Die Richtlinie (EU) 2022/2555 (NIS-2) ist eine überarbeitete Fassung der ersten Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1), die im Jahr 2016 in Kraft getreten ist. Die NIS-2 soll die Cybersicherheit in der Europäischen Union verbessern und harmonisieren, indem sie klare Vorgaben für die Sicherheitsmaßnahmen und Meldepflichten von Unternehmen und Institutionen macht, die wesentliche oder wichtige Dienste in verschiedenen Sektoren erbringen. Die NIS-2 wurde im Dezember 2022 vom Europäischen Parlament und dem Rat verabschiedet und ist am 18. Januar 2023 in Kraft getreten. Die Mitgliedstaaten haben bis zum 18. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen.
In Deutschland wird die Umsetzung der NIS-2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erfolgen, dessen Referentenentwurf im Juli 2023 vom Bundesministerium des Innern und für Heimat (BMI) vorgelegt wurde. Der Gesetzesentwurf geht in einigen Punkten über die EU-Vorgaben hinaus und bewirkt somit zahlreiche Neuerungen im nationalen Cybersicherheitsrecht. Das NIS2UmsuCG soll bis Mitte 2024 verabschiedet werden.
Zu den wichtigsten Änderungen, die das NIS2UmsuCG mit sich bringt, gehören:
- Die Ausweitung des Geltungsbereichs auf mehr Sektoren und Unternehmen: Die NIS-2 unterscheidet zwischen „wesentlichen Einrichtungen“ (Essential Entities) und „wichtigen Einrichtungen“ (Important Entities), die je nach Sektor unterschiedliche Schwellenwerte für Umsatz, Mitarbeiterzahl oder Marktanteil erfüllen müssen, um unter die Richtlinie zu fallen. Zu den wesentlichen Einrichtungen gehören unter anderem Unternehmen aus den Bereichen Energie, Verkehr, Gesundheit, Finanzen, Telekommunikation, Wasserwirtschaft, Ernährung, öffentliche Verwaltung und digitale Infrastruktur. Zu den wichtigen Einrichtungen gehören unter anderem Unternehmen aus den Bereichen Cloud-Dienste, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke, Datenzentren, Softwarehersteller und Cybersicherheitsdienstleister. Schätzungen zufolge werden etwa 30.000 deutsche Institutionen und Unternehmen von der NIS-2 betroffen sein.
- Die Erhöhung der Sicherheitsanforderungen und Meldepflichten: Die NIS-2 verpflichtet die wesentlichen und wichtigen Einrichtungen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein hohes Niveau an Netzwerk- und Informationssicherheit zu gewährleisten. Dazu gehören unter anderem die Durchführung regelmäßiger Risikobewertungen, die Implementierung von Sicherheitsrichtlinien und -verfahren, die Schulung des Personals, die Anwendung von Verschlüsselung und Authentifizierung, die Aktualisierung der Software und Hardware sowie die Berücksichtigung von Sicherheitsaspekten bei der Beschaffung von Produkten und Dienstleistungen. Zudem müssen die wesentlichen und wichtigen Einrichtungen alle schwerwiegenden oder bedeutenden Sicherheitsvorfälle an die zuständigen nationalen Behörden melden. Die Meldung muss innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls erfolgen und Informationen über den Vorfall selbst, seine Auswirkungen, die ergriffenen Maßnahmen sowie die Kontaktdaten des Meldenden enthalten.
- Die Stärkung der nationalen Behörden und der Zusammenarbeit: Die NIS-2 sieht vor, dass jedes Mitgliedsland eine nationale Behörde für Netzwerk- und Informationssicherheit (National Competent Authority) sowie eine nationale Kontaktstelle (Single Point of Contact) benennt, die für die Umsetzung und Durchsetzung der Richtlinie zuständig sind. Die nationalen Behörden sollen die Einhaltung der Sicherheitsmaßnahmen und Meldepflichten überwachen, die wesentlichen und wichtigen Einrichtungen identifizieren und registrieren, Sicherheitsaudits durchführen, Leitlinien und Standards erlassen sowie Sanktionen bei Verstößen verhängen. Die NIS-2 fördert zudem die Zusammenarbeit zwischen den Mitgliedstaaten auf europäischer Ebene, insbesondere durch den Europäischen Ausschuss für Netzwerk- und Informationssicherheit (European Union Agency for Cybersecurity, ENISA), der als zentrale Anlaufstelle für Fragen der Cybersicherheit fungiert und die Entwicklung von gemeinsamen Strategien, Richtlinien und Best Practices unterstützt.
Die Umsetzung der NIS-2 in Deutschland stellt eine große Herausforderung für die betroffenen Unternehmen dar, die sich auf höhere Sicherheitsstandards, strengere Meldepflichten und mögliche Sanktionen einstellen müssen. Gleichzeitig bietet die NIS-2 aber auch eine Chance, die Cybersicherheit in Deutschland zu verbessern und zu harmonisieren, indem sie einen einheitlichen Rechtsrahmen schafft, der das Vertrauen in die digitale Wirtschaft stärkt und die Widerstandsfähigkeit gegenüber Cyberangriffen erhöht.