Die Gefährdungslage ist im Cyber-Raum nach einem aktuellen Lagebericht des BSI so hoch wie nie. Vor allem Unternehmen sind vermehrt von Cyberangriffen betroffen. Die neue Cybersecurity-Richtlinie NSI-2 kommt daher wie gerufen. Ziel der Richtlinie ist die Sicherstellung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Europäischen Union, um so das Funktionieren des Binnenmarkts zu verbessern.
Die Richtlinie NSI-2 muss durch die Mitgliedsstaaten bis zum 24. Oktober 2024 umgesetzt werden. Auch wenn dieser Termin noch weit in der Zukunft scheint, sollten sich Unternehmen bereits jetzt mit diesem Thema auseinandersetzen und die Umsetzung gegebenenfalls erforderlicher Maßnahmen planen. Wie bereits die Erfahrungen mit der Umsetzung der DS-GVO gezeigt haben, ist die Zeit zu handeln jetzt. Hierdurch können Unternehmen nicht nur Vorreiter in diesem Bereich werden, sondern vielmehr auch im Eigeninteresse eine Planungssicherheit schaffen. So wird eine kurzfristige und kostenintensive Implementierung komplexer Lösungen und Mechanismen vermieden, wodurch sich Unternehmen langfristig auf die besonderen Anforderungen der neuen Cybersecurity-Richtlinie einstellen können.
Anwendungsbereich
Von der Richtlinie NSI-2 sind grundsätzlich öffentliche und private Einrichtungen betroffen. Diese werden in den Anhängen I und II näher konkretisiert. Während Anhang I Sektoren mit hoher Kritikalität (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastrukturen, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung, Weltraum) betrifft, werden von Anhang II sonstige kritische Sektoren (Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschung) erfasst. Voraussetzung ist, dass sie ihre Dienste in der Union erbringen oder ihre Tätigkeit dort ausüben müssen.
Weiterhin muss es sich um solche Unternehmen handeln, die mindestens 50 Personen beschäftigen und deren Jahresumsatz beziehungsweise Jahresbilanz EUR 10 Millionen übersteigt. Erfasst sind allerdings auch Unternehmen, die den Schwellenwert für mittlere Unternehmen in der Europäischen Union überschreiten (mindestens 250 Beschäftigte und entweder einen Jahresumsatz von mehr als EUR 50 Millionen oder eine Jahresbilanzsumme von mehr als EUR 43 Millionen).
Unter bestimmten Voraussetzungen kann die Richtlinie NSI-2 auch für Unternehmen unabhängig von ihrer Größe gelten.
Wesentliche und wichtige Einrichtungen
Erstmalig wird mit der Richtlinie NSI-2 zwischen wesentlichen und wichtigen Einrichtungen unterschieden. Diese Unterscheidung ist insbesondere für die Pflichten sowie für die Aufsichts- und Durchsetzungsbefugnisse der zuständigen Behörden von Bedeutung.
Wesentliche Einrichtungen sind grundsätzlich solche, die im Anhang I zur Richtlinie gelistet werden und den europäischen Schwellenwert für mittelgroße Unternehmen überschreiten. Darüber hinaus können die Mitgliedsstaaten Unternehmen allerdings auch eigenständig und unabhängig von ihrer Größe als wesentliche Einrichtungen einstufen.
Wichtige Einrichtungen sind hingegen solche, die in Anhang I oder II genannt werden und keine wesentlichen Einrichtungen darstellen. Auch hier kann eine eigenständige Einstufung durch die Mitgliedsstaaten erfolgen.
Die Mitgliedsstaaten müssen bis zum 17. April 2025 die abschließenden Listen über die Einstufungen erstellt haben.
Zukünftige Pflichten für betroffene Unternehmen
Die betroffenen Unternehmen müssen im Rahmen des Risikomanagements geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dabei müssen die Maßnahmen angemessen zum entsprechenden Risiko sein.
Die Maßnahmen müssen demnach unter anderem Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement enthalten.
Den Leitungsorganen der betroffenen Einrichtungen wird in Bezug auf diese Maßnahmen eine Überwachungsfunktion zukommen. Ferner müssen sie selbst an Schulungen zur Cybersicherheit teilnehmen. Ähnliche Schulungen müssen von den betroffenen Unternehmen auch regelmäßig für ihre Mitarbeitenden durchgeführt werden.
Die entsprechenden Einrichtungen werden auch von Berichtspflichten betroffen sein. Unter anderem müssen sie Sicherheitsvorfälle der zuständigen Behörden melden. Es besteht hinsichtlich der Sicherheitsvorfälle ein abgestuftes Meldesystem mit Fristen von 24 und 72 Stunden. Beispielsweise ist binnen 24 Stunden bei einem erheblichen Sicherheitsvorfall der zuständigen Behörde eine Frühwarnung zu übermitteln, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte.
Ein Sicherheitsvorfall gilt als erheblich, wenn
- er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
- er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Aufsichts- und Durchsetzungsbefugnisse
Die Mitgliedsstaaten müssen durch die zuständigen Behörden sicherstellen und gewährleisten, dass die Richtlinie NSI-2 ausgeführt wird. Hierfür stehen den zuständigen Behörden umfassende Maßnahmen wie Vor-Ort-Kontrollen, regelmäßige und gezielte Sicherheitsprüfungen bis hin zu Anforderungen von Nachweisen für die Umsetzung der Cybersicherheitskonzepte zur Verfügung.
Zur Durchsetzung der Maßnahmen können die zuständigen Behörden Warnungen aussprechen, oder aber auch Zwangsgelder verhängen sowie im Worst-Case natürlichen Personen vorübergehend die Ausübung von Leitungsaufgaben auf Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters untersagen.
Auf die betroffenen Unternehmen werden demnach einige Pflichten zukommen, mit deren Umsetzung sie sich frühzeitig auseinandersetzen sollten, um die Gefahr von empfindlichen Sanktionen rechtzeitig zu adressieren und zu mitigieren.
Autorin: Michelle Heerich, Wissenschaftliche Mitarbeiterin
