Ein Thema, auf das wir momentan oft angesprochen werden: Die Network and Information Security (NIS II) Richtlinie ist eine wesentliche EU-Verordnung, die die Cybersicherheit in den Mitgliedstaaten stärken soll. Die ursprüngliche NIS1-Richtlinie von 2016 wurde in Deutschland durch das BSI-Gesetz umgesetzt und verpflichtete kritische Infrastrukturen zu bestimmten Sicherheitsmaßnahmen. Die neue NIS II-Richtlinie erweitert diese Anforderungen und muss bis Oktober 2024 in nationales Recht integriert werden. In Deutschland gibt es bisher jedoch nur einen Regierungsentwurf vom 24.07.2024, mit einer geplanten Umsetzung im März 2025. Die NIS II ist zwar kein rein datenschutzrechtliches Thema, jedoch gibt es einige Überschneidungen bspw. die Pflicht zur Ausgestaltung von ordnungsgemäßen technischen und organisatorischen Maßnahmen (TOM), um die Sicherheit der Systeme zu gewährleisten. Daher wollen wir auch einen Seitenblick auf diese Verordnung werfen.

Anwendungsbereich der NIS II

Die NIS II-Richtlinie differenziert zwischen wichtigen und besonders wichtigen Einrichtungen, die in den Anlagen 1 und 2 des BSI-Gesetzes beschrieben sind. Anlage 1 umfasst Sektoren wie Energie, Transport, Finanzwesen und Gesundheit, während Anlage 2 wichtige Einrichtungen wie Post- und Kurierdienste sowie die Lebensmittelindustrie auflistet. Die Einstufung erfolgt nach Kriterien wie Mitarbeiteranzahl, Umsatz und sektoraler Bedeutung. Die erste große Schwierigkeit für Unternehmen liegt bereits in der Einschätzung, ob sie überhaupt in den Anwendungsbereich fallen. Dies muss jedes Unternehmen für sich selbst bestimmen und läuft so bei falscher Einordnung Gefahr gegen NIS II zu verstoßen.

Pflichten für betroffene Unternehmen

Doch welche Pflichten erwachsen aus der NIS II für die betroffenen Unternehmen überhaupt? Neben der

  • Registrierungspflicht (§33 BSIG: Unternehmen müssen sich beim BSI registrieren),
  • der Meldepflichten (§32 BSIG: Sicherheitsvorfälle sind zu melden)
  • und des Risikomanagements (§30 BSIG: Unternehmen müssen ein umfassendes Risikomanagement implementieren)
  • wird auch die Geschäftsleitung in eine stärkere Verantwortung genommen (§38 BSIG: Die Geschäftsleitung ist für die Umsetzung und Überwachung verantwortlich).

Umsetzung der NIS II in Unternehmen

Wie die Pflichten aus der NIS II am Besten in den Unternehmen konkret umgesetzt werden können, ist derzeit noch nicht ganz klar. Dies liegt natürlich auch daran, dass die konkrete Umsetzung ins deutsche Recht noch nicht abschließend beschlossen ist. Damit Unternehmen aber nicht vom Inkrafttreten der gesetzlichen Regelungen in Deutschland überrumpelt werden, schlagen wir folgenden Maßnahmenplan vor:

Die Geschäftsführung sollte eine Leitlinie für die Cybersicherheit entwickeln und im Unternehmen kommunizieren.

  • Leitlinie für das ganze Unternehmen entwickeln
  • Eine gründliche Risikobewertung identifiziert potenzielle Bedrohungen und Schwachstellen.
  • Basierend auf der Risikobewertung sollten Maßnahmen zur Risikobehandlung geplant werden.
  • Die geplanten Sicherheitsmaßnahmen muss man implementieren und regelmäßig überprüfen.
  • Der Plan-Do-Check-Act (PDCA)-Zyklus hilft, die Wirksamkeit der Maßnahmen kontinuierlich zu verbessern.
  • Sicherheitsvorfälle sind gemäß den gesetzlichen Vorgaben an das BSI zu melden.
  • Regelmäßige Schulungen der Mitarbeiter und Geschäftsführung sind essenziell, um ein Bewusstsein für Cybersicherheitsrisiken zu entwickeln.

Achtung: Weitreichender Geltungsbereich – auch entlang der Lieferkette

Bei der Einschätzung, ob man von NIS II betroffen ist, muss man auch beachten, dass nicht nur die direkt unter die Richtlinie fallenden Organisationen, sondern auch deren Lieferketten und Dienstleister hiervon umfasst sind. Auch wenn Lieferanten selbst nicht direkt unter die NIS II fallen, können sie also indirekt betroffen sein, da sie bspw. Dienstleister eines wichtigen Energieunternehmens sind. Folgendermaßen könnten Forderungen von betroffenen Unternehmen an ihre Lieferanten aussehen:

  1. Vertragliche Anforderungen: Unternehmen, die unter die NIS II fallen, werden wahrscheinlich vertragliche Sicherheitsanforderungen an ihre Lieferanten weitergeben. Diese Anforderungen können bspw. technische und organisatorische Maßnahmen zur Sicherstellung der Cybersicherheit umfassen, um zu garantieren, dass die gesamte Lieferkette sicher ist.
  2. Sicherheitsüberprüfungen und Audits: Unternehmen, die der NIS II unterliegen, könnten regelmäßige Sicherheitsüberprüfungen und Audits bei ihren Lieferanten durchführen, um sicherzustellen, dass diese die erforderlichen Sicherheitsstandards einhalten. Lieferanten müssen möglicherweise ihre Sicherheitspraktiken offenlegen und sich externen Prüfungen unterziehen.
  3. Meldepflichten: Auch wenn Lieferanten nicht direkt der NIS II unterliegen, könnten sie dennoch verpflichtet sein, Sicherheitsvorfälle an ihre Auftraggeber zu melden. Diese Auftraggeber müssen dann möglicherweise die Vorfälle an die zuständigen Behörden weiterleiten, wenn sie erhebliche Auswirkungen auf die Sicherheit ihrer Netz- und Informationssysteme haben.
  4. Risikomanagement: Unternehmen, die der NIS II unterliegen, müssen ein umfassendes Risikomanagement betreiben, das auch die Risiken in ihrer Lieferkette berücksichtigt. Dies bedeutet, dass Lieferanten möglicherweise aufgefordert werden, Risiken zu identifizieren, zu bewerten und Maßnahmen zur Risikominderung zu implementieren.
  5. Schulung und Sensibilisierung: Lieferanten könnten von ihren Auftraggebern Schulungen und Sensibilisierungsmaßnahmen zur Cybersicherheit erhalten, um sicherzustellen, dass alle Mitarbeiter in der Lieferkette über die Bedeutung und die Anforderungen der NIS II informiert sind.
  6. Vertragsstrafen und Haftung: Lieferanten könnten vertragliche Strafen oder Haftungsregelungen auferlegt bekommen, wenn sie die geforderten Sicherheitsstandards nicht einhalten. Dies kann finanzielle und rechtliche Konsequenzen haben, die die Lieferanten dazu anhalten, ihre Sicherheitsmaßnahmen zu verbessern.

Fazit

Insgesamt ist die NIS II-Verordnung ein bedeutender Schritt zur Verbesserung der (Cyber)Sicherheitstandards in der EU, die zu einer umfassenderen und robusteren Cybersicherheitslandschaft führen wird, die über die direkt betroffenen Unternehmen weit hinausgeht. Die Umsetzung der NIS II-Richtlinie wird Unternehmen sicherlich vor Herausforderungen stellen, bietet jedoch auch Möglichkeiten. So können Unternehmen durch sorgfältige Planung und Umsetzung der Maßnahmen nicht nur gesetzliche Anforderungen erfüllen, sondern auch ihre eigene (Cyber)Sicherheit sowie Resilienz stärken und Bedrohungen identifizieren sowie eliminieren.

Auch wenn die konkreten gesetzlichen Rahmen zur Umsetzung der Richtlinie noch nicht in deutsches Recht gegossen wurden, kann man davon ausgehen, dass die NIS II-Richtlinie auch Lieferanten betreffen wird, die selbst nicht direkt unter die Richtlinie fallen. Durch vertragliche Anforderungen, Sicherheitsüberprüfungen, Meldepflichten und Risikomanagementmaßnahmen können Unternehmen sicherstellen, dass ihre gesamte Lieferkette den geforderten Sicherheitsstandards entspricht.

Benötigen Sie Hilfe bei der Einschätzung, ob Sie unter die NIS II fallen oder bei der Umsetzung der Vorgaben der NIS II? Dann zögern Sie nicht, uns zu kontaktieren. Wir sind bundesweit tätig und unterstützen Sie gerne: legal@sidit.de oder 040-23 767 00 40.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

BedrohungCybersicherheitDatensicherheitNIS II

FacebookXPinterestDeliciousLinkedinEmail

Verwandte Beiträge ...

Kommentare sind deaktiviert.