NIS 2.0 Direktive - Update des IT-SiG 2.0

Die Um­set­zung in den Mit­glieds­staa­ten er­wies sich ins­ge­samt als schwie­rig, was dazu führte, dass die EU-Kom­mis­sion sich ver­an­lasst sah, Ende 2020 eine Über­ar­bei­tung der NIS-Richt­li­nie im Ent­wurf vor­zu­neh­men, um durch die fort­schrei­tende Di­gi­ta­li­sie­rung und die da­mit in Zu­sam­men­hang ste­hende wach­sende Be­dro­hungs­lage für kri­ti­sche In­fra­struk­tu­ren so­wie die Zu­nahme von Cy­ber­an­grif­fen zu rea­gie­ren. Die vor­ge­schla­gene Aus­wei­tung des Gel­tungs­be­reichs der NIS 2.0, die mehr Ein­rich­tun­gen und Sek­to­ren dazu ver­pflich­tet, Maßnah­men zur Ab­si­che­rung zu er­grei­fen, würde dazu bei­tra­gen, das Ni­veau der Cy­ber­si­cher­heit in Eu­ropa lang­fris­tig zu erhöhen. Am 10.11.2022 hat das EU-Par­la­ment dem Ent­wurf der NIS 2.0 Richt­li­nie zu­ge­stimmt (T9-0383/2022).

Änderungen in NIS 2.0

Ände­run­gen bzw. Neue­run­gen der NIS 2.0 sind u. a.:

• Er­wei­te­rung der KRI­TIS-Sek­to­ren und der be­trof­fe­nen Un­ter­neh­men (Art.2 und 3)
  • Sehr starke Erhöhung der An­zahl der be­trof­fe­nen Un­ter­neh­men - Schwel­len­werte durf­ten in der Ver­gan­gen­heit durch die Mit­glied­staa­ten fest­ge­legt wer­den, was in Deutsch­land durch die ho­hen Schwel­len­werte (ab­ge­lei­tet aus der An­zahl ver­sorg­ter Per­so­nen) je nach Sek­tor und An­la­gen­art rea­li­siert wurde. Künf­tig wer­den die Schwel­len­werte un­ter­neh­mensgrößen­be­zo­gen durch die NIS Di­rek­tive vor­ge­ge­ben, was künf­tig mitt­lere und große Un­ter­neh­men be­tref­fen wird. In­wie­weit bei na­tio­na­ler Um­set­zung der Richt­li­nie bei der De­fi­ni­tion der Un­ter­neh­men, die schluss­end­lich in den An­wen­dungs­be­reich der NIS 2 Richt­li­nie na­tio­nal fal­len, Er­leich­te­rung durch die Berück­sich­ti­gung der Verhält­nismäßig­keit, des höher­wer­ti­gen Ri­si­ko­ma­nage­ments und ein­deu­ti­ger Kri­ti­ka­litäts­kri­te­rien Ein­fluss fin­den, bleibt ab­zu­war­ten. Die Größenord­nung der NIS stellt sich der­zeit wie folgt dar:
    • Mitt­lere Un­ter­neh­men: 50 bis 250 Be­schäftigte, 10 bis 50 Mio. Euro Um­satz, ‹ 43 Mio. Euro Bi­lanz­summe
    • Große Un­ter­neh­men: mehr als 250 Be­schäftigte, mehr als 50 Mio. Euro Um­satz, mehr als 43 Mio. Euro Bi­lanz­summe
  • Erhöhung der An­zahl an Sek­to­ren von Be­trei­bern (sog. En­ti­ties) auf ins­ge­samt 18. Hier­bei ist zu dif­fe­ren­zie­ren zwi­schen elf „es­sen­ti­ell“ (we­sent­li­chen) so­wie sie­ben „im­port­ant“ (wich­ti­gen) Sek­to­ren.
  • Die NIS 2.0 er­wei­tert die KRI­TIS-Be­trei­ber eben­falls um den Sek­tor „Öff­ent­li­che Ver­wal­tung“ (Re­gio­nale Re­gie­rung, Zen­tral­re­gie­rung, Re­gio­nale Re­gie­rung (kri­ti­sch)) so­wie wei­tere In­dus­trie­zweige. Darüber hin­aus sind Teil­sek­to­ren in der NIS-Richt­li­nie neu mit auf­ge­nom­men wor­den, bspw. im Be­reich En­er­gie Was­ser­stoff so­wie Fernwärme und -kälte.
  • Aus­gewählte Sek­to­ren (u. a. „Di­gi­tale In­fra­struk­tur“) sol­len un­abhängig ih­rer Größe re­gu­liert wer­den.
• Maßnah­men zur Op­ti­mie­rung der Cy­ber-Se­cu­rity
  • Die Richt­li­nie gibt erst­mals Min­dest­an­for­de­run­gen an Cy­ber-Se­cu­rity vor (Art.20).
  • De­fi­ni­tion von 14 Cy­ber Se­cu­rity Maßnah­men, wel­che Be­trei­ber in der EU um­set­zen müssen, u. a. Supply Chain/Lie­fer­ket­ten­ma­nage­ment, Busi­ness Con­ti­nuity, Au­then­ti­fi­ca­tion Ma­nage­ment, Kryp­to­gra­phie (Art.21).
  • Kri­ti­sche Be­trei­ber von di­gi­ta­len Diens­ten und In­fra­struk­tu­ren müssen sich bei der ENISA re­gis­trie­ren (Art.25).
• Je­der Mit­glieds­staat muss An­bie­ter von es­sen­ti­ell und im­port­ant En­ti­ties an die EU-Kom­mis­sion mel­den (Art, 3).
• Erhöhung der Sank­tio­nen (Ma­xi­mal­stra­fen in Höhe von 10 MIo. Euro oder 2 Pro­mille des welt­wei­ten Um­sat­zes bei Es­sen­tial Sek­to­ren und 7 Mio. Euro oder 1,4 Pro­mille des welt­wei­ten Um­sat­zes bei im­port­ant Sek­to­ren.

Ausblick

Das IT-SiG 2.0 nahm ei­nige An­pas­sun­gen, wie bspw. die Mel­dung von Cy­ber­si­cher­heits­vorfällen in­ner­halb ei­nes de­fi­nier­ten Zeit­raums, die Auf­nahme wei­te­rer Sek­to­ren so­wie erhöhte Cy­ber-Se­cu­rity An­for­de­run­gen, aus der NIS 2.0 be­reits auf. Al­ler­dings sind die An­for­de­run­gen noch nicht vollständig um­ge­setzt - bspw. spe­zi­fi­sche fest­ge­legte Maßnah­men im Be­reich Lie­fer­ket­ten­man­ge­ment oder die De­fi­ni­tion der Be­trof­fen­heit von großen und mitt­le­ren Un­ter­neh­men. Bei der Um­set­zung in na­tio­na­les Recht sind ei­nige Vor­ga­ben zu berück­sich­ti­gen - wie bspw. die Dif­fe­ren­zie­rung zwi­schen den es­sen­ti­ell und im­port­ant En­ti­ties, was es so in dem IT-SiG. 2.0 bis­her nicht gab.

Nach Zu­stim­mung zur NIS 2.0 Richt­li­nie ist das In­kraft­tre­ten der Richt­li­nie, was be­reits kurz­fris­tig er­fol­gen wird, noch aus­ste­hend. Ab die­sem Zeit­punkt be­steht dann eine ver­pflich­tende Überführung in na­tio­na­les Recht in­ner­halb von 21 Mo­na­ten.