Die Europäische Union stärkt die Cyber Security ihrer Mitgliedstaaten. Die NIS-2-Richtlinie – NIS steht für Network and Information Security – wurde am 27.Dezember 2022 von der EU veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie löst die bisherige NIS-Richtlinie von 2016 ab.
Mit NIS-2 verändern sich die Anforderungen an die Informationssicherheit für die Unternehmen und Einrichtungen kritischer Infrastrukturen. Es sind jetzt deutlich mehr Unternehmen von der Richtlinie betroffen und der Rahmen für Strafzahlungen wurde signifikant angehoben - auf das Niveau der europäischen Datenschutz-Regulierung EU-DSGVO. Bußgelder belaufen sich auf bis zu 10 Millionen Euro beziehungsweise 2 Prozent des globalen Jahresumsatzes.
NIS-2: Liste mit besonders kritischen Sektoren veröffentlicht
Mit NIS-2 unternimmt die EU einen weiteren Anlauf, die Cybersicherheit in der EU auf ein höheres Niveau zu bringen. Während Deutschland bereits 2015 – und damit vor der ersten NIS-Richtline - mit dem IT-Sicherheitsgesetz nationale Anforderungen für kritische Infrastrukturen formuliert hat, ist die Umsetzung in anderen Mitgliedsstaaten langsamer vorangegangen. Diese Divergenzen will die EU in der weiteren Umsetzung vermeiden. Insbesondere der Anwendungsbereich wird dafür deutlich konkreter definiert.
Es wird erstmalig zwischen Entitäten der Kategorien „essential“ (wesentlich) und „important“ (wichtig) unterschieden, an die in der Folge teilweise unterschiedliche Anforderungen gestellt werden. Die Unterscheidung ergibt sich vor allem durch neu definierte Schwellwerte – Details regelt Art. 3 der Richtlinie.
In Anhang 1 werden die betroffenen Sektoren aufgelistet. Zu den Sektoren mit hoher Kritikalität zählen unter anderem Energie, Verkehr, Banken, Finanzmarktinfrastrukturen und digitale Infrastrukturen. Auch die öffentliche Verwaltung wird hier explizit genannt. In der Kategorie der sonstigen kritischen Sektoren finden sich etwa Post- und Kurierdienste, Anbieter digitaler Dienste, aber auch Hersteller von Medizinprodukten, Maschinen- und Fahrzeugbau. Der Anwendungsbereich von NIS-2 wird folglich Änderungen im Vergleich zu den in Deutschland bekannten KRITIS-Sektoren und dem IT-Sicherheitsgesetz bringen.
Ab Herbst 2024 gilt NIS-2 in Deutschland
NIS-2 ist nun von den nationalen Gesetzgebern bis zum 17. Oktober 2024 in nationales Recht zu überführen und gilt ab dem 18. Oktober 2024. In Deutschland ist damit zu rechnen, dass das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnungen überarbeitet wird. Erwartet wird ein erster Gesetzentwurf für ein KRITIS-Dachgesetz und das IT-Sicherheitsgesetz schon vor der parlamentarischen Sommerpause 2023.
Unternehmen sollten bereits jetzt handeln und auf Basis der vorliegenden Richtlinie die Betroffenheit und eventuelle Umsetzungslücken bewerten. KPMG unterstützt bei der Betroffenheitsanalyse sowie der Planung und Umsetzung der NIS-2 Anforderungen.
Dr. Michael Falk
Partner, Consulting, Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Wilhelm Dolle
Partner, Consulting, Head of Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft