Die am 14.12.2022 erlassene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (2022/2555) befindet sich derzeit in der Umsetzung in nationales Recht, wobei ein Inkrafttreten des Gesetzes derzeit für das Ende des ersten Quartals 2025 avisiert ist. Ziel der Richtlinie ist es, das Cyber-Sicherheitsniveau in der europäischen Union zur harmonisieren, ein gemeinsames Verständnis der wichtigsten Cyber-Bedrohungen und Herausforderungen zu etablieren sowie die Cyber-Resilienz von Unternehmen zu verbessern.
Im Vergleich zu vorherigen Cyber-Sicherheitsgesetzen führt NIS-2 zu deutlich verschärften Regulierungen. So werden betroffene Unternehmen und Institutionen dazu verpflichtet, Maßnahmen zum Erreichen des Stands der Technik umzusetzen sowie Meldepflichten gegenüber den Aufsichtsbehörden einzuhalten. Damit einher gehen unter anderem die Einführung eines übergreifenden Risikomanagements, die Entwicklung eines Business Continuity-Konzepts sowie die Verwendung von Systemen zu fortlaufenden Angriffserkennung. Konkrete technische Maßnahmen betreffen den Einsatz von Multi-Faktor-Authentifizierung, einem Backup-Management und von kryptographischen Verfahren. Um den Stand der Technik einzuhalten, gelten bisher der BSI IT-Grundschutz und die ISO-27001-Zertifizierung als wesentliche Konformitätsvermutungen für NIS-2.
In der Richtlinie werden zwei Einrichtungstypen unterschieden: Wichtige Einrichtungen (wE) und besonders wichtige Einrichtungen (bwE), wobei Einrichtungen der kritischen Infrastruktur (KRITIS) eine Teilmenge der besonders wichtigen Einrichtungen darstellen. Die Einrichtungstypen unterscheiden sich durch die Anzahl der Mitarbeiter*innen, dem erzielten Jahresumsatz bzw. der Bilanzsumme und der Zugehörigkeit zu bestimmten Sektoren. Dies betrifft beispielsweise Institutionen im Gesundheits- und Finanzwesen, Energie- und Transport-Unternehmen sowie bestimmte Unternehmen in der produzierenden Industrie. Unternehmen der kritischen Infrastruktur können durch NIS und durch das KRITIS-Gesetz auf vorhandene Prozesse aufbauen. Entsprechend müssen sich Unternehmen aus dem verarbeitenden Gewerbe auf erheblichen Mehraufwand bei der Erfüllung der Anforderungen einstellen. Aus diesem Aufwand ergibt sich jedoch ein Wettbewerbsvorteil, da eine erhöhte Widerstandskraft gegen Cyberbedrohungen die Absatzmöglichkeiten und Produktivität von Unternehmen nachhaltig schützt.
Für die Geschäftsführung von betroffenen Unternehmen gilt eine Schulungspflicht. Diese ist wesentlich, um ein geeignetes Risikomanagement zu errichten und dessen Umsetzung zu überwachen. Bei einer Verletzung der Überwachungspflichten haftet die Geschäftsführung persönlich für die entstandenen Schäden. Weiterhin wird in NIS-2 ein Bußgeldkatalog definiert, der Institutionen bei Verstößen mit Sanktionen in Höhe von bis zu 10 Millionen Euro bzw. 2 % des weltweiten Gesamtumsatzes im vorangegangenen Geschäftsjahr belegen kann.
Im Vergleich zum derzeit geltendem NIS-Gesetz wird eine deutliche Steigerung der Anzahl der betroffenen Einrichtungen erwartet. Schätzungen zufolge werden ungefähr 30.000 Unternehmen direkt von NIS-2 betroffen sein. Die Sicherheit in der Lieferkette wird im Gesetzestext explizit erwähnt. Es ist daher davon auszugehen, dass eine große Anzahl Unternehmen mittelbar betroffen sein werden. Ob ein Unternehmen unter die Richtlinie fällt, muss dieses selbst prüfen, da keine automatische Information durch die Bundesbehörden erfolgt. In ausgewählten Fällen ist das BSI berechtigt, selbst eine Betroffenheit anzuordnen. Der Umsetzungszeitraum orientiert sich am Inkrafttreten des NIS-2 Umsetzungsgesetzes. Sobald das Gesetz beschlossen wird, gelten sämtliche Pflichten und Anforderungen unmittelbar.
NIS-2 setzt gezielt bei den Mitarbeiter*innen an, um Gefahren für das Unternehmen frühzeitig zu erkennen und kompetent auf Bedrohungen reagieren zu können. Die im Projekt „KMU.kompetent.sicher“ entwickelte Schulungs-Plattform hilft Unternehmen*innen dabei, ihre Sicherheitsziele umzusetzen und die im Gesetz vorgesehenen Schulungspflichten zu erfüllen. Die Konformität zu NIS2 wird durch permanente Evaluation mit weiteren Kompetenznetzwerken und ständiger Re-Iteration von Gesetzesanforderungen und konkreten Umsetzungsmaßnahmen gemäß dem Stand der Technik sichergestellt.