Abbildung von Cybersecurity-Pflichten

(Quelle: stock.adobe.com_kran77_123015824)

Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS2) umgesetzt haben. Die NIS2-Richtlinie ist neben dem Cyber Resilience Act ein wichtiger Baustein der Rechtsakte, die das Gerüst einer neuen europäischen Cybersicherheitsarchitektur bilden sollen, nachdem mit Vorstellung der neuen europäischen Cybersicherheitsstrategie im Jahr 2022 die Resilienz zu einem wesentlichen regulatorischen Aspekt in der EU wurde.

Die NIS2-Richtlinie baut inhaltlich auf der ersten NISRichtlinie aus dem Jahr 2016 auf, erweitert jedoch de bisher auf kritische Infrastrukturen und ausgewählte Sonderfälle beschränkten Anwendungsbereich auf große Teile der Wirtschaft. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren.

Mit dem Kommissionsentwurf des Cyber Resilience Act [1] befassen sich derzeit EU-Parlament und der Europäische Rat. CER-Richtlinie und NIS-2-Richtlinie wurden beide Ende 2022 verabschiedet und müssen bis zum 17.10.2024 in den Mitgliedstaaten umgesetzt sein. Die CER-Richtlinie wird voraussichtlich durch das Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) [2], die NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) [3] in nationales Recht umgesetzt

Wer ist betroffen?

Mit der NIS2 halten neue Begrifflichkeiten Einzug: Die bisher bekannten Betreiber wesentlicher Dienste und Anbieter digitaler Dienste werden durch wesentliche und wichtige Einrichtungen ersetzt, was aber nicht nur eine sprachliche Änderung bedeutet. Während es bei der alten NIS Richtlinie den Mitgliedstaaten überlassen war, zu bestimmen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit NIS2 eine sogenannte „Size CapRule“ eingeführt. Dies bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder Dienstleistungen erbringen, in den Anwendungsbereich der Richtlinie fallen. Dem Anwendungsbereich der NIS2 unterliegen damit alle Unternehmen der erfassten Sektoren, die über 50 Personen beschäftigen und einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. € haben. Bei den Sektoren der NIS2 zeigt sich die erste deutliche Erweiterung, denn es wurden sowohl neue wesentliche Sektoren wie die Verwaltung von IKT Diensten eingeführt als auch Ergänzungen der bisherigen Sektoren vorgenommen. Auch bei den wichtigen Sektoren gab es deutliche Erweiterungen. So fällt künftig die Herstellung von Waren in bestimmten Teilsektoren unter die Richtlinie.

Drei Faktoren bestimmen, ob eine Einrichtung wesentlich oder wichtig im Sinne der NIS2 ist:

  • die Einstufung als Kritis-Betreiber,
  • die Zugehörigkeit zu einem Sektor und
  • die Größe des Unternehmens.
1 / 3