Die NIS-2-Richtlinie, auch bekannt als die "Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" (NIS-2-Richtlinie), ist ein entscheidendes Instrument der Europäischen Union zur Stärkung der Informationssicherheit. Sie zielt darauf ab, die Widerstandsfähigkeit kritischer Infrastrukturen und wesentlicher Dienstleistungen gegenüber Cyberbedrohungen für die ganze EU zu verbessern.
So legt die ab Oktober 2024 geltende NIS-2-Richtlinie rechtliche Verpflichtungen für Betriebe aus 18 Sektoren fest, um angemessene Sicherheitsmaßnahmen zu implementieren und Sicherheitsvorfälle zu melden. Hohe Bußgelder und persönliche Haftung für die Geschäftsleitung sollen zur Umsetzung „motivieren“. Es ist daher wichtig für Unternehmen, ihre Verpflichtungen nach der NIS-2-Richtlinie zu verstehen und zu bestimmen, ob sie als Betreiber wesentlicher Dienstleistungen oder digitale Dienstanbieter gelten oder in eine andere Gruppe fallen.
Für betroffene Unternehmen bedeutet dies danach in der Praxis, je nach Sektor angemessene Maßnahmen zur Gewährleistung der Sicherheit ihrer Netz- und Informationssysteme zu ergreifen. Dies umfasst die Einhaltung von Datenschutzbestimmungen der DSGVO, aber unter anderem die Einführung von Sicherheitsmaßnahmen wie Zugangskontrollen, Verschlüsselung, Risikobewertungen und Krisenmanagementplänen. Darüber hinaus müssen Unternehmen sicherstellen, dass sie Sicherheitsvorfälle innerhalb einer bestimmten Frist den nationalen Behörden melden.
Die Umsetzung und der Nachweis der Konformität – als Bezugsahmen für die Umsetzung ist die ISO/IEC 27000er-Reihe der internationalen Normen zugelassen - liegt in der Verantwortung der Unternehmen und in den Händen von internen bzw. externen Sicherheitsexperten.
Die rechtliche Frage, ob ein Unternehmen unter die NIS-2-Richtlinie fällt und in einen konkreten Sektor zuzuordnen ist, sollte von Juristen geklärt werden und ist von entscheidender Bedeutung, da die Richtlinie spezifische Anforderungen je nach Sektor stellt. Und die Definition dessen, was ein "Betreiber wesentlicher Dienstleistungen" ist, variiert je nach Mitgliedstaat der Europäischen Union und wird in nationalem Recht festgelegt.
Bisher nicht regulierte Unternehmen sollten sich daher über ihren Hausjuristen oder über externe Fachanwälte mit den nationalen Behörden und den einschlägigen Rechtsvorschriften ihres Landes vertraut machen, um festzustellen, ob sie unter die NIS-2-Richtlinie fallen und welche spezifischen Anforderungen für sie gelten, um Rechtsunsicherheit und ggf. Bußgelder oder persönliche Risiken für die Geschäftsleitung zu vermeiden.
Das mag jetzt für viele mit Blick auf die noch nicht erfolgte nationale Verabschiedung des Umsetzungsgesetzes („NIS2UMsuCG“) und den Oktober noch in weiter Ferne liegen, allerdings sollte die Dauer für die Umsetzung der Maßnahmen nicht unterschätzt werden. Und letztlich bringt die frühere Umsetzung früher ein „Mehr“ an Sicherheit.
Die NIS-2 ist also weder eine reine Umsetzungs- oder Rechtsfrage, sondern im Rahmen der NIS-2 zeigt sich, dass die Zusammenarbeit zwischen Experten für Cybersicherheit und Juristen wichtig ist, um alle Aspekte zu berücksichtigen.
Gastbeitrag von Darius Dubiel, RA