NIS 2.0 – Reform der europäischen NIS-Richtlinie

Am 16.12.2020 stellte die Europäische Kommission einen Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union vor (NIS 2-Richtlinie). Dieser Vorschlag dient der Ablösung und Weiterentwicklung der 2016 in Kraft getretenen NIS-Richtlinie, einer der wichtigsten EU-weiten Rechtsvorschriften in Sachen Cybersicherheit.

 

NIS 1 – Richtlinie

Ziel der (in Deutschland durch das IT-Sicherheitsgesetz umgesetzten) NIS-Richtlinie war unter anderem die Erhöhung der mitgliedstaatlichen Kapazitäten im Bereich der Cybersicherheit. Die Mitgliedsstaaten mussten zuständige Behörden für die Überwachung der Einhaltung der Richtlinie sowie zentrale Anlaufstellen als Verbindungsstellen für die übernationale Zusammenarbeit benennen (in Deutschland das BSI) sowie Computer-Notfallteams (CSIRTs) errichten. Zur Verstärkung der Zusammenarbeit auf Unionsebene wurde eine Kooperationsgruppe aus Vertretern der Mitgliedstaaten, der Kommission und der EU-Agentur für Cybersicherheit (ENISA) eingerichtet. Auch ein Netz aus Vertretern der nationalen CSIRTs wurde zur Förderung des Informationsaustauschs zwischen den Mitgliedstaaten vorgesehen.

Kernstück der Richtlinie bilden aber die Regelungen zu Betreibern sogenannter „wesentlicher Dienste“ sowie zu den Anbietern „digitaler Dienste“. Für die Betreiber dieser Dienste sehen die NIS-Vorschriften spezielle Sicherheitsvorkehrungen und Meldepflichten vor. Ein wesentlicher Dienst muss nach den Kriterien der NIS-RL (Art. 5, 6 NIS-Richtlinie) für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Tätigkeiten unerlässlich sein, von einem Netz- und Informationssystem abhängig sein und ein möglicher Sicherheitsvorfall in diesem Netz müsste zu einer erheblichen Störung in der Bereitstellung führen. Von der NIS-Richtlinie erfasste Sektoren wesentlicher Dienste sind in ihrem Anhang II aufgeführt, darunter Gesundheitswesen, Verkehr, Energie und Wasserversorgung. Wer konkret als Betreiber eines wesentlichen Dienstes in den von der NIS-Richtlinie benannten Sektoren gilt, wird von den Mitgliedstaaten anhand vorgegebener Kriterien selbst konkretisiert. In Deutschland ist dies durch die BSI-KritisV geschehen. Die Betreiber trifft die Pflicht, geeignete und verhältnismäßige Maßnahmen zu ergreifen, um Cyberrisiken zu begegnen und mögliche Sicherheitsvorfälle an die zuständige Behörde zu melden.

Die Anbieter digitaler Dienste, laut Anhang III der Richtlinie Online-Marktplätze, Cloud-Computing-Dienste und Suchmaschinen, treffen ähnliche Pflichten (insbesondere Implementierung von geeigneten Maßnahmen und Meldung von Sicherheitsvorfällen sowie – für Nicht-EU-Anbieter – die Benennung eines Vertreters in der EU).

Zwar wertet die Kommission die NIS-Richtlinie seit ihrer Implementierung in den Mitgliedstaaten grundsätzlich als Erfolg, da sie zu einem Umdenken in Bezug auf die Cybersicherheit geführt habe. Allerdings sei sie an vielen Stellen durch immer schneller voranschreitende Digitalisierung nicht mehr zeitgemäß und dadurch nicht mehr ausreichend, um Cyberabwehrfähigkeit zu gewährleisten. Die Kommission kritisierte auch die Umsetzung der NIS-Richtlinie durch die Mitgliedsstaaten, darunter häufig nicht ordnungsgemäß durchgesetzte Sanktionen, streckenweise nur spärlicher Austausch auf Unionsebene und insbesondere mangelnde Harmonisierung zwischen den Mitgliedstaaten in der Kategorisierung von Cybersicherheitsvorfällen. Auch wurde auf Mängel der alten Richtlinie hingewiesen, wie den hohen Regelungsaufwand für die zuständigen Behörden der Mitgliedstaaten und den zu engen Anwendungsbereich, der nicht alle digitalisierten Sektoren umfasst, in denen für das Gemeinwesen wesentliche Dienste angeboten werden.

 

„NIS 2.0“

Im Rahmen des „Programms zur Gewährleistung der Effizienz und Leistungsfähigkeit der Rechtssetzung“, durch das Verwaltungsaufwand abgebaut und EU-Recht effizienter und kostengünstiger gestaltet werden soll, wurde daher die Initiative zur Überarbeitung der NIS-Richtlinie ergriffen. Entsprechend der durch die Kommission geäußerten Kritik zum Umsetzungsstand der NIS-Richtlinie wurde im Entwurf zur NIS 2 der Anwendungsbereich durch weitere Sektoren ergänzt: Zusätzlich zu den bereits von der alten Richtlinie umfassten Sektoren sind nunmehr auch wesentliche Einrichtungen in den Sektoren Abwasser, öffentliche Verwaltung und Weltraum umfasst. Ebenfalls wurde die Differenzierung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste aufgegeben; vielmehr wird nun anhand des Grades der Kritikalität des Sektors zwischen sogenannten „wesentlichen“ und „wichtigen“ Einrichtungen unterschieden (s. auch EG 11 NIS-2-RL-E). Wesentliche Einrichtungen finden sich neben den neu hinzugewonnenen Sektoren Abwasser, öffentliche Verwaltung und Weltraum auch in den altbekannten Sektoren wie Energie, Verkehr, Gesundheitswesen oder Wasserversorgung. Sektoren, in denen wichtige Einrichtungen vorliegen, umfassen laut Anhang II unter anderem Post- und Kurierdienste, die Herstellung bestimmter Waren (u.a. Medizinprodukte und Kfz) und die bereits aus der NIS 1 bekannten Anbieter digitaler Dienste.

Um zu große Unterschiede zwischen den Mitgliedstaaten zu vermeiden, werden die genauen Schwellenwerte für wesentliche (und nun auch wichtige) Dienste nach dem Entwurf auch nicht mehr durch die Mitgliedsstaaten festgelegt, sondern direkt durch die Richtlinie bestimmt, indem der Anwendungsbereich nun klar alle mittleren und großen Unternehmen in den kritischen Sektoren umfassen soll (Art. 2 I NIS-2-RL-E). Kleinstunternehmen und kleine Unternehmen sind zwar grundsätzlich vom Anwendungsbereich ausgenommen. In Art. 2 II NIS-2-RL-E findet sich aber für bestimmte Fälle eine Rückausnahme für solche Unternehmen.

Die nationalen Behörden sollen in Zukunft verstärkt die Überwachung und Durchsetzung der Vorschriften übernehmen. Die NIS 2-Richtlinie enthält hierfür einen Maßnahmen- und Befugniskatalog, den die Mitgliedstaaten zu befolgen haben (Art. 29f. NIS-2-RL-E). Der Bußgeldrahmen sieht europaweit Geldbußen von mindestens bis zu 10 Mio. EUR / 2 % des weltweiten Jahresumsatzes vor.

Auch die unionsweite Zusammenarbeit der Behörden der Mitgliedstaaten wird durch den Vorschlag erheblich erweitert: so sind unter anderem eine Pflicht der zuständigen Behörden zum Austausch über Cybersicherheitsinformationen (Art. 1 II lit. c NIS-2-RL-E), erweiterte Aufgaben der Kooperationsgruppe (Art. 12 NIS-2-RL-E) und des CSIRT-Netzwerks (zB Art. 13 III lit. b NIS-2-RL-E) sowie die Einrichtung eines Europäischen Netzwerks für massive Cybersicherheitsvorfälle bestehend aus den zuständigen nationalen Behörden (Art. 14 NIS-2-RL-E) vorgesehen.

Die von der Richtlinie vorgeschriebenen Maßnahmen für Betreiber wesentlicher und wichtiger Dienste sind im Entwurf nun umfangreicher und einheitlich beschrieben: Art. 18 NIS-2-RL-E enthält einen Maßnahmenkatalog, in dem u. a. Risikoanalyse- und Sicherheitskonzepte, Prävention von Sicherheitsvorfällen und Krisenmanagement aufgezählt werden, der von den Unternehmen mindestens umgesetzt werden muss. Auch die Meldepflichten der Unternehmen werden klarer formuliert; der Entwurf enthält nun genaue Vorgaben über Ablauf, Inhalt und Zeitrahmen der Meldung eines Sicherheitsvorfalls (Art. 20 NIS-2-RL-E). Neu ist auch eine EU-weit koordinierte Risikobewertung von Lieferketten (Art. 19 NIS-2-RL-E).

Der Vorschlag geht also deutlich weiter als die bisherige Regulierung im Rahmen von NIS 1 und zeigt, dass aus Sicht der Kommission die bisher erfolgte Umsetzung der NIS-RL nicht konsequent genug erfolgt ist und Verschärfungen der gesetzlichen Pflichten sowie eine stärkere EU-weite Harmonisierung bezweckt sind.

Die Kommission ist optimistisch und scheint eine zeitnahe Umsetzung der Richtlinie anzupeilen (s. Pressemitteilung der Kommission). Allerdings müssen sich noch das Europäische Parlament und der Rat der Europäischen Union zu dem Vorschlag positionieren, weswegen eine Verabschiedung auf europäischer Ebene frühestens zum Ende des Jahres wahrscheinlich ist. Nach Inkrafttreten sollen die Mitgliedstaaten die Richtlinie innerhalb von 18 Monaten in nationales Recht umzusetzen. Dies wird auch zu Änderungsbedarf in Bezug auf das gerade in der Verabschiedung befindliche deutsche IT-Sicherheitsgesetz 2.0 bedeuten.