Skip to content
NIS2 richtlinie
31.07.24 12:16Lesedauer: 3 Min

NIS2-Richtlinie: Mehr Transparenz in der IT-Sicherheit?

 

Die Umsetzungsfrist der NIS2-Richtlinie endet im Oktober 2024, ein entsprechendes Gesetz befindet sich aktuell noch in der Ausarbeitung. Jetzt ist also der beste Zeitpunkt, um auf die NIS-Richtlinie aus dem Jahr 2016 zurückzuschauen und einen Blick auf die nun umzusetzende NIS2-Richtlinie als Weiterentwicklung zu richten.
 

NIS-Richtlinie aus 2016
Die NIS-Richtlinie ist die „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Ziel war es, die Cybersicherheit in der EU und damit auch in Deutschland zu verbessern, insbesondere im Bereich der kritischen Infrastruktur. Dies sind Einrichtungen mit erheblicher Bedeutung für das Allgemeinwohl, durch deren Ausfall enorme Schäden drohen können und insbesondere auch die öffentliche Sicherheit gefährdet sein kann. Als Beispiel sind hier die Sektoren Energie, Gesundheit und Telekommunikation zu nennen. Das grundlegende Ziel der NIS-Richtlinie bestand darin, einen EU-weiten, einheitlichen Standard für IT-Sicherheit zu schaffen.

Die NIS-Richtlinie wurde im Gesetz zur Umsetzung der NIS-Richtlinie durch den Gesetzgeber in nationales Recht umgesetzt, welche im Jahr 2017 verkündet wurde.

Warum NIS2?
Nach der Umsetzung zeigten sich in den Mitgliedsstaaten erhebliche Unterschiede in der Einteilung, ob ein Unternehmen als kritischer Dienstleister oder Betreiber einzuordnen sei. Dies führte dazu, dass die Anzahl der kritischen Dienstleister nach Mitgliedstaat zwischen 12 und 87 lag. Noch extremer war die Abweichung bei den Betreibern kritischer Dienste, bei denen sich die Zahl zwischen 20 und 10.897 bewegte. Um diese Unsicherheit zu beheben, wurde die NIS2 erlassen.

Wer ist von der NIS2 betroffen?
Die NIS2-Richtlinie enthält eine klare Einteilung, welche Unternehmen zu den kritischen Dienstleistern gehören und welche nicht. Damit geht eine enorme Ausdehnung des Geltungsbereichs einher. Die NIS2 unterscheidet nun zwischen „Wesentlichen Einrichtungen“ („essential entities“) und „Wichtigen Einrichtungen“ (emportant entities“). Dazu findet sich eine Aufzählung, welches Unternehmen wie einzuordnen ist, sodass die Anzahl abweichender Einordnungen in den Mitgliedstaaten deutlich reduziert werden soll. Beispielsweise sind Unternehmen aus den Sektoren Energie, Straßenverkehr, Wasser und Gesundheit den „Wesentlichen Einrichtungen“ zugeordnet, wohingegen Unternehmen aus den Sektoren Abfallwirtschaft, Lebensmittel und digitale Anbieter zu den „Wichtigen Einrichtungen“ zählen. Dies soll zu einer Vereinheitlichung der IT-Sicherheit in der gesamten Union führen.

NIS2 – Der Referentenentwurf steht
Ob dieses Ziel mit der NIS2 erreicht werden kann, wird sich in Zukunft zeigen. Ein Referentenentwurf ist bereits veröffentlicht. Dieser sieht insbesondere Änderungen des BSIG, des BNDG und weiteren Gesetzen vor, welche sich mit kritischen Infrastrukturen beschäftigen (beispielsweise EnWG und TKG).

In dem Referentenentwurf wird unter anderem der völkerrechtswidrige russische Angriffskrieg auf die Ukraine als Treiber herausgestellt, wodurch sich die IT-Sicherheitslage zugespitzt habe: Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette zählten damit zu den größten Bedrohungen. Ziel sei es, die Resilienz der deutschen Wirtschaft gegenüber den Gefahren der digitalen Welt zu erhöhen.

Der Referentenentwurf – Kritische Stimmen
Zu dem Referentenentwurf gibt es jedoch auch kritische Stimmen, die eine Nachbesserung fordern. Beispielsweise sieht die Bundesvereinigung Deutscher Apothekenverbände e.V. Nachbesserungsbedarf bei der Definition kritischer Komponenten in § 2 I Nr. 22 BSIG-E, damit Klarheit darüber herrsche, welche Komponenten als kritisch einzustufen sind. Dies hat wiederum Auswirkungen auf die Anwendbarkeit. Es findet sich somit ähnliche Kritik wie damals bei der NIS-Richtlinie, welche für Verbesserungsbedarf gesorgt hat. Auch der Bundesverband WindEnergie äußert Bedenken: Die Einordnung von Betreibergesellschaften, die Tochtergesellschaften großer Mutterunternehmen sind, sei unklar und nicht zielführend. Es würde die falschen Unternehmen verpflichten, obwohl dies nicht erforderlich sei.

Ausblick
Für den nationalen Gesetzgeber ist schlussfolgernd noch einiges zu tun, bis im Oktober die Umsetzungsfrist der Richtlinie ausläuft. Ein Anfang ist mit dem Referentenentwurf jedoch bereits gemacht, sodass die verbleibende Zeit für die geforderten Nachbesserungen genutzt werden kann. So kann spätestens im Oktober das neue Gesetz verkündet werden und in Kraft treten.

 

Für Eticor Kunden

Sind die neuen Pflichten für Ihr Unternehmen relevant, aktualisiert Ihr zuständiger Legal Expert zeitnah Ihr individuelles Rechtskataster und stellt Ihnen die neuen Aufgaben automatisch in Eticor zur Verfügung.

Ihre persönlichen Ansprechpartner

Sie haben Fragen zu unseren Beratungsleistungen oder unserer Compliance Management Software Eticor? Dann freuen wir uns über Ihre Nachricht oder Ihren Anruf.

hannah-kleen-rund
HANNAH KLEEN
Ass. jur.
Legal Compliance Expert
tim-bieber
TIM BIEBER

LL.M.
Legal Compliance Expert
t.bieber@eticor.com
+49 6022 2656 – 127