NIS-2-Richtlinie zur Stärkung der Cybersicherheit

Von Dr. Oliver Daum

Im DiWiSH-Netzwerk haben wir zahlreiche Akteure und Unternehmen, die Experten im Bereich IT-Sicherheit sind. Wir freuen uns sehr, dass diese Fachleute unsere Veranstaltungen bereichern und mit ihrem Wissen wertvolle Impulse setzen – so auch Dr. Oliver Daum, Rechtsanwalt und IT-Sicherheitsbeauftragter der IHK, der kürzlich bei unserer gemeinsamen Veranstaltung mit der IHK SH und dem Land Schleswig-Holstein zum übergeordneten Thema Cybersicherheit in einem Workshop einen tiefgehenden Einblick in die NIS-2-Richtlinie gab.

Cybersicherheit ist wichtig. Denn die Hackerangriffe nehmen stetig zu. Automatisierte Bots nehmen jeden ins Visier, unabhängig von der Größe. Daher müssen nicht nur große Konzerne in die eigene Cybersecurity investieren, sondern auch Kleinstunternehmen und Freiberufler.

Hier setzt die neue NIS-2-Richtlinie der Europäischen Union an. Das Ziel der EU-Richtlinie ist die Stärkung der europaweiten Cybersicherheit. Die NIS-2-Richtlinie erweitert den Kreis der Adressaten und deren Pflichten gegenüber der Vorgängerrichtlinie NIS-1 enorm. Die Richtlinie hätte allerdings bis zum 17. Oktober 2024 ins deutsche Recht umgesetzt werden müssen. Das ist nicht geschehen. Dadurch ändert sich jedoch nur der Zeitpunkt: Die neuen Regelungen der NIS-2-Richtlinie werden kommen!

Kreis der Adressaten

Ein wichtiger Kernpunkt der NIS-2-Richtlinie ist die Erweiterung der Unternehmen, die verpflichtet werden, Maßnahmen zur Cybersecurity zu ergreifen. Das betrifft die folgenden Branchen und Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B only!), Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschung.

Erfasst sind aber nur Unternehmen ab einer mittleren Größe. Das bedeutet, dass Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und weniger als 10 Mio. € Jahresumsatz erwirtschaften, von der Bereichsausnahme profitieren können.

Erweiterter Pflichtenkatalog

Alle anderen Unternehmen sehen sich hingegen einem erweiterten Pflichtenkatalog ausgesetzt. So müssen neben Präventivmaßnahmen (z. B. Information-Security-Management-System (ISMS), Schulungen) effektive Incident-Response-Maßnahmen (z. B. Business-Continuity-Management-System (BCM), Notfallplan) ergriffen bzw. vorbereitet werden. Relevant ist auch die gesetzlich verankerte Verantwortlichkeit der Geschäftsleitung für die Informations- bzw. IT-Sicherheit. Damit wird IT-Sicherheit Chefsache, die nicht ohne Weiteres "nach unten" delegiert werden kann. Hervorzuheben ist zudem die Sicherheit der Lieferkette: Verpflichtete Unternehmen haben bspw. durch vertragliche Regelungen sicherzustellen, dass Partnerunternehmen, die nicht unmittelbar der NIS-2-Richtlinie unterworfen sind, gleichwohl Cyberabwehr-Maßnahmen etablieren. Damit betreffen die neuen Regelungen mittelbar auch diejenigen Unternehmen, die zwar selbst nicht adressiert sind, aber deren Partnerunternehmen unmittelbar verpflichtet sind.

Was jetzt zu tun ist

• Geschäftsleiter und Geschäftsführer sollten juristisch prüfen lassen, ob sie entweder unmittelbar oder mittelbar den Regelungen der neuen Richtlinie unterworfen sind.
• In einem zweiten Schritt wäre zu schauen, inwieweit die neuen Pflichten bereits umgesetzt wären oder ob noch Maßnahmen implementiert werden müssten, um sich vor Cyberangriffen weitestgehend zu schützen.

Kontakt

Dr. Oliver Daum

Rechtsanwalt

Fachanwalt für IT-Recht

Datenschutzbeauftragter (IHK)

IT-Sicherheitsbeauftragter (IHK)