Mit der NIS-2 will die EU ein Zeichen für Cybersicherheit und gegen Cyberkriminalität setzen. Dazu rückt sie die Geschäftsführer und CEOs von Unternehmen in den Mittelpunkt, denn sie müssen der IT-Sicherheit künftig eine deutlich höhere Priorität einräumen, um eine persönliche Haftung zu vermeiden. Doch was genau ist die NIS-2? Welche Pflichten gelten, wie sieht es mit der Haftung aus und welche Strafen drohen? Die Umsetzung der NIS-2 ist ein komplexer Prozess, der eine sorgfältige Planung und Vorbereitung erfordert – wir geben Ihnen erste Tipps an die Hand.
- Was ist die NIS-2?
- Ab wann gilt die NIS-2?
- Warum hat man die NIS-2 eingeführt?
- Gilt die NIS-2 für jedes Unternehmen?
- Was konkret ändert sich durch die NIS-2?
- Welche konkreten Pflichten sieht die NIS-2 für die Geschäftsleitung vor?
- Kann „Domain-Monitoring“ dazu beitragen, den Pflichten aus der NIS-2 nachzukommen?
- Welche Folgen hat die Nichteinhaltung der NIS-2?
- Mit welchem Kostenaufwand muss ich bei der Umsetzung der NIS-2 rechnen?
Was ist die NIS-2?
Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in Kraft getreten. Die EU reagiert damit auf die wachsenden Gefahren im Cyberspace, setzt Mindeststandards für die Cybersicherheit und beseitigt potentielle Schwachstellen. Die NIS-2 schafft für Unternehmen aber auch neue Chancen, wenn sie ihre IT-Sicherheit verbessern, sich effektiver vor Cyberangriffen schützen und so das Vertrauen der Geschäftspartner und Kunden in ihre digitalen Unternehmensprozesse stärken.
Ab wann gilt die NIS-2?
Richtlinien der EU gelten nicht automatisch, aber der Countdown läuft: Die NIS-2 wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und muss bis zum 17. Oktober 2024 von jedem der 27 EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Zu diesem Zweck soll in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erlassen werden. Für das NIS2UmsuCG liegt bisher nur ein Gesetzesentwurf vor. Die DENIC eG, Verwalterin der deutschen Top Level Domain .de, hat bereits eine eigene NIS-2 Arbeitsgruppe ins Leben gerufen, um Argumente auszutauschen und konkrete Empfehlungen auszuarbeiten. Auch der eco – Verband der Internetwirtschaft eV setzt sich im Gesetzgebungsverfahren dafür ein, dass die NIS-2 für Unternehmen praxistauglich ausgestaltet wird
Warum hat man die NIS-2 eingeführt?
Ohne Zweifel: Die digitale Transformation bietet enorme Chancen, aber auch völlig neue Herausforderungen. Nach Angaben des Bundeskriminalamts im „Bundeslagebild Cybercrime 2022“ wurden im Berichtsjahr 136.865 Cybercrime-Delikte erfasst. Laut Allianz Risk Barometer 2023, einem jährlich veröffentlichten Ranking der größten Unternehmensrisiken, gelten Cybervorfälle wie IT-Ausfälle, Ransomware-Angriffe, Datenschutzverletzungen und Betriebsunterbrechungen bereits im zweiten Jahr in Folge als die größten Geschäftsrisiken weltweit. Makroökonomische Risiken wie Inflation, eine drohende Rezession oder die Energiekrise werden dagegen geringer eingeschätzt. Unternehmen werden also verstärkt zur Zielscheibe von Cybergangstern und nur diejenigen, die über ein angemessenes Niveau an Cybersicherheit verfügen, können die meisten Angriffe abwehren. Durch verbesserte Sicherheitsstandards, strenge Meldepflichten und eine umfassende Pflicht zum Risikomanagement will die NIS-2 ein weiteres Puzzle-Teil zur Verfügung stellen, um dieses Niveau zu erreichen und die Wirtschaft widerstandsfähiger zu machen.
Gilt die NIS-2 für jedes Unternehmen?
Voraussetzung für die Geltung der NIS-2 ist nach derzeitigem Stand, dass ein Unternehmen mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 10 Millionen Euro aufweist und damit als „wichtige Einrichtung“ im Sinne des NIS2UmsuCG gilt. Als „besonders wichtig“ und damit verschärft handlungspflichtig gelten Unternehmen, die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro aufweisen. Bereits geltende gesetzliche Schwellenwerte werden durch die NIS-2 also reduziert und die Haftung damit insgesamt verschärft. Nach ersten Schätzungen betrifft das rund 30.000 Unternehmen in Deutschland, teilweise ist aber auch die Rede von bis zu 40.000 Unternehmen.
Was konkret ändert sich durch die NIS-2?
Mit der NIS-2 kommen auf zahlreiche Unternehmen neue Auflagen im Bereich Cybersicherheit zu. Im Mittelpunkt stehen sogenannte Risikomanagementmaßnahmen. Was damit gemeint ist, ist im Gesetzesentwurf nicht abschließend definiert. Die NIS-2 setzt aber Mindeststandards für solche Risikomanagementmaßnahmen, die erfüllt werden müssen. Dazu zählen organisatorische und technische Maßnahmen, um Daten und Systeme gegen Angriffe zu schützen. Erwähnt wird unter anderem die Erstellung einer Risikoanalyse, Krisenmanagement („Incident-Response-Plan“), Backup-Management, Konzepte und Verfahren für den Einsatz von Kryptografie sowie Schulungen von Mitarbeitern im Bereich der IT-Sicherheit. Umso wichtiger ist es, dass sich Unternehmen frühzeitig mit den Anforderungen der NIS-2 vertraut machen und die notwendigen Maßnahmen zu deren Umsetzung ergreifen.
Welche konkreten Pflichten sieht die NIS-2 für die Geschäftsleitung vor?
Bereits jetzt haben Geschäftsleiter in den Angelegenheiten ihrer Unternehmen die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Mit der NIS-2 wird Cybersicherheit aber zusätzlich zur zentralen Aufgabe der Geschäftsleitung. Das bedeutet, dass Geschäftsleiter Risikomanagementmaßnahmen ergreifen und deren Einhaltung im Unternehmen überwachen müssen. Zur Sensibilisierung für das Thema Cybersicherheit sind die Geschäftsleiter außerdem verpflichtet, regelmäßig an Schulungen teilzunehmen. Mit anderen Worten: Die NIS-2 hebt die Verantwortlichkeit der Geschäftsleitung eines Unternehmens auf eine neue Stufe.
Kann „Domain-Monitoring“ dazu beitragen, den Pflichten aus der NIS-2 nachzukommen?
Klare Antwort: ja. Das ergibt sich bereits aus der Überwachungspflicht für Geschäftsleitungen und der weiteren Pflicht, Risiken für die Netzwerk- und Informationssicherheit systematisch zu analysieren und zu bewerten. Domain-Namen nehmen im Bereich der Cybersicherheit eine zentrale Rolle ein: Bekannte und berühmte Marken innerhalb einer Domain dienen Cyberkriminellen oft als virtueller Köder, um Nutzer auf ihr Angebot aufmerksam zu machen und zu lenken. Für Unternehmen und Markeninhaber konnte das bereits bisher verheerende Folgen haben: sie verlieren nicht nur Traffic, also Nutzerzugriffe auf ihre Webseite, sondern damit auch potentielle Kunden und potentiellen Umsatz. In besonders drastischen Fällen kann die Reputation eines Unternehmens durch Missbrauch leiden oder sogar schweren, langfristigen Schaden nehmen. Man denke nur daran, dass eine markenrechtsverletzende Domain dazu genutzt wird, auf Webseiten mit pornographischen Inhalten weiterzuleiten oder Schadprogramme (sogenannte Malware) zu verbreiten.
Weder wirtschaftlich noch praktikabel ist es, alle in Betracht kommenden Domain-Namen präventiv zu registrieren. Stattdessen kann „Domain Monitoring“ als Frühwarnsystem eine wertvolle Hilfe leisten, um Pflichtverletzungen der NIS-2 vorzubeugen. „Domain Monitoring“ überwacht und berichtet kontinuierlich rund um die Uhr über bestehende und neue Domain-Registrierungen mit dem Begriff einer vorgegebenen Marke oder praxisrelevanten Abweichungen davon (sogenannte „Vertipper“). Erkennt das Domain-Monitoring eine Übereinstimmung mit einem überwachten Begriff, wird die betreffende Domain-Registrierung erfasst und in einem Report festgehalten. Das Unternehmen erhält so einen schnellen, aktuellen Überblick über bereits registrierte Domain-Namen, die „seine“ Marke“ enthalten. Das Ziel ist es, rechtzeitig zu erkennen, wo, wann und welche Domain-Registrierungen ein potentielles Risiko für eine Marke darstellen. Darauf aufbauend, lässt sich eine effektive Strategie zur Verhinderung von Markenmissbrauch entwickeln. Domain-Monitoring bildet damit einen wichtigen Baustein für den Schutz vor dem Missbrauch einer Marke durch Domain-Grabbing, Cybersquatting Phishing-Seiten, Spam, der Manipulation von Suchergebnissen durch Search Engine Optimization (SEO) oder verkaufte Plagiate über gefälschte Online-Shops.
Welche Folgen hat die Nichteinhaltung der NIS-2?
Kommen Geschäftsleiter ihrer Pflicht nicht nach, haften der Geschäftsführer einer GmbH oder der Vorstand einer AG persönlich dem Unternehmen gegenüber auf Schadensersatz. Auch bei der Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. Ein Verzicht auf Schadensersatzansprüche oder ein Vergleich hierüber soll nach dem Willen des Gesetzgebers unwirksam sein. Zur Einhaltung dieser Verpflichtungen werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) außerdem weitgehende Befugnisse eingeräumt, die bis zur vorübergehenden Untersagung der Geschäftsführungsbefugnis reichen können. Außerdem können bei Verstößen gegen die NIS-2 empfindliche Geldbußen verhängt werden. Für Unternehmen können die Bußgelder bis zu 10 Millionen Euro oder bis zu 2 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes betragen.
Mit welchem Kostenaufwand muss ich bei der Umsetzung der NIS-2 rechnen?
Die wirtschaftlichen Folgen der NIS-2 sind nicht unerheblich. Der aktuell kursierende Gesetzesentwurf geht davon aus, dass in rund 30.000 Einrichtungen im Mittel 200 Beschäftigte eine Cybersicherheitsschulung absolvieren müssen, insgesamt also knapp 6 Millionen Beschäftigte. die Verpflichtung kann sowohl durch die Teilnahme an einer (voraussichtlich einstündigen) Schulung als auch eine Selbstlerneinheit erfüllt werden. Insgesamt schätzt der Gesetzgeber den jährliche Erfüllungsaufwand für Schulungen von Geschäftsleitern und Beschäftigten auf rund 159 Millionen Euro.
Florian Hitzelberger ist Rechtsanwalt. Er beschäftigt sich seit über 20 Jahren intensiv mit dem Thema Domain-Namen und ist mit hunderten von Artikeln langjähriger Redakteur beim renommierten Branchendienst domain-recht.de, einem Projekt von united-domains.
