuCG). Im Übrigen wird nunmehr im Wesentlichen auf die allgemeinen gesellschaftsrechtsrechtlichen Haftungsregeln verwiesen. Mit dem Inkrafttreten des Gesetzes gelten sämtliche Vorschriften ohne weiteren Aufschub. Insbesondere gibt es keine Übergangsfristen – auch nicht für die Bußgeldparagrafen. Herausforderungen und Chancen Die Umsetzung der NIS-2-Richtlinie und des deutschen NIS-2-Umsetzungsgesetzes stellt Unternehmen vor erhebliche Herausforderungen, bietet aber auch Chancen: 1.Erhöhte Sicherheitskosten: Die erweiterten Anforderungen führen zu höheren Investitionen in Sicherheitsmaßnahmen und -technologien. Insbesondere solche Unternehmen, die erstmalig unter die Cyber Security-Regulierung fallen, müssen mit erheblichen Zusatzkosten rechnen. 2.Komplexe Compliance-Anforderungen: Unternehmen müssen umfangreiche Compliance-Maßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden und hohe Bußgelder zu vermeiden. Angesichts der Menge an zu betrachtenden Risiken und Systemen darf der Umfang und die benötigte Zeit für die Bearbeitung der NIS-2-Anforderungen nicht unterschätzt werden. 3.Wettbewerbsvorteil: Unternehmen, die frühzeitig die Anforderungen der NIS-2 Richtlinie umsetzen, können sich einen Wettbewerbsvorteil verschaffen, indem sie als vertrauenswürdige und sichere Partner wahrgenommen werden. Eine Zertifizierung nach ISO/IEC 27001 unterstreicht den eigenen Anspruch an Cyber Security auch nach außen. Fazit Die NIS-2-Richtlinie und das deutsche NIS-2-Umsetzungsgesetz stellen einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der EU dar. Unternehmen müssen sich auf umfangreiche Änderungen einstellen und rechtzeitig entsprechende Maßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden. Langfristig bieten diese Regelungen jedoch die Möglichkeit, die Sicherheit und Resilienz der Netz- und Informationssysteme eines Unternehmens erheblich zu steigern und damit das Vertrauen in das eigene Leistungsangebot zu stärken.

Betroffenheit vom NIS-2-Umsetzungsgesetz: Wer ist betroffen und wie wird die Betroffenheit ermittelt? Einleitung Mit der Verabschiedung der NIS-2-Richtlinie auf europäischer Ebene und deren Umsetzung in nationales Recht durch das NIS-2-Umsetzungsgesetz wird ein wichtiger Schritt zur Verbesserung der Cyber-Sicherheit und der Resilienz kritischer Infrastrukturen in Deutschland gemacht. Doch wer ist konkret von diesem Gesetz betroffen, und wie kann die Betroffenheit ermittelt werden? Dieser Artikel gibt einen Überblick über die zentralen Aspekte der Betroffenheit und erläutert die notwendigen Schritte zur Betroffenheitsermittlung. Wer ist vom NIS-2-Umsetzungsgesetz betroffen? Das NIS-2-Umsetzungsgesetz richtet sich an Betreiber wesentlicher Dienste, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden. Dabei unterscheidet das Gesetz „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, für die das Gesetz teils unterschiedliche Verpflichtungen sowie aufsichtsrechtliche Befugnisse und Sanktionsmöglichkeiten vorsieht. Der Gesetzgeber macht den Anwendern die Ermittlung der Betroffenheit und die Einordnung in wichtige oder besonders wichtige Einrichtungen nicht gerade leicht. Zur NIS2-Betroffenheitsprüfung müssen Unternehmen ihre Sektorzugehörigkeit nach den im Gesetz beigefügten Anlagen sowie ihre relevante Unternehmensgröße ermitteln. Das BSI kann die Betroffenheit für ein Unternehmen zwar auch selbst feststellen, allerdings ist es grundsätzlich Aufgabe der Unternehmen selbst, ihre Betroffenheit zu ermitteln und sich beim BSI innerhalb von 3 Monaten zu registrieren. Betroffene Sektoren Die folgenden Sektoren sind von NIS 2 betroffen (vgl. die Anlagen 1 und 2 des BSIG-E). Achtung, die Sektoren(-bezeichnungen) haben sich im letzten Entwurf nochmal geändert. - Energie - Transport und Verkehr - Finanzwesen - Gesundheit - Wasser - Digitale Infrastruktur - Weltraum - Abfallbewirtschaftung - Produktion, Herstellung und Handel mit chemischen Stoffen - Produktion, Verarbeitung und Vertrieb von Lebensmitteln - Verarbeitendes Gewerbe / Herstellung von Waren - Anbieter digitaler Dienste - Forschung Allerdings gibt es einige Ausnahmen, die unabhängig von Größe und Sektorzugehörigkeit zur Betroffenheit führen. So gehören Betreiber kritischer Anlagen (KRITIS), Einrichtungen des Bundes (einschließlich seiner Körperschaften, Anstalten und Stiftungen sowie seiner Vereinigungen ungeachtet ihrer Rechtsform) und Qualifizierte Vertrauensdienste, TLD-Registries sowie DNS-Dienste ungeachtet ihrer Unternehmensgröße zu den besonders wichtigen Einrichtungen. Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen fest. Zu den wichtigen Einrichtungen gehören ungeachtet ihrer Unternehmensgröße insbesondere die Vertrauensdienste. Einordnung in besonders wichtige und wichtige Einrichtungen Betroffenheit nach Größe des Unternehmens und Sonderregelungen Für alle anderen im Gesetz genannten Branchen gilt die sogenannte „size-cap-rule“. Das heißt, dass NIS2 – vereinfacht gesagt – für Unternehmen ab 50 Mitarbeitern und Mitarbeiterinnen und 10 Mio. Euro Umsatz bzw. Bilanzsumme gilt. Unternehmen müssen zur NIS2-Betroffenheitsprüfung künftig ihre relevante Sektorzugehörigkeit und Unternehmensgröße selbst ermitteln. Außerdem ist zunächst der Erlass der entsprechenden Rechtsverordnung abzuwarten, bevor mit Sicherheit bestimmt werden kann, welche Anlagen und damit welche Unternehmen konkret unter das Gesetz fallen. Die Rechtsverordnung soll dazu branchenspezifische Schwellenwerte festlegen. Demgegenüber gelten für die Bereiche Auswärtiges, Verteidigung und Nachrichtendienste Sonderregelungen. Auch für Unternehmen aus dem Energie- und Telekommunikationssektor, sprich für Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste im Sinne des Telekommunikationsgesetzes sowie für Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes, sieht das Gesetz umfassende Bereichsausnahmen vor. Insoweit gelten spezielle Anforderungen aus den jeweiligen Sondergesetzen, die ihrerseits durch das NIS-2-Umsetzungsgesetz geändert werden. Das Gleiche gilt für Finanzunternehmen, soweit sie auch durch DORA reguliert werden. Die Unternehmen im besonderen öffentlichen Interesse (sog. UBI) fallen mit dem NIS-2-Umsetzungsgesetz als eigene Gruppe weg und werden stattdessen in die besonders wichtigen und wichtigen Einrichtungen eingeordnet. Das BSI hat ein Tool zur automatischen NIS-2-Betroffenheitsprüfung veröffentlicht. Dieses bietet aber schon nach eigener Aussage des BSI nur eine erste Orientierung. Auch andere am Markt verfügbare, oft kostenlose Tools können aufgrund ihres schablonenhaften Ansatzes keine belastbaren Aussagen über die Betroffenheit treffen. Dafür sind die gesetzlichen Definitionen zur Sektorenzugehörigkeit zu schwer greifbar. Noch schwieriger als die Frage der Sektorenzugehörigkeit ist aber die Bestimmung der Betroffenheit nach der „size-cap-rule“. Der Gesetzesentwurf sieht in § 28 Abs. 3 vor, dass dabei auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen ist. In der Gesetzesbegründung heißt es dazu: „Bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes sind nur diejenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufgaben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen.“ Beim Lesen dieses Absatzes wird klar, dass dies eher zu weniger als zu mehr Klarheit führt. Dabei ist vom betroffenen Unternehmen insbesondere festzustellen, welche Querschnittsbereiche und damit Mitarbeiter überhaupt hinzuzuzählen sind und nach welchem Schlüssel. Grundsätzlich sind verschiedene Lösungen denkbar, aber der Teufel steckt im Detail. Zu allem Überfluss muss sich der Gesetzgeber auch noch die Frage gefallen lassen, ob § 28 Abs. 3 und damit die oben aufgeführte Berechnungsweise überhaupt richtlinienkonform ist, denn die NIS2-Richtlinie der EU sieht eine solche Beschränkung nicht vor. Da der deutsche Gesetzgeber das Schutzniveau mit dem § 28 Abs. 3 effektiv senkt, verhält er sich insoweit nach Ansicht vieler nicht europarechtskonform. Es ist nicht auszuschließen, dass es hier im Rahmen des Gesetzgebungsprozesses noch Änderungen geben wird, zumal auf diesen Punkt von diversen Lobbygruppen hingewiesen wird. Um auf der sicheren Seite zu sein, empfiehlt sich daher eine expansive Berechnung der Betroffenheit. Und schließlich stehen auch Konzerne vor schwierigen Herausforderungen, wenn sie mittels der „size-cap-rule“ die eigene Betroffenheit ermitteln wollen. Denn mit dem Verweis des § 28 Abs. 3 Nr. 2 des Gesetzesentwurfs auf die KMU-Empfehlung sind Partner- und verbundene Unternehmen bei der Ermittlung des Schwellenwerts hinzuzurechnen. Der Konzern muss also NIS-2-relevante Tätigkeiten konzernweit erfassen und die betreffenden Mitarbeiter bzw. Umsätze zusammenrechnen. Hiervon sind allerdings wiederum insbesondere solche Unternehmen ausgenommen, die – vereinfacht gesagt – über ihre IT selbständig entscheiden können. Obschon letztgenannte Ausnahme vernünftig klingt, ist auch sie eine Erfindung des deutschen Gesetzgebers, die in der NIS-2-Richtlinie keine Grundlage hat. Auch insoweit steht daher die europarechtliche Konformität in Frage. Fazit Eine sorgfältige Ermittlung der Betroffenheit ist unerlässlich, um die Einhaltung der gesetzlichen Vorgaben sicherzustellen. Die Kriterien sind komplex – und die sichere Einordnung durch am Markt verfügbare Tools quasi nicht möglich. Im nächsten Artikel beleuchten wir die Fragen, die uns am häufigsten zum Thema NIS2, u.a. auch der Betroffenheitsermittlung, gestellt werden. Sie haben Fragen zum Thema oder benötigen Unterstützung? Dann freuen wir uns auf Ihre Nachricht.

NIS-2-Umsetzungsgesetz: Die wichtigsten Fragen und Antworten 1. Wann tritt das NIS2-Umsetzungsgesetz in Kraft? Das Gesetz sollte gemäß den Vorgaben der EU spätestens bis zum 17. Oktober 2024 in Kraft treten. Allerdings wird zurzeit mit einem Inkrafttreten im Frühjahr 2025 gerechnet. Der Referentenentwurf wird gegenwärtig im Bundestag beraten. Auch wenn im Detail noch einige Fragen offen sind (siehe dazu unsere Blog-Artikel I und II), stehen die wesentlichen Weichenstellungen allerdings bereits fest, sodass die voraussichtlich betroffenen Unternehmen sich bereits jetzt mit den Anforderungen befassen können und sollten. 2. Gibt es Übergangsfristen zur Umsetzung der Maßnahmen? Nein, es sind keine Übergangsfristen vorgesehen. Die Maßnahmen müssen ab Inkrafttreten des Gesetzes sofort umgesetzt werden. Daher sollten sich Unternehmen bereits jetzt vorbereiten und die geforderten Maßnahmen angehen. Besonders wichtig: Unternehmen, die unter die Richtlinie fallen, müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren. 3. Was ist ein erheblicher Sicherheitsvorfall? Ein "Sicherheitsvorfall" ist gemäß der Begriffsdefinition des Entwurfs des NIS2UmsuCG in § 2 Nr. 40 ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt. Ein „erheblicher Sicherheitsvorfall“ ist nach § 2 Nr. 11 ein Sicherheitsvorfall, der a)schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder b)andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Zwar lässt sich dem Entwurf (genauso wie der NIS-2-Richtlinie selbst) nicht näher entnehmen, welche Schwellenwerte hierfür im Detail relevant sind. Jedoch lassen sich aus anderen Rechtsakten Tendenzen hierzu entnehmen, wie die Aufsichtsbehörden den Begriff interpretieren werden. Wenn Sie hierzu unsere Einschätzung einholen wollen, fragen Sie uns gern. 4. Was bedeutet der „Stand der Technik“ für die IT-Sicherheit? Der Begriff „Stand der Technik“ bezieht sich auf die Anwendung von anerkannten Sicherheitsstandards, wie der ISO 27001 oder den BSI IT-Grundschutz. Unternehmen sollten sicherstellen, dass ihre IT-Sicherheitsmaßnahmen diesen Standards entsprechen. Eine ISO 27001-Zertifizierung ist zwar nicht zwingend vorgeschrieben, kann jedoch als Beleg dafür dienen, dass ein Unternehmen die entsprechenden Sicherheitsstandards erfüllt. Allerdings genügt die ISO 27001-Zertifizierung nicht, um den Anforderungen von NIS-2 gerecht zu werden, sondern deckt schätzungsweise 70% der Anforderungen ab. Für Betreiber kritischer Anlagen gelten erhöhte Anforderungen, wobei das Gesetz hier einiges im Unklaren lässt. Insbesondere sind sie verpflichtet, Systeme zur Angriffserkennung einzusetzen. 5. Müssen wir alle Lieferanten in unsere Sicherheitsstrategie einbeziehen? Das NIS-2-Umsetzungsgesetz verpflichtet die Unternehmen, umfassende Risikomanagementmaßnahmen zu ergreifen. Dazu müssen sie unter anderem Risiken in ihrer Lieferkette identifizieren, bewerten und adressieren, um die Sicherheit sensibler Daten und die Business Continuity zu gewährleisten. Essentiell ist dabei die Überprüfung der Sicherheitsvorkehrungen der eigenen Lieferanten. Das umfasst insbesondere IT-Dienstleister, Anbieter von Kommunikationsnetzen und andere Partner, die auf die Datenverarbeitung Einfluss haben, geht aber nach dem Wortlaut deutlich darüber hinaus. Die relevanten Lieferanten werden dadurch gezwungen, selbst angemessene Sicherheitsmaßnahmen zu erfüllen und dies auch nachweisen zu können. Wenn Sie wissen möchten, welche Lieferanten Sie in erster Linie zu berücksichtigen haben, sprechen Sie uns gern an. 6. Wie müssen Verträge in der Lieferkette fortan gestaltet werden? Das NIS-2-Umsetzungsgesetz stellt klare Anforderungen an die Absicherung der Lieferkette, was Unternehmen dazu zwingt, ihre Verträge mit Dienstleistern und Zulieferern entsprechend anzupassen. Diese Änderungen betreffen vor allem Sicherheitsvorkehrungen, Transparenz und Haftung. a) Einbindung von Sicherheitsanforderungen: Unternehmen müssen sicherstellen, dass die von NIS-2 geforderten Cybersicherheitsmaßnahmen in die Verträge mit ihren Lieferanten aufgenommen werden. Das umfasst: -Risikomanagement: Verträge sollten detaillierte Vorgaben zum Risikomanagement der Lieferanten enthalten. Dies betrifft etwa die Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen, die in der Lieferkette genutzt werden. - Sicherheitsstandards: Es sollte klar festgelegt werden, dass die Lieferanten anerkannte Sicherheitsstandards einhalten müssen, wie beispielsweise ISO 27001 oder den BSI IT-Grundschutz. Dies gibt den Unternehmen eine solide Grundlage, um die Compliance ihrer Lieferanten sicherzustellen. b) Meldepflichten von Sicherheitsvorfällen: Verträge müssen eine Meldepflicht für Sicherheitsvorfälle beinhalten. Lieferanten, die von einem Cybervorfall betroffen sind müssen verpflichtet werden, diesen unverzüglich zu melden. Dies betrifft vor allem Vorfälle, die die Sicherheit der Systeme und Daten des Unternehmens beeinflussen könnten. Die schnelle Reaktion auf Vorfälle ist entscheidend, um rechtzeitig Maßnahmen zu ergreifen und potenzielle Schäden zu minimieren. c) Auditrechte und Nachweise: Unternehmen sollten sich das Recht auf regelmäßige Sicherheitsaudits und die Einholung von Nachweisen über die ergriffenen Sicherheitsmaßnahmen vorbehalten. In den Verträgen sollte festgelegt werden, dass Unternehmen ihre Lieferanten regelmäßig auditieren dürfen, um die Einhaltung der vereinbarten Cybersicherheitsanforderungen zu überprüfen. Auch die Pflicht zur Vorlage von Zertifizierungen oder Prüfberichten, die die Sicherheitsmaßnahmen des Lieferanten belegen, sollte vertraglich fixiert werden. d) Haftung und Sanktionen: Eine klare Regelung zur Haftung im Falle eines Sicherheitsverstoßes ist unerlässlich. Wenn ein Lieferant durch mangelnde Sicherheitsmaßnahmen einen Vorfall verursacht, sollten entsprechende Haftungsregelungen und Sanktionen greifen. Dies kann von Vertragsstrafen bis hin zur außerordentlichen Kündigung des Vertrags bei schwerwiegenden Verstößen reichen. Zusammengefasst müssen Unternehmen sicherstellen, dass ihre Lieferanten nicht nur die Sicherheitsanforderungen erfüllen, sondern auch nachweisen können, dass sie dies tun. Die Verträge sollten diese Anforderungen klar regeln, um die Einhaltung der NIS-2-Verpflichtungen zu gewährleisten und potenzielle Risiken in der Lieferkette zu minimieren. Wir stellen Ihnen gern die erforderlichen Vertragsinhalte in einem für den Markt akzeptablen Umfang bereit, sodass Sie diese sofort für Ihre Vertragsverhandlungen nutzen können. 7. Welche Melde- und Nachweispflichten bestehen im Rahmen der NIS-2-Richtlinie? Eine Nachweispflicht besteht nur für Betreiber kritischer Anlagen. Innerhalb von drei Jahren nach Inkrafttreten des NISUmsuCG (und im 3-Jahres-Rhythmus danach) müssen Betreiber kritischer Anlagen nachweisen, dass sie die Anforderungen des Gesetzes erfüllen. Bei Sicherheitsvorfällen gelten umfassende Meldepflichten. So sind Unternehmen verpflichtet, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (auch am Wochenende!) an das BSI zu melden. Eine erste Bewertung muss innerhalb von 72 Stunden erfolgen, und ein abschließender Bericht ist spätestens nach einem Monat vorzulegen. Dauert der Sicherheitsvorfall an, ist eine Fortschrittsmeldung nach jeweils einem Monat notwendig. Das BSI kann das betroffene Unternehmen anweisen, seine Kunden vom Vorfall zu unterrichten. Für bestimmte Sektoren gilt die Benachrichtigungspflicht auch ohne zusätzliche Anweisung. Auch wenn die Umsetzung des Gesetzes verspätet erfolgt, empfiehlt sich eine frühzeitige Implementierung der Meldeprozesse. Aufgrund der kurzen Fristen und der hohen Anforderungen ist eine zentralisierte Verantwortlichkeit für die Meldungen des Unternehmens kaum zu vermeiden. Die entsprechend beauftragte Stelle muss kurzfristig über die notwendigen Informationen und Befugnisse verfügen, um kompetent Auskunft geben zu können. Es versteht sich von selbst, dass eine solche Stelle samt ihrer Einbindung in die weiteren relevanten Bereiche des Unternehmens nicht kurzfristig eingerichtet werden kann. Für Konzerne und Unternehmen mit Standorten im Ausland ist die Komplexität dieser Frage nochmal deutlich größer. Hier stellt sich grenzüberschreitend die Frage, wer im Unternehmen übergreifend zuständig ist oder informiert werden muss, welche Behörden einbezogen werden müssen und wie die Meldungen ggf. abzustimmen sind. 8. Wann ist mit Kontrollen zu rechnen? Das BSI kann stichprobenartige Kontrollen durchführen und bei festgestellten Sicherheitsmängeln die Vorlage von Mängelbeseitigungsplänen verlangen. Stichproben sind bei besonders wichtigen Einrichtungen anlasslos möglich, bei wichtigen Einrichtungen nur im Verdachtsfall. Stichproben sind in der Breite zumindest anfangs nicht zu erwarten, solange das BSI nicht genügend Prüfer hat. Sollte allerdings ein erheblicher Sicherheitsvorfall eintreten, der beim BSI Fragen aufwirft, ist eine Kontrolle nicht mehr so fernliegend. Laut dem BSI werden pro Jahr mehrere Tausend Vorfälle in Deutschland als erhebliche Cybersicherheitsvorfälle gemeldet, was auf täglich Dutzende ernste Vorfälle schließen lässt. Die Möglichkeit eines solchen Vorfalls im eigenen Unternehmen zu einer Zeit, zu der die nach NIS-2 notwendigen Maßnahmen noch nicht umgesetzt sind, lässt sich daher nur ausschließen, wenn frühzeitig mit der Umsetzung begonnen wird. Abgesehen davon liegt es auch im Interesse des Unternehmens, seiner Anteilsinhaber, Kunden und Mitarbeitenden, dass das Unternehmen angemessen gegen Cybersecurity-Risiken geschützt ist. 9. Welche Strafen drohen bei Nichteinhaltung der NIS-2-Anforderungen? Bei Verstößen gegen das NISUmsuCG können hohe Geldstrafen verhängt werden. Für besonders wichtige Einrichtungen können die Geldbußen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Für wichtige Einrichtungen können sich die Bußgelder auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes belaufen. Die Höhe der Geldstrafen ist gestaffelt und hängt von der Schwere des Verstoßes ab. Für größere Unternehmen sind die Strafen höher. Verstöße können zudem zu Haftungsansprüchen gegen die Geschäftsleitung führen. Fazit: Jetzt handeln! Die Anforderungen des NIS-2-Umsetzungsgesetzes sind umfangreich und betreffen nicht nur klassische Betreiber Kritischer Infrastrukturen. Unternehmen sollten jetzt handeln, um rechtzeitig die geforderten Cybersicherheitsmaßnahmen umzusetzen und sich auf mögliche Meldepflichten vorzubereiten. Insbesondere die umfangreiche Risikobewertung, die Einbindung der Lieferkette in die Sicherheitsstrategie und die persönliche Haftung der Geschäftsleitung machen es erforderlich, frühzeitig die nötigen Schritte einzuleiten. Sollten Sie unsicher sein, ob Ihr Unternehmen betroffen ist oder weitere Fragen zur Umsetzung haben, stehen wir Ihnen gerne zur Verfügung.

bottom of page