Die neue NIS-2-Richtlinie umfasst mittlerweile weit mehr Branchen als zuvor und kann auch scheinbar unkritische Betriebe relevant werden lassen. In unserem zweiten Blogartikel der NIS-2-Serie zeigen wir, warum sich der Geltungsbereich für IT-Sicherheitsanforderungen so stark erweitert hat, welche Unternehmen nun betroffen sein können und wie sich „wesentliche“ von „wichtigen“ Einrichtungen unterscheiden.
Einleitung
Mit der NIS-2-Richtlinie zieht die EU die Daumenschrauben bei der Cybersicherheit weiter an. In Artikel 1 unserer Serie haben wir den Hintergrund und die politischen Zusammenhänge beleuchtet. Nun geht es ganz konkret darum, welche Sektoren und Unternehmen von den neuen Vorgaben erfasst werden – und welche davon möglicherweise noch nichts ahnen. Besonders spannend: NIS-2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen, was nicht nur juristische Finesse ist, sondern echte Konsequenzen für Meldepflichten und Aufsicht haben kann.
Rückblick – Was war zuvor?
Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 umfasste vor allem Betreiber wesentlicher Dienste. Das waren in erster Linie:
Energieversorgung (Strom, Gas, Öl)
Wasser- und Abwasserversorgung
Banken und Finanzmarktinfrastrukturen
Verkehr und Transport
Digitale Infrastruktur (z. B. große Rechenzentren, DNS-Anbieter)
Gesundheitswesen (Krankenhäuser und größere Kliniken)
Hinzu kamen bestimmte digitale Dienste wie Online-Marktplätze, Cloud-Computing-Anbieter und Suchmaschinen. Viele andere Branchen blieben außen vor, obwohl auch sie sich in hohem Maße auf vernetzte Systeme stützen.
NIS-2: Wer ist (neu) betroffen?
Sektorerweiterung und Neudefinition
Mit NIS-2 möchte die EU Lücken schließen und die Realität besser abbilden. Neue Angriffsformen wie Ransomware, Lieferketten-Attacken oder Insider Threats machen nicht vor klassischen Infrastrukturen halt. Deshalb nimmt die NIS-2-Richtlinie jetzt weitere Einrichtungen in den Blick, die zuvor nicht als „wesentlich“ galten, aber dennoch erhebliche Auswirkungen auf Versorgung, Gesellschaft und Wirtschaft haben können.
Dazu gehören etwa:
Post- und Kurierdienste
Die Digitalisierung ist auch hier weit fortgeschritten, z. B. in Paket-Trackingsystemen, Sortieranlagen und Online-Portalen. Ein IT-Ausfall kann große Teile der Logistik lähmen.
Abfallwirtschaft
Große Entsorgungsunternehmen sind für die öffentliche Gesundheit relevant. Ein Cyberangriff kann die Müllabfuhr in Ballungszentren massiv stören.
Lebensmittel- und Agrarsektor (teilweise)
Etwa wenn Unternehmen eine Schlüsselrolle bei der Versorgung mit Grundnahrungsmitteln haben. IT-Ausfälle können Lieferengpässe zur Folge haben.
Chemische Industrie (inkl. Hersteller gefährlicher Stoffe)
Angriffsszenarien könnten Produktionsausfälle, Umweltkatastrophen oder Lieferausfälle für andere Branchen verursachen.
Medizinprodukte- und Pharmahersteller
Bereits Teil des Gesundheitssektors, jetzt aber noch stärker im Fokus. Produktions- und Lieferausfälle haben unmittelbaren Einfluss auf die Patientenversorgung.
Raumfahrt und Hightech-Unternehmen
Bodenstationen oder Satelliten-Kommunikationsnetzwerke werden zunehmend als Teil kritischer Dienstleistungen betrachtet.
„Wesentlich“ oder „wichtig“ – was ist der Unterschied?
In NIS-2 werden Unternehmen oder Organisationen in zwei Kategorien eingeteilt:
Wesentliche Einrichtungen (essential entities)
Weitgehend deckungsgleich mit denen, die schon unter NIS (2016) fielen. Allerdings können jetzt auch weitere Branchen dazukommen, wenn sie als besonders kritisch eingestuft werden.
Gilt u. a. für Energie, Transport, Banken, kritische Digitalisierung (z. B. DNS, IXP) und große Teile des Gesundheitswesens.
Hier gelten strengere Meldepflichten und eine schärfere Aufsicht durch die Behörden.
Wichtige Einrichtungen (important entities)
NIS-2: Wer ist (neu) betroffen? Eine neue, erweiterte Gruppe, die zuvor meist nicht reguliert war. Beispiele sind Post- und Paketdienste, größere Lebensmittelbetriebe, Hersteller bestimmter Chemikalien oder IT-Dienstleister mit kritischer Bedeutung.
Zwar gelten auch hier Melde- und Sicherheitspflichten, sie sind aber etwas weniger streng als bei den „wesentlichen“.
Ob ein Unternehmen unter „wesentlich“ oder „wichtig“ fällt, kann von Mitarbeiter- oder Umsatzschwellen abhängen, aber auch von der Bedeutung des Unternehmens für die Versorgungssicherheit. Genauere Kriterien definiert das nationale Umsetzungsrecht.
Was ist mit KMU?
Grundsätzlich können kleine und mittlere Unternehmen (KMU) oft von den Regelungen ausgenommen sein, wenn sie Schwellenwerte nicht überschreiten. Allerdings gilt das nicht, wenn ein KMU eine zentrale Rolle für das Gemeinwohl spielt oder hochrelevante IT-Prozesse betreibt. Beispiel: Ein kleines Chemiewerk, das eine Schlüsselproduktion innehat, könnte trotz geringem Personalaufwand als „wichtig“ klassifiziert werden.KMU in kritischen Sektoren oder mit kritischen Dienstleistungen:
Die NIS-2-Richtlinie sieht erst mal keinen konkreten Mitarbeiter-Schwellenwert für kritische Sektoren vor: Wenn ein KMU in einem als kritisch eingestuften Sektor tätig ist oder kritische Dienstleistungen anbietet, dann fällt es unter die NIS-2-Richtlinie, unabhängig davon, wie klein das Unternehmen ist.
Proportionalität und Anpassung: Jedoch fordert die Richtlinie von den Mitgliedstaaten, dass sie bei der Umsetzung der Sicherheitsanforderungen den Grundsatz der Proportionalität beachten. Das bedeutet, dass die Auflagen für kleinere Unternehmen möglicherweise weniger streng sein können als für größere. Es wird erwartet, dass die nationalen Umsetzungen dieser Proportionalitätsgrundsatz berücksichtigt wird, um zu vermeiden, dass die Anforderungen für sehr kleine Unternehmen unverhältnismäßig sind.
Einfachheit und Flexibilität: Es ist wohl zu erwarten, dass die Umsetzung der Richtlinie auch einfache und flexible Ansätze zulässt. Beispielsweise könnten für sehr kleine Unternehmen vereinfachte Sicherheitsmaßnahmen oder alternative Berichterstattungspflichten vorgesehen werden, um den Verwaltungsaufwand zu minimieren.
Unterstützung und Beratung: Wie viele andere EU-Länder wird voraussichtlich auch das BSI spezielle Unterstützung und Beratung anbieten, um ihnen zu helfen, die Anforderungen der NIS-2-Richtlinie zu erfüllen, ohne ihre Geschäftstätigkeit unnötig zu belasten. Das kann in Form von Leitfäden, Schulungen oder sogar finanzieller Unterstützung geschehen. Die bisherige FAQ-Seite steht bis zu heutigen Stand noch unter dem Vorbehalt der endgültigen Verabschiedung des NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), also der konkreten Umsetzung der EU-Richtlinie in nationales Recht.
Relevanz für die Praxis
Ob Unternehmen neu in den Geltungsbereich fallen, wird sich oft erst durch eine entsprechende Beurteilung bzw. der Abfrage von Kriterien durch die Behörden ergeben. Während Betriebe, die schon unter NIS (2016) reguliert waren, wird sich vermutlich hingegen nicht viel ändern. Sie werden nun möglicherweise automatisch erfasst und müssen nur noch prüfen, an welchen Stellen nachgesteuert werden muss. Das NIS-2-Thema kann übrigens nicht nur zu neuen Dokumentations- und Meldepflichten führen, sondern hat auch betriebliche Mitbestimmung zur Folge. Wenn neue Systeme zur Angriffserkennung oder Netzwerküberwachung eingeführt werden, kann dies im Übrigen ein Mitbestimmungstatbestand nach § 87 BetrVG sein.
Wichtig: Unternehmen, die bislang ohne Kontakt zu IT-Sicherheitsbehörden agiert haben, sollten sich frühzeitig informieren. Ein kompletter IT-Sicherheits-Check – auch mithilfe externer Experten – kann verhindern, dass man von künftigen Vorgaben völlig überrascht wird.
Ausblick
In Deutschland müssen sich betroffene Unternehmen noch bis zur nationalen Umsetzung gedulden, um absolute Klarheit zu haben. Ob das NIS-2-Umsetzungsgesetz zeitnah kommt oder sich durch politische Diskussionen und Wahlen verzögert, bleibt abzuwarten. Sicher ist: Die EU geht den Weg, Cybersecurity umfassender zu denken, als es 2016 der Fall war.
Wer rechtzeitig reagiert und sich mit den neuen Kategorien „wesentlich“ und „wichtig“ auseinandersetzt, hat gute Karten, spätere Bußgelder und Hektik zu vermeiden. Die nächste Frage, was genau diese IT-Sicherheitsanforderungen für die praktische Umsetzung bedeuten könnten, klären wir in weiteren Artikeln. Bleiben Sie dran!