NIS2 Anwendungsbereich entschlüsselt: Welche KMUs unter die Richtlinie fallen - und was das für Ihr Unternehmen bedeutet

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) stellt die bedeutendste Überarbeitung der EU-Cybersicherheitsgesetzgebung seit der ursprünglichen NIS-Richtlinie im Jahr 2016 dar. Durch die drastische Ausweitung des Geltungsbereichs, die Einführung strengerer Verpflichtungen und die Verhängung erheblicher Strafen zwingt NIS2 Tausende von Organisationen in ganz Europa dazu, ihre Cybersicherheit neu zu bewerten. Für KMU besteht die Herausforderung darin, zu verstehen, ob und wie die Richtlinie auf ihr Unternehmen anwendbar ist.

Die Erweiterung des Geltungsbereichs: Wer ist abgedeckt?

Die ursprüngliche NIS-Richtlinie galt für eine enge Gruppe von Betreibern wesentlicher Dienste und Anbietern digitaler Dienste. NIS2 ersetzt dies durch eine viel breitere Klassifizierung: wesentliche Unternehmen und wichtige Unternehmen. Die Unterscheidung ist wichtig, weil sie die Intensität der Aufsicht und die Schwere der Sanktionen bestimmt.

Wesentliche Entitäten

Wesentliche Unternehmen unterliegen proaktiven, ex ante Aufsichtsmaßnahmen. Zu dieser Kategorie gehören Organisationen aus den folgenden Sektoren:

• Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
• Transport (Luft, Schiene, Wasser, Straße)
• Banken- und Finanzmarktinfrastruktur
• Gesundheit (Gesundheitsdienstleister, EU-Referenzlaboratorien, Arzneimittelherstellung)
• Trinkwasserversorgung und -verteilung
• Abwasserentsorgung
• Digitale Infrastruktur (IXPs, DNS-Anbieter, TLD-Registrierungen, Cloud Computing, Rechenzentren, CDNs)
• IKT-Dienstleistungsmanagement im B2B-Bereich (Anbieter von Managed Services, Anbieter von Managed Security Services)
• Öffentliche Verwaltung (Zentralregierung)
• Weltraum

Wichtige Entitäten

Wichtige Unternehmen unterliegen einer reaktiven, nachträglichen Aufsicht. Zu den Sektoren gehören:

• Post- und Kurierdienste
• Abfallwirtschaft
• Herstellung, Produktion und Vertrieb von Chemikalien
• Lebensmittelproduktion, -verarbeitung und -vertrieb
• Herstellung von medizinischen Geräten, Computern, Elektronik, Maschinen und Kraftfahrzeugen
• Digitale Anbieter (Online-Marktplätze, Suchmaschinen, Plattformen für soziale Netzwerke)
• Forschungseinrichtungen

Größe Schwellenwerte

Die NIS2 wendet eine Größenbeschränkung an. Im Allgemeinen gilt die Richtlinie für mittlere und größere Unternehmen: Organisationen mit 50 oder mehr Mitarbeitern ODER einem Jahresumsatz (oder einer Jahresbilanzsumme) von 10 Millionen Euro oder mehr. Bestimmte Einrichtungen fallen jedoch unabhängig von ihrer Größe in den Anwendungsbereich, darunter Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen und Einrichtungen, die der einzige Anbieter eines kritischen Dienstes in einem Mitgliedstaat sind.

KMU, die unter diesen Schwellenwerten liegen, sind in der Regel ausgenommen, es sei denn, sie sind in einem der speziell benannten Teilsektoren tätig. Allerdings kann jede Organisation in der Lieferkette einer wesentlichen oder wichtigen Einrichtung von ihren Kunden vertraglich dazu verpflichtet werden, die Sicherheitsanforderungen der NIS2-Lieferkette einzuhalten.

Die wichtigsten Verpflichtungen unter NIS2

1. Cybersecurity-Risikomanagement (Artikel 21)

Artikel 21 verlangt von wesentlichen und wichtigen Einrichtungen, dass sie geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit von Netz- und Informationssystemen zu bewältigen. Diese Maßnahmen müssen mindestens Folgendes umfassen:

• Richtlinien zur Risikoanalyse und Sicherheit von Informationssystemen
• Verfahren zur Behandlung von Vorfällen
• Business Continuity und Krisenmanagement (einschließlich Backup-Management und Disaster Recovery)
• Sicherheit in der Lieferkette, einschließlich Sicherheitsaspekte in Bezug auf Beziehungen zu direkten Lieferanten
• Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen
• Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
• Grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit
• Richtlinien für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung
• Sicherheit im Personalwesen, Zugangskontrollrichtlinien und Vermögensverwaltung
• Verwendung von Multi-Faktor-Authentifizierung, gesicherter Kommunikation und gesicherter Notfallkommunikation

2. Meldung von Vorfällen (Artikel 23 und 30)

Die NIS2 führt eine mehrstufige Meldepflicht für Zwischenfälle ein, die wesentlich strenger ist als die ursprüngliche Richtlinie:

1. Frühwarnung: Benachrichtigen Sie innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls die zuständige Behörde oder das CSIRT. In der Frühwarnung muss angegeben werden, ob der Verdacht besteht, dass der Vorfall durch unrechtmäßige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte.
2. Benachrichtigung über den Vorfall: Liefern Sie innerhalb von 72 Stunden eine erste Einschätzung, einschließlich des Schweregrads und der Auswirkungen sowie Indikatoren für eine Gefährdung, sofern verfügbar.
3. Abschlussbericht: Legen Sie innerhalb eines Monats eine detaillierte Beschreibung des Vorfalls, der Ursache, der angewandten Abhilfemaßnahmen und gegebenenfalls der grenzüberschreitenden Auswirkungen vor.

Ein bedeutender Vorfall ist definiert als ein Vorfall, der zu einer schweren Betriebsstörung oder einem finanziellen Verlust geführt hat oder führen kann, oder der andere natürliche oder juristische Personen beeinträchtigt hat oder beeinträchtigen kann, indem er einen erheblichen materiellen oder immateriellen Schaden verursacht.

3. Sicherheit der Lieferkette

Artikel 21(2)(d) verlangt ausdrücklich, dass Unternehmen die Sicherheit der Lieferkette berücksichtigen. Das bedeutet, dass Sie die Cybersicherheitspraktiken Ihrer direkten Lieferanten und Dienstleister bewerten, Sicherheitsanforderungen in die Beschaffungsverträge aufnehmen und die Risiken Dritter laufend überwachen müssen. Für viele KMU wird diese Verpflichtung indirekt durch vertragliche Anforderungen größerer Kunden entstehen, die selbst NIS2-regulierte Unternehmen sind.

4. Rechenschaftspflicht des Leitungsorgans (Artikel 20)

Die NIS2 legt die direkte Verantwortung für die Genehmigung und Überwachung der Umsetzung von Maßnahmen zum Management von Cybersicherheitsrisiken auf das Leitungsorgan (Vorstand, Geschäftsleitung). Die Mitglieder des Leitungsorgans müssen eine Cybersicherheitsschulung absolvieren und können bei Verstößen persönlich haftbar gemacht werden. Dies ist eine erhebliche Abweichung von der ursprünglichen NIS-Richtlinie und gleicht die Cybersicherheits-Governance an das Niveau der Rechenschaftspflicht in der Finanzregulierung an.

Nationale Umsetzung und Durchsetzung

Die Mitgliedstaaten waren verpflichtet, die NIS2 bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Bis Anfang 2026 hat die Mehrheit der Mitgliedstaaten die Umsetzung abgeschlossen, obwohl die Zeitpläne für die Umsetzung und die spezifischen Anforderungen variieren. Organisationen sollten die nationalen Umsetzungen in jedem Mitgliedstaat, in dem sie tätig sind, konsultieren, da die Anforderungen über das Minimum der NIS2 hinausgehen können.

Strafen

Die Strafen im Rahmen der NIS2 sind beträchtlich und unterscheiden sich nach Art des Unternehmens:

• Wesentliche Unternehmen: Bußgelder in Höhe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Wichtige Unternehmen: Geldbußen von bis zu 7 Mio. EUR oder 1,4 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Die Aufsichtsbehörden können auch nicht-monetäre Abhilfemaßnahmen verhängen, darunter verbindliche Anweisungen, Anordnungen zur Umsetzung von Prüfungsempfehlungen, Anordnungen zur Anpassung von Sicherheitsmaßnahmen und die vorübergehende Aussetzung von Zertifizierungen oder Genehmigungen.

Praktische Schritte für KMU

Wenn Ihr Unternehmen in den Anwendungsbereich der NIS2 fällt oder wenn Sie in der Lieferkette eines regulierten Unternehmens tätig sind, bieten die folgenden Schritte einen pragmatischen Ausgangspunkt:

1. Bewertung des Geltungsbereichs: Bestimmen Sie, ob Ihre Organisation ein wesentliches Unternehmen, ein wichtiges Unternehmen oder außerhalb des Geltungsbereichs ist. Berücksichtigen Sie sowohl die Sektorklassifizierung als auch die Größenschwellen.
2. Lückenanalyse: Vergleichen Sie Ihre aktuellen Cybersicherheitsmaßnahmen mit den Anforderungen von Artikel 21. Identifizieren Sie Bereiche, in denen Ihre bestehenden Kontrollen unzureichend sind.
3. Vorbereitung auf einen Vorfall: Erstellen oder verbessern Sie Ihren Plan für die Reaktion auf Vorfälle, um die Fristen für die 24-, 72-Stunden- und einmonatige Berichterstattung einzuhalten.
4. Überprüfung der Lieferkette: Bewerten Sie die Cybersicherheitslage Ihrer kritischen Lieferanten und nehmen Sie Sicherheitsanforderungen in die Beschaffungsverträge auf.
5. Engagement des Managements: Informieren Sie Ihren Vorstand oder die Geschäftsleitung über ihre NIS2-Verantwortlichkeiten und organisieren Sie Schulungen zur Cybersicherheit.
6. Dokumentation: Führen Sie Nachweise über alle Cybersicherheitsmaßnahmen, Risikobewertungen und Berichte über Vorfälle. Die Einhaltung von NIS2 ist eine nachweisbare Einhaltung.

Die NIS2-Richtlinie ist kein fernes regulatorisches Anliegen. Tausende von europäischen Unternehmen müssen sie aktiv einhalten. KMUs, die jetzt handeln, um ihre Verpflichtungen zu verstehen und ihre Cybersicherheitslücken zu schließen, werden deutlich besser positioniert sein als diejenigen, die auf Durchsetzungsmaßnahmen warten, die sie dazu zwingen.