:quality(80)/p7i.vogel.de/wcms/dd/2b/dd2b986a5132cb0d475f0bbecba5d299/0110618846.jpeg "Microsoft Deutschland und die Unternehmensberatung Roland Berger haben die Gewinner des diesjährigen Microsoft Intelligent Manufacturing Award mit einer Jury aus Wirtschaft und Wissenschaft ausgewählt. (Bild: Microsoft Deutschland)")
:quality(80)/p7i.vogel.de/wcms/8d/d0/8dd0f94e785b2f3d386a31b7a29841d8/0110162970.jpeg "Naturkatastrophen können bodengebundene Kommunikationsnetzwerke zerstören. Hybride Netzwerke, die Erde, Himmel und Weltraum nutzten, hielten die Kommunikation aber aufrecht. Deshalb kooperiert die Deutsche Telekom jetzt mit der ESA und anderen Partnern. (Bild: Deutsche Telekom / ESA)")
:quality(80)/p7i.vogel.de/wcms/92/b5/92b533e8e3608a71bedd21d4dcd15e59/0109117304.jpeg "Private 5G wird zum ‚heiligen Gral‘ für Anwendungsfälle in der Industrie 4.0. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/54/28/5428224bd1fdbfdc66fee42c96fe704d/0110087444.jpeg "Nutzen Unternehmen die Chancen der digitalen Transformation, schaffen sie für ihre Kunden größere Mehrwerte und für sich neue beziehungsweise wiederkehrende Umsatzpotenziale. (Bild: Plansysteme )")
:quality(80)/p7i.vogel.de/wcms/60/e5/60e5552e3ed36dabcd5e441132a23fbc/0110616928.jpeg "Die 3D-Planung und die 3D-gedruckten Implantate zielen darauf ab, die Vorhersagbarkeit klinischer Ergebnisse für Patienten mit schweren Schulterdefekten zu verbessern. (Bild: Exactech)")
:quality(80)/p7i.vogel.de/wcms/d7/83/d783498848ac40f2715ef017c7a37f92/0110383530.jpeg "Tooling & Equipment International erweitert die additive Fertigungskapazität um den dritten VX4000 3D-Drucker von Voxeljet. (Bild: Tooling & Equipment International)")
:quality(80)/p7i.vogel.de/wcms/09/1f/091f8780c7cfa0ac4c4eee4934197062/0110356574.jpeg "Der Oresat0 mit Solarmodulen und aufgestellter Dreiband-Drehkreuzantenne. (Bild: PSAS)")
:quality(80)/p7i.vogel.de/wcms/d2/9e/d29eb16e2cbea48418def461e6e9d638/0110271051.jpeg "Werden elektronische Teile heute mittels 3D-Druck produziert, kommt ein zweistufiger Prozess zum Einsatz. Ein neues Verfahren der TH Köln verspricht dies einfacher, schneller und kostengünstiger zu gestalten. Es nutzt die vorhandene Prozesswärme des FDM-Druckers gleichzeitig zur Materialsinterung der leitfähigen Strukturen. (Bild: TH Köln)")
:quality(80)/p7i.vogel.de/wcms/83/90/8390d1a43fcf777ac0acea20d21cc3b1/0110087783.jpeg "Mit der fortschreitenden Digitalisierung werden immer mehr Maschinen und Anlagen vernetzt. Somit steigen auch die Anforderungen an die Mensch-Maschine-Schnittstelle. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2d/4a/2d4adf1f3777b90a816016b78732e01e/0109146962.jpeg "Software zur Automatisierung von Aufgaben, die auf Basis von Low-Code entwickelt wurde, kann schnell in Betrieb genommen werden. Etwaige Anpassungen sind auch im Anschluss noch möglich. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/3b/30/3b306844a68e60428dc41d4587343cf2/0110595721.jpeg "IDC hat im Februar 2023 in Deutschland branchenübergreifend IT-Verantwortliche und
Fachentscheider aus 200 Unternehmen mit mehr als 100 Mitarbeitern über die Nutzung der Cloud befragt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f1/51/f151c67fc84d62f62fb48571642ac478/0110127139.jpeg "Sichere und einfach zu bedienende Kassen- und Bezahlsysteme sind eines von vielen Beispielen für die Relevanz einer hohen Usability. (Bild: frei lizenziert)")
Neue EU-Richtlinie NIS-2: EU setzt Cybersicherheit auf die Agenden von Unternehmen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Für Unternehmen ohne angemessen geschützte IT-Systeme könnte es ab Herbst 2024 teuer werden. Dafür sorgt eine überarbeitete Richtlinie der EU. Wer jetzt die richtigen Maßnahmen auf den Weg bringt, verhindert hohe Bußgelder – und sichert seine digitale Arbeitsfähigkeit.
Die Europäische Union will die Cybersicherheit entschieden verbessern. Ein berechtigtes Vorhaben – betrachtet man allein den Schaden in Höhe von 203 Milliarden Euro, den Cyberangriffe nach einer Studie des Branchenverbandes Bitkom bei deutschen Unternehmen jährlich verursachen.
Zentraler Baustein zur Stärkung der Cybersicherheit in der EU ist die NIS-2-Richtlinie (nachfolgend: NIS-2-RL), die Ende 2022 veröffentlicht wurde. Die Richtlinie stellt eine Fortentwicklung der 2016 eingeführten NIS-Richtlinie dar. Während die alte Version insbesondere den Betreibern der sogenannten Kritischen Infrastruktur Pflichten auferlegte, werden ab 17. Oktober 2024 deutlich mehr Unternehmen Sicherheitsmaßnahmen gegen Angriffe auf ihre IT-Systeme implementieren müssen.
Wen diese Pflichten treffen, welcher Handlungsbedarf nun für sie besteht und welche Konsequenzen bei Untätigkeit drohen, wird in diesem Beitrag beleuchtet.
Schon ab 50 Beschäftigten und zehn Millionen Euro Jahresumsatz
Zwar löst die NIS-2-RL selbst keine unmittelbaren Pflichten für Unternehmen aus, sondern legt den nationalen Gesetzgebern auf, die in die Richtlinie vorgesehen Regelungen in nationales Recht umzusetzen. Jedoch hat der europäische Gesetzgeber in der Richtlinie definiert, wer zukünftig die Pflichten der NIS-2-RL zu befolgen hat.
Die Richtlinie sieht eine Abstufung zwischen zwei Gruppen von Verpflichteten vor: Den Betreibern von „wesentlichen Einrichtungen“ werden weitreichende Pflichten auferlegt, Betreiber von „wichtigen Einrichtungen“ trifft ein abgestufter Pflichtenkatalog.
Wesentliche Einrichtungen
Wesentliche Einrichtungen sind solche, die den nachfolgenden Sektoren mit hoher Kritikalität zugeordnet werden können: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management im B2B-Bereich, öffentliche Verwaltung oder Weltraum.[1] Zudem müssen wesentliche Einrichtungen nach der europäischen Definition „große Unternehmen“ sein, d. h., mindestens 250 Beschäftigte und mindestens 50 Millionen Euro Jahresumsatz oder mindestens 43 Millionen Euro Jahresbilanz aufweisen. Betreibt ein Unternehmen eine Einrichtung in einem der genannten Sektoren, ist nach den genannten Schwellenwerten aber kein „großes Unternehmen“, gilt es als wichtige Einrichtung.
:quality(80)/p7i.vogel.de/wcms/00/91/0091d01430ec1cf852a0d1fbeb931808/0105308429.jpeg "Zum Ende des Jahres 2022 soll eine kartellrechtliche Regelung für die Big Player der digitalen Märkte in der EU verbindlich sein. (Bild: gemeinfrei)")
Marktregulierung
Digital Markets Act der EU – Fluch oder Chance?
Wichtige Einrichtungen
Einrichtungen, die in den „sonstigen kritischen Sektoren“ Post- und Kurierdienste, Abfallbewirtschaftung, Chemieindustrie, Lebensmittelindustrie, Verarbeitendes Gewerbe/Warenherstellung bestimmter Produkte[2], digitale Dienste oder Forschung tätig sind, definiert die Richtlinie als wichtige Einrichtungen. Neben der Einordnung in einen der genannten Sektoren muss es sich bei der Einrichtung um ein „mittleres Unternehmen“ nach der europäischen Definition handeln, also zwischen 50 und 249 Beschäftigte und einen Jahresumsatz von zehn bis 50 Millionen Euro bzw. eine Jahresbilanz von zehn bis 43 Millionen Euro aufweisen.[3]
Zusätzlich können die Mitgliedsstaaten Einrichtungen als wesentliche oder wichtige Einrichtungen einstufen, sodass für diese die Regelungen der NIS-2-RL Anwendung finden, auch wenn sie nach dem vorstehenden Kategorisierungssystem grundsätzlich nicht eingeschlossen wären.
Auch Einrichtungen, die keine Niederlassung in der EU haben, aber auf ihrem Gebiet agieren, sind nach der NIS-2-RL Verpflichtete und müssen einen Vertreter in der EU benennen.
Cybersecurity wird zur Chefsache
Sowohl wesentliche als auch wichtige Einrichtungen haben umfangreiche Risikomanagementmaßnahmen zu implementieren. Dabei macht die Richtlinie Cybersicherheit zur Chefsache: Die Billigung, Umsetzung und Überwachung der Maßnahmen ist Aufgabe der Leitungsorgane der Verpflichteten. Ausdrücklich müssen diese auch für Verstöße hiergegen einrichtungsintern haftbar gemacht werden. Zusätzlich sieht die Richtlinie vor, dass sie regelmäßig an Schulungen zur Cybersicherheit teilnehmen müssen – genau wie ihre Mitarbeiter.
Zentrale Bedeutung kommt den technischen, operativen und organisatorischen Sicherheitsmaßnahmen zu. Diese sollen Risiken für die Sicherheit der Netz- und IT-Systeme beherrschbar machen und Auswirkungen von Sicherheitsvorfällen gering halten. Bei der verhältnismäßigen Auswahl der Maßnahmen haben die Einrichtungen das Risiko für die Systeme, die Kosten und den Stand der Technik zu berücksichtigen. Der Stand der Technik wird u. a. durch einschlägige europäische und internationale Normen auszufüllen sein, die die Richtlinie ausdrücklich erwähnt. Ferner stellt der Richtliniengeber einen Katalog von Mindestschutzmaßnahmen auf: So müssen Konzepte für die Risikoanalyse und Sicherheit von IT-Systemen, ein Backup-Management und Krisenmanagement, Verfahren im Bereich der Cyberhygiene, Schulungsmaßnahmen, Kryptografie und Verschlüsselungen, Zugriffskontrollen sowie Authentifizierungsverfahren eingeführt werden. Zu beachten ist, dass sich das Erfordernis der Risikomanagementmaßnahmen auch auf die Lieferkette erstreckt. Zumindest für den Bereich der digitalen Infrastruktur wird die EU-Kommission weiterführende Rechtsakte erlassen, um die Maßnahmen zu konkretisieren.
Die Einrichtungen haben im Falle eines erheblichen Sicherheitsvorfalles[4] umfangreiche Berichtspflichten gegenüber dem CSIRT oder einer anderen, nach nationalem Recht zuständigen Behörde zu erfüllen. Dabei kann ein erster Frühwarnbericht bereits innerhalb von 24 Stunden geboten sein, etwa bei kriminellen Cyberangriffen. In der Vielzahl der Sicherheitsvorfälle wird eine Meldung innerhalb von 72 Stunden erforderlich sein. Ferner kann die Einrichtung verpflichtet sein, Personen, die von dem Sicherheitsvorfall betroffen sind, über diesen zu informieren.
Darüber hinaus müssen ausgewählte Einrichtungen der digitalen Infrastruktur sich bei ihrer zuständigen Behörde registrieren.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/63/c0/63c042b44aa84/web-kampagnenbild-sophos-web-lc-iot-2022-02-21.jpeg "WEB Kampagnenbild Sophos WEB LC IoT 2022-02-21 (Gorodenkoff - Shutterstock)")
Empfindliche Geldbußen und weitere Sanktionsmaßnahmen
Die Behörden erhalten zur Aufsicht und Durchsetzung der Pflichten weitreichende Mittel und können hierbei auch abschreckende Maßnahmen wählen.
Am gewichtigsten sind die Geldbußen: Bei wesentlichen Einrichtungen droht eine Geldbuße mit einem Höchstbetrag von mindestens zehn Millionen Euro oder mindestens zwei Prozent des gesamten weltweiten Umsatzes des Vorjahres des Unternehmens, dem die Einrichtung angehört, je nachdem, welcher Betrag höher ist. Wichtigen Einrichtungen drohen Geldbußen von sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Darüber hinaus kann die Behörde Vor-Ort-Kontrollen, Sicherheitsprüfungen und -scans durchführen sowie Informationen über die getroffenen Risikomanagementmaßnahmen und Umsetzungsnachweise über Cybersicherheitskonzepte anfordern. Die Behörden sind zudem befugt, Warnungen auszusprechen, Anordnungen zu erlassen, Informationen über Sicherheitsvorfälle öffentlich zu machen oder einen externen Überwachungsbeauftragten zu benennen. Bei nicht fristgemäßer Umsetzung der Maßnahmen kann Geschäftsführern oder Vorstandsmitgliedern vorübergehend untersagt werden, ihre Leitungsfunktion wahrzunehmen.
:quality(80)/p7i.vogel.de/wcms/70/88/7088da238421c000b91a9d4c861f2de8/0109005862.jpeg "Mit dem Data Act steht in der EU das nächste große datenrechtliche Vorhaben an. (Bild: frei lizenziert)")
Datenwirtschaft in der EU
Wieso der europäische Data Act ein Update braucht
Maßnahmen müssen spätestens jetzt eingeleitet werden
Bereits drohende wirtschaftliche Schäden im Falle eines Cybersicherheitsvorfalles waren ein guter Grund, die eigenen IT-Systeme umfassend zu schützen. Wem dieser Anreiz noch nicht genügte, wird nun angesichts der von der NIS-2-Richtlinie ausgerufenen möglichen Geldbußen und den damit einhegenden Reputationsschäden umdenken müssen. Unternehmen sind gut beraten, bereits jetzt die neuen Regelungen gründlich zu studieren und entsprechende Ableitungen zu treffen, um die Anforderungen ab Herbst 2024 zu erfüllen.
Dabei ist zunächst zu prüfen, ob das eigene Unternehmen eine Einrichtung im Sinne der NIS-2-Richlinie darstellt. Sofern dies der Fall ist, ist ein Cybersicherheits-Compliance-Management-System aufzubauen. Im Rahmen dessen ist – ausgehend von einer Risikobewertung – ein Katalog an Risikomanagementmaßnahmen zu erstellen und zu implementieren. Die Wahl der angemessenen Schutzmaßnahmen ist dabei an den Mindestanforderungen der Richtlinie sowie dem Stand der Technik zu messen. Diese Aufgabe ist von zentraler Wichtigkeit, um aufsichtsbehördlicher und möglicher nachfolgender gerichtlicher Überprüfung standhalten zu können. Die Erfahrungen aus dem Datenschutzrecht zeigen, dass sich auf diesem Wege Bußgelder vermeiden oder jedenfalls reduzieren lassen.
Teil des Cybersicherheits-Compliance-Management-System muss auch eine vorsorgliche Meldestruktur und Zuständigkeitsverteilung für Sicherheitsvorfälle sein: Tritt ein Sicherheitsvorfall auf, sind die vorgesehenen Meldefristen zu knapp, um zunächst zu erörtern, wer für Meldungen überhaupt zuständig ist.
Die NIS-2-Richtlinie wird viele Unternehmen treffen. Auch wenn die Umsetzung durch den deutschen Gesetzgeber noch aussteht – deshalb sollten Unternehmen nun handeln.
Fußnoten:
[1] Gegenüber der bisherigen Rechtslage sind die Sektoren Weltraum, ICT Service Management im B2B-Bereich, öffentliche Verwaltung sowie Forschung in den Anwendungsbereich neu hinzugekommen.
[2] Unabhängig von diesen Schwellwerten gelten Einrichtungen in den Sektoren digitale Infrastruktur (hier jedoch nur Vertrauensdienste, TLD Registries, DNS und Elektronische Kommunikation) und der kritischen öffentlichen Verwaltung immer als wesentliche Einrichtungen.
[3] Medizinprodukte, In-vitro-Diagnostika, Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse, elektronische Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau
[4] Ein Sicherheitsvorfall liegt vor, wenn die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme zugänglich sind, beeinträchtigt werden. Erheblich ist er, wenn scherwiegende Betriebsstörungen oder finanzielle Verluste verursacht wurden oder werden könnten oder andere Personen durch den Vorfall erhebliche Schäden erfahren haben oder erfahren könnten.
* Dr. Christian Schefold ist Partner im Bereich Compliance und Untersuchungen im Berliner Büro der globalen Wirtschaftskanzlei Dentons und Co-Head der deutschen Compliance-Praxis.
* Rechtsanwalt Lorenz Wascher ist als Senior Associate bei Dentons im Bereich IT/DATA tätig.
* Die Autoren bedanken sich sehr für die Mithilfe von Ref. Jur. Lewin Rexin.
(ID:49201610)
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935822/original.jpg "Um auf etwaige Cyberattacken vorbereitet zu sein, verstärken Deutschland und weitere EU-Staaten ihre Security-Aktivitäten. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947105/original.jpg "Mit einer erhöhten Cyber-Security-Awareness lassen sich Attacken schon frühzeitig verhindern. (gemeinfrei)")