Ende 2022 wurde die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) im Amtsblatt der Europäischen Union veröffentlicht und sie ist dann im Januar 2023 in Kraft getreten. Die NIS-2-Richtlinie hat das Ziel, ein europaweites Cybersicherheits-Niveau für gesellschaftlich bedeutende Bereiche, wie z.B. dem Gesundheits- oder den Energiesektor, zu schaffen und sie ist bis zum 17.10.2024 von den Mitgliedsstaaten der EU in das jeweilige nationale Recht umzusetzen.
Hierzu wird es in Deutschland anstatt eines IT-SicherheitsG 3.0 das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ geben. Wie schon beim IT-SicherheitsG handelt es sich beim NIS2UmsuCG um ein Artikelgesetz, das bereits bestehende Gesetze entsprechend der NIS2-Richtlinie verändert, insbesondere das BSiG.
Ein Entwurf des NIS2UmsuCG liegt bereits vor. Wie in der Richtlinie bereits vorgegeben, werden tausende Unternehmen in den Anwendungsbereich des Gesetzes fallen, sofern sie – vereinfach gesagt - in einem der 18 genannten Sektoren tätig sind und eine Größe von mehr als 50 bzw. 250 Mitarbeitern haben oder einen Umsatz von mehr als 10 Millionen Euro jährlich erwirtschaften.
Kurz gesagt: alle Unternehmen, die entweder eine kritische Anlage betreiben oder in einem der Sektoren der Anlage 1 und 2 tätig sind und eine gewisse Größe bzw. einen bestimmten Umsatz haben.
Grob kann man drei Bereiche unterscheiden:
Betreiber kritischer Anlagen sind in aller Regel solche, die eine KRITIS-Anlage über einen bestimmten Schwellenwert betreiben. Das bedeutet: versorgt eine Anlage in der Regel über 500.000 Personen, ist sie eine KRITIS-Anlage. Obwohl wir die entsprechende Rechtsverordnung dazu noch nicht kennen, dürften ganz grob gesagt, alle Unternehmen, die bisher KRITS waren, auch KRITIS bleiben - und wahrscheinlich noch ein paar mehr.
Einrichtungen, die 250 Mitarbeiter oder mehr haben oder mindestens 50 Millionen Euro Umsatz haben und eine Bilanz von mindestens 43 Millionen Euro müssen prüfen, ob sie in einem Sektor der Anlage 1 tätig sind. Falls ja, sind sie besonders wichtige Einrichtungen.
Es gibt hier Ausnahmefälle, die Unabhängig von der Größe in jedem Fall als besonders wichtige Einrichtung gelten, wie TK-Anbieter oder die oben genannten kritische Anlagen.
Einrichtungen, die 50 oder mehr Mitarbeiter haben oder 10 Millionen Euro Umsatz und eine Bilanz ab 10 Millionen Euro müssen prüfen, ob sie in einem Sektor der Anlage 1 oder 2 tätig sind. Falls ja, sind sie sonstige wichtige Einrichtungen.
Die NIS-2-Richtlinie muss von den Mitgliedsstaaten bis spätestens Oktober 2024 in nationales Recht umgesetzt werden. Diese EU-weite Regelung verpflichtet Unternehmen und Institutionen, ihre Cyber- und Informationssicherheitsmaßnahmen zu verbessern. Ob Deutschland das entsprechende Gesetz bis Herbst verabschiedet haben wird, ist noch nicht sicher. Klar ist jedoch, dass eine Erhöhung des IT-Sicherheitsniveaus unvermeidbar ist, insbesondere für kleine und mittlere Unternehmen (KMU). Die personellen, finanziellen und strukturellen Herausforderungen sind groß, nicht zuletzt wegen der tatsächlichen Bedrohungslage.
Das BSI stellt klar: Der wichtigste Schritt ist, anzufangen.
Unternehmen können sich dann im Austausch mit anderen Firmen und dem BSI weiterentwickeln. Das BSI bietet eine Vielzahl von Methoden, Empfehlungen und Standards für mehr Cyberresilienz in der Wirtschaft sowie zahlreiche Möglichkeiten zum Austausch und zur Kooperation.
Aus dem BSI-Magazin 2024/01:
Das NIS2UmsuCG wird erheblich zur Erhöhung des Cybersicherheitsniveaus in Deutschland beitragen. Unternehmen und Institutionen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um ihre IT und Prozesse zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen zu minimieren.
Dazu gehören
Cybersicherheit ist nicht nur Voraussetzung für eine erfolgreiche Digitalisierung, sondern auch entscheidend für das Zusammenleben, die wirtschaftliche Stärke und digitale Souveränität. Die Umsetzung der NIS-2-Richtlinie stellt einen bedeutenden EU-weiten Regulierungsrahmen dar und ist ein wichtiger Beitrag zur Cybernation Deutschland. Ein einheitlich hohes Cybersicherheitsniveau ist unerlässlich, um den wachsenden Herausforderungen in der IT-Sicherheit zu begegnen.
Nützliche Angebote des BSI (BSI-Magazin 2024/01, S. 12-13).
Vom BSI wird ein "NIS-2-Checker" entwickelt, der Unternehmen ermöglicht, schnell zu überprüfen, ob sie von der NIS-2-Richtlinie betroffen sind und welche Pflichten sich daraus ergeben. (BSI-Magazin 2024/01, S. 10-11)
Hinsichtlich Tochter- oder Schwesterunternehmen gilt § 28 Abs. 3 des geplanten BSI-Gesetzes. Dort steht: Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden.
In Art. 3 steht, dass jedes Unternehmen als ein eigenständiges Unternehmen gilt, das nicht als Partnerunternehmen im Sinne von Absatz 2 oder als verbundenes Unternehmen im Sinne von Absatz 3 gilt. Übersetzt bedeutet das: jedes Unternehmen wird erstmal für sich allein bewertet, außer, es liegen Partnerunternehmen oder verbundene Unternehmen vor.
Partnerunternehmen sind alle Unternehmen, die nicht als verbundene Unternehmen im Sinne des Absatz 3 gelten, und zwischen denen folgende Beziehung besteht: Ein Unternehmen hält allein oder gemeinsam mit einem oder mehreren verbundenen Unternehmen (i.S.d. Abs. 3), 25 Prozent oder mehr des Kapitals oder der Stimmenrechte eines anderen Unternehmens.
Das heißt: ein Unternehmen, das an einem anderen Unternehmen zwischen 25 und 50% der Gesellschaftsanteile hält (oder auch nur die Stimmrechte), ist ein Partnerunternehmen und wird hinsichtlich Umsatz- und Mitarbeiterzahl dem Erstunternehmen hinzugezählt.
Gleiches gilt für verbundene Unternehmen:
Verbundene Unternehmen sind Unternehmen, die zueinander in der folgenden Beziehung stehen: Ein Unternehmen hält die Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter eines anderen Unternehmens, das Unternehmen ist berechtigt, die Mehrheit der Mitglieder des Verwaltungsgremiums eines anderen Unternehmens zu bestellen oder abzuberufen, ein Unternehmen ist berechtigt einen beherrschenden Einfluss auf ein anderes Unternehmen auszuüben, oder ein Unternehmen, das Aktionär oder Gesellschaften eines anderen Unternehmens ist, übt die Mehrheit der Stimmrechte aus.
Das heißt, v.a., dass ein Unternehmen, das an einem anderen Unternehmen zwischen 51 und 100% der Gesellschaftsanteile hält (oder auch nur die Stimmrechte), ist ein verbundenes Unternehmen und wird hinsichtlich Umsatz- und Mitarbeiterzahl dem Erstunternehmen hinzugezählt.
Eine Firmenaufspaltung um den Verpflichtungen aus NIS2 zu entkommen wird sich nicht lohnen, weil die Unternehmen zusammengezählt werden.
In diesem Online-Seminar bekommen Sie einen kompakten Überblick über die aktuell geltenden gesetzlichen Verpflichtungen von Unternehmen zur IT-Sicherheit, einschließlich aller aktuellen Neuerungen rund um die NIS2-Richtlinie bzw. das bereits als Entwurf vorliegende NIS2UmsuCG.
Die Inhalte sind so aufbereitet, dass Sie danach sofort anfangen können, die gesetzlichen Vorgaben umzusetzen.
Stand: Mai 2024
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung