Die NIS2- RL hat in den letzten Monaten zu einer hohen Irritation und Beratungsaufwand geführt. Typische Fragen waren: Die großen Unternehmen müssen da mitmachen und wir als Lieferanten sollen die Regelungen in Teilen auch umsetzen müssen.
Was kommt das auf uns zu, was müssen wir machen?
Übersicht
1.) Pflicht zur Absicherung:
Die NIS2- RL ist einer der Rechtsakte zur Cyber Resilience- Strategie der EU. Neben der NIS2- RL gibt es noch den CRA (Cyberresilience Act) und den Cybersecurity Act und die CER- Richtlinie (Resilience kritischer Einrichtungen). Allesamt sind dies öffentlich- rechtliche Rechtsakte, die dem Ziel dienen, Mindestanforderungen für die IT- Sicherheit von Software, Hardware und Services zu formulieren, die bestimmte Hersteller und Kunden einhalten müssen. Die juristische Methodik ist im Grundsatz schlicht und gleicht dem der Verkehrssicherungspflichten. Wer einen Verkehr eröffnet, muss die aus dem Verkehr entstehenden Gefahren eindämmen oder ausschließen, auch wenn er sie nicht selbst verursacht. Beispiel: Wer eine Baustelle aufmacht, muss dafür sorgen, dass Kinder nicht einfach auf die Baustelle gelangen können. Kinder spielen gerne auf Baustellen und kommen dabei oft zu Schaden. Also müssen die Betreiber von Baustellen etwas gegen den Missbrauch der Baustelle durch die Kinder tun. Übersetzt in die Welt der IT- Sicherheit: Wer IT- Services anbietet oder nutzt, muss etwas dafür tun, dass die Risiken aus der Cyberkriminalität auch dann gemindert werden, wenn er diese nicht selbst verursacht hat.
2.) Die NIS2- RL gehört zu diesen Richtlinien. Sie muss von den nationalen Parlamenten umgesetzt werden und setzt Mindestvoraussetzungen, die von den einzelnen Nationen übererfüllt, aber nicht unterschritten werden können. Sie können hier nun raten, wo Deutschland bei dem Thema steht.
Zweites Problem: Das deutsche Umsetzungsgesetz der NIS2 ist zum Zeitpunkt 31.08. (da habe ich diesen Artikel geschrieben) noch nicht verabschiedet. Ich werde also schnell ein Update zu diesem Artikel geben müssen. Genau aus dem Grund werde ich jetzt auch nicht im Detail auf den Inhalt des ersten Referenten- Entwurfs eingehen, der jedoch sicher die Richtung des endgültigen Gesetzes bestimmen wird.
Was ich mit diesem Artikel möchte, ist, den generellen Weg für die Umsetzung zu beschreiben.
Struktur des Umsetzungsgesetzes der NIS2- RL:
Die Struktur des Umsetzungsgesetzes ist einfach beschrieben. Wer muss die Pflichten beachten (Teil I), welche Pflichten sind zu erfüllen und was passiert, wenn man die Pflichten nicht erfüllt.
Im ersten Teil geht es um allgemeine Bestimmungen zum Anwendungsbereich und die Definitionen. Im Zweiten Teil um die Pflichten und dort speziell um das Risikomanagement, die Meldepflichten etc. Im Dritten Teil werden dann Rechtsfolgen bei Nichterfüllung der Pflichten beschrieben, also Meldepflichten, Bußgelder und Befugnisse der Behörden zur Anordnung von Maßnahmen. Wichtig noch: Das Gesetz wird wie bei der DSGVO die persönliche Haftung der Geschäftsführung bestimmen. Schon aus dem Grund heraus werden die Kunden der IT- Unternehmen die Haltung einnehmen, dass die IT- Unternehmen die Regelungen der NIS2- RL einhalten müssen, um überhaupt noch berücksichtigt werden zu können.
I. Anwendungsbereich
Die NIS2 unterscheidet zwischen den Betreibern wesentlicher Dienste und wichtiger Einrichtungen. In Deutschland wird es dann noch den Begriff der „besonders wichtigen“ Einrichtungen geben. Diese Unterscheidungen sind für die Rechtsfolgen wichtig. Bei der Frage, was müssen die betroffenen Unternehmen eigentlich tun, unterscheidet die NIS2 nicht. Die Regelung ist speziell in Deutschland undurchsichtig und das wird sich hoffentlich mit der finalen Umsetzung ändern, weshalb ich den Anwendungsbereich nicht komplett ausleuchte. Hier müssen erstmal Grundzüge genügen-.
1.) Sektoren (Sachbereiche)
Die betroffenen Unternehmen müssen erstens in einem bestimmten Sachbereich tätig sein.
Die Anhänge I und II der NIS2 betreffen 11 „besonders kritische“ und 7 „kritische“ Bereiche. Anbieter digitaler Dienste sind im Anhang II, Cloud- Anbieter im Anhang I erfasst. Neu sind die Sektoren des Anhangs II. Das führt zu einer deutlichen Erweiterung der betroffenen Unternehmen, Schätzungen gehen jetzt von 25 bis 30 Tausend Unternehmen in Deutschland aus.
2.) Einrichtungen
Die betroffenen Unternehmen müssen zweitens wesentlich oder wichtig im Sinne der NIS2 sein.
a.) Wesentlich
Die im Anhang II genannten Unternehmen gelten als wesentlich, wenn:
aa.) Sie bisher als Kritis- Betreiber nach der NIS- RL oder der CER- RL eingestuft wurden, worüber bei uns letztlich das BSI bestimmt.
bb.) oder wenn: Größe und Umsatz
Grundsätzlich gelten Unternehmen als wesentlich, wenn sie einen Umsatz von mehr als 50 Mio. Euro erwirtschaften und mehr als 250 Mitarbeiter haben.
cc.) oder wenn: bestimmte Dienste
Bestimmte andere Dienste (Vertrauensdienste-Anbieter), DNS- Dienste-Anbieter (ohne Root), TLD- Namenregister gelten unabhängig von ihrer Größe als wesentlich.
Wer kleiner ist, kann als „wichtiges Unternehmen“ auch unter diesen Anwendungsbereich fallen.
b.) Wichtig
Wichtig sind sie dann, wenn sie mehr als 50 Mitarbeiter haben oder mehr als 10 Mio. Euro Jahresumsatz machen und in den Sektoren des Anhangs I arbeiten.
3.) Ausnahme
Für Sektoren, die bereits einer anderen cybersicherheitsrechtlichen Regulierung unterliegen, sieht Art. 4 NIS2 eine Ausnahme vom Anwendungsbereich der Richtlinie vor, wenn die in den Gesetzen angeordneten Mindestmaßnahmen zumindest gleichwertig sind.
