Durch den rasanten technologischen Fortschritt und den stetig wachsenden Bedrohungen durch Cyberangriffe wurde die bereits seit 2016 bestehende NIS-1-Richtlinie (Network and Information Security) novelliert und eine neue NIS-2-Richtlinie auf EU-Ebene verabschiedet. Die neue Richtlinie dient dazu, die Cybersicherheit zu verbessern und soll durch einheitliche Regelungen die Zusammenarbeit der Behörden innerhalb der EU erleichtern.
Die NIS-2-Richtlinie trat zwar bereits Anfang 2023 in Kraft. Die Mitgliedstaaten haben aber noch bis 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu überführen. Die österreichischen Behörden haben bereits reagiert und Anfang April 2024 einen offiziellen Begutachtungsentwurf für das NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) veröffentlicht, mit dem die Richtlinie in Österreich umgesetzt werden soll.
Anwendungsbereich. Die NIS-2-Richtlinie soll die bestehenden regulatorischen Defizite, die beispielsweise durch die uneinheitliche Umsetzung der ursprünglichen NIS-1-Richtlinie entstanden sind, durch eine verbesserte Harmonisierung beseitigen. Deshalb wird der Anwendungsbereich der NIS-2-Richtlinie nunmehr eigenständig geregelt. Es sind danach alle mittleren und großen Unternehmen in „wichtigen“ und „wesentlichen“ Sektoren betroffen. „Wesentliche“ Einrichtungen sind in äußerst kritischen Sektoren wie beispielsweise Energie, Verkehr, Banken, Wasser, etc, tätig. „Wichtige“ Unternehmen operieren in anderen kritischen Sektoren wie der Lebensmittel- oder Chemieproduktion bzw Vertrieb dergleichen, sowie anderen Produktions- und Digitaldienstleistungen. Die Einstufung einer Einrichtung als mittleres oder großes Unternehmen richtet sich – ähnlich der Größenkategorien für Rechnungslegungszwecke (§ 221 UGB) – nach der Anzahl der Mitarbeiter, dem Jahresumsatz oder der Jahresbilanzsumme. Darüber hinaus findet die NIS-2-Richtlinie auf besonders kritische Dienste – wie beispielsweise Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Identifizierungen – unabhängig von Unternehmensgröße und Schwellenwert Anwendung.
Risikomanagementmaßnahmen. Die NIS-2-Richtlinie stellt – im Gegensatz zu den derzeit noch geltenden Regelungen der NIS-1-Richtlinie – strengere Anforderungen an die betroffenen Unternehmen und Organisationen. Diese müssen nun ein umfassendes Risikomanagement betreiben, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dies beinhaltet die Verpflichtung zur Durchführung regelmäßiger Sicherheitsbewertungen, die Implementierung angemessener technischer und organisatorischer Maßnahmen sowie die Sicherstellung eines effektiven Vorfallsmanagements.
Ein weiteres zentrales Element der NIS-2-Richtlinie ist die Berichtspflicht bei schwerwiegenden Sicherheitsvorfällen. Darunter ist gemäß dem Begutachtungsentwurf für das NISG 2024 jeder Vorfall zu subsumieren, der erhebliche Betriebsstörungen, signifikante finanzielle Verluste oder beträchtliche Schäden bei anderen Personen verursachen könnte. Unternehmen müssen derartige Vorfälle innerhalb von 24 Stunden an die zuständigen nationalen Behörden melden. Innerhalb von 72 Stunden nach der ersten Meldung ist eine Bewertung des Vorfalls erforderlich und spätestens nach einem Monat ist ein Abschlussbericht an die zuständige Behörde zu übermitteln. Dies soll eine schnellere Reaktion und Zusammenarbeit auf nationaler und europäischer Ebene ermöglichen, um die Auswirkungen von Cyberangriffen zu minimieren.
Mit der Einführung der NIS-2-Richtlinie wird die Cybersicherheit außerdem zu einer strategischen Führungsaufgabe. Leitungsorgane haben die Einhaltung der in der NIS-2-Richtlinie geforderten Maßnahmen für das Risikomanagement sicherzustellen und zu beaufsichtigen und müssen an spezifisch für sie gestalteten Cybersicherheitsschulungen teilnehmen. Hierbei besteht eine entsprechende Dokumentationspflicht.
Sanktionierung und Haftung. Die NIS-2-Richtlinie legt für Verstöße gegen die Vorgaben keine konkreten Sanktionsmaßnahmen fest, sondern es obliegt den Mitgliedstaaten, diese wirksam, verhältnismäßig und abschreckend durch nationale Bestimmungen festzulegen. Im Begutachtungsentwurf für das NISG 2024 sind solche Sanktionen bereits vorgesehen, wobei wiederum zwischen „wichtigen“ und „wesentlichen“ Einrichtungen unterschieden wird. „Wesentliche Einrichtungen“ können mit einem Höchstbetrag von MEUR 10,0 oder 2,0 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes (je nachdem, welcher Betrag höher ist) bestraft werden. Für „wichtige Einrichtungen“ liegt der Höchstbetrag bei MEUR 7,0 oder bei 1,4 % des weltweiten Umsatzes.
Auch die Haftung von Führungskräften im Bereich der Cybersicherheit wird erheblich verschärft. Leitungsorgane tragen eine wesentliche Verantwortung für die Einhaltung der neuen Anforderungen. Diese Anforderungen umfassen ua regelmäßige Schulungen (auch für Mitarbeiter), sowie die Implementierung und Überwachung von Sicherheitsstrategien. Sollten Sicherheitsvorfälle auftreten und es sich herausstellen, dass die Führungskräfte nicht die erforderlichen Maßnahmen ergriffen haben, könnten sie persönlich haftbar gemacht werden, wobei die Ausgestaltung dieser Haftung wiederum den Mitgliedsstaaten obliegt.
Fazit. Die NIS-2-Richtlinie markiert einen wesentlichen Schritt zur Stärkung der Cybersicherheit in der EU. Sie setzt Mindeststandards für den Schutz von Netzwerken und Informationssystemen und fördert die Zusammenarbeit zwischen den Mitgliedstaaten. Für die Geschäftsleitung der betroffenen Unternehmen bedeutet dies, dass sie nach Umsetzung der Richtlinie in nationales Recht verstärkt Verantwortung für die Einhaltung der neuen Anforderungen übernehmen müssen, regelmäßige Schulungen absolvieren und sicherstellen, dass umfassende Risikomanagement- und Sicherheitsstrategien implementiert und überwacht werden. Eine schuldhafte Verletzung dieser Verpflichtungen kann zu einer persönlichen Haftung der Leitungsorganen führen.
Es bleibt abzuwarten, wie das parlamentarische Gesetzgebungsverfahren konkret ausgehen wird und in welchem Umfang die Anforderungen der NIS-2-Richtlinie in nationales Recht überführt werden. Angesichts der hohen Bußgeldrahmen empfiehlt es sich für Unternehmen frühzeitig zu prüfen, ob sie vom Anwendungsbereich der Richtlinie umfasst sind und sich gegebenenfalls mit deren Bestimmungen vertraut zu machen.