Europäische NIS-2-Richtlinie

Implikationen für Unternehmen und Institutionen

Ihr Experte für Fragen

André Glenzer
Partner, Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 160 94470376
E-Mail

Was Sie über die NIS-2 wissen müssen

Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten diese in nationales Recht überführen. In Deutschland existiert seit Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung, bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG).

Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und zu verbessern und enthält strengere Anforderungen für verschiedene Sektoren. Unternehmen und Organisationen müssen sich unter anderem mit den Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen. Darüber hinaus erweitert die Richtlinie die Zahl der Organisationen, die in den Anwendungsbereich fallen. Für die Geschäftsleitung der betroffenen Organisationen werden strengere Haftungsregeln gelten.

„In Deutschland wirkte die KRITIS-Gesetzgebung bislang insbesondere auf größere Institutionen. Mit NIS-2 wird Cybersicherheit und -Resilienz nun auch für die breite Masse der Unternehmen in Europa und damit auch in Deutschland zum Top Thema.“

André Glenzer,Partner bei PwC Deutschland

Unsere Services im Bereich NIS-2

Gemeinsam beurteilen wir, ob Sie von der NIS-2-Richtlinie betroffen sind und setzen die Grundlage für Ihre NIS-2-Readiness.

Wir identifizieren im zweiten Schritt Lücken in Bezug auf die Anforderungen der Richtlinie.

Wir ermitteln mit Ihnen die erforderlichen Maßnahmen für die Erfüllung der Richtlinien.

Für den Fall eines Cybervorfalls brauchen Sie einen starken Cybersicherheitsrahmen.

Um die ordnungsgemäße Meldung von Vorfällen an die Behören zu gewährleisten entwickeln wir passende Verfahren.

Wir entwickeln kontinuierliche Checks zur Sicherstellung Ihrer entwickelten Maßnahmen.

< Back

< Back
[+] Read More

Sind Sie von NIS-2 betroffen?

Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist. Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland gibt es bereits einen Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-2-Richtlinie (NIS-2UmsuCG). Durch die neue Richtlinie wird die Zahl der betroffenen Unternehmen massiv ansteigen. Darüber hinaus werden an die betroffenen Unternehmen höhere Anforderungen gestellt und auch der Durchsetzungsdruck wird zunehmen − zum Beispiel durch die Androhung höherer Sanktionen und die Haftung der Managementebene.

Finden Sie mit Hilfe unserer kurzen Betroffenheitsanalyse heraus, ob auch Ihr Unternehmen in die NIS-2-Richtlinie fällt.

Zur Betroffenheitsanalyse

NIS-2-Anforderungen

In der NIS-2-Richtlinie wird zwischen „Besonders wichtige Einrichtung“ und „Wichtige Einrichtung“ unterschieden. Der Hauptunterschied zwischen besteht darin, dass für „Wichtige Einrichtungen“ geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, im Gegensatz zur proaktiven Aufsicht, die der „Besonders wichtigen Einrichtung“ vorbehalten ist.

In der EU soll es keine unterschiedlichen Mindestschwellenwerte mehr geben, sondern Betroffenheit nach „uniformen Kriterien“ ermittelt werden. Unter die Regulierung sollen mittlere und große Unternehmen fallen:

  1. Mittel (medium): 50-249 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
  2. Groß (large): min. 250 Mitarbeitende oder min. 50 Mio EUR Umsatz

Dadurch wird der Anwendungsbereich in Deutschland enorm ausgeweitet.

Ausweitung / Verschärfung der Haftung

Für besonders wichtige Einrichtungen können Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag maßgeblich ist. Bei wichtigen Einrichtungen belaufen sich die Bußgelder auf bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, wobei auch hier der höhere Betrag entscheidend ist.

Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Verschlüsselung, Zutrittsbeschränkungen sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen.

Wichtiger Hinweis: Gem. des Entwurfs des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.

  • Stufenkonzept für Bußgeldtatbestände bis zu 20 Millionen EUR 
  • Fahrlässiges und vorsätzliches Verschulden
  • Bußgeldrahmen für wichtige Einrichtungen bis zu 7 Mio. EUR oder ein Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens 
  • Bei besonders wichtigen Einrichtungen bis zu 10 Mio. EUR oder ein Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens 
  • Keine Differenzierung zwischen besonders wichtigen Einrichtungen und Kritischen Anlagen
  • Beispiel: Cyberangriff mit betriebseinschränkenden Auswirkungen aufgrund mangelhaft überwachten Risikomanagementprozesses in besonders wichtigen Einrichtung
  • Folgen: 
    Kostenpositionen z.B. 
    • Lösegeldzahlungen
    • Kosten für externe Dienstleister
    • Bußgelder infolge von DS-GVO- oder BSIG-Verstößen
  • Bei Verletzung der Überwachungspflichten haftet ein Geschäftsleiter für die entstandenen Schäden (Ausnahme Sektor Zentralregierung)
  • Besonderheit: Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam
  • Ausnahme: Bei Zahlungsunfähigkeit der Leitungsperson kann ein Vergleich mit ihren Gläubigern erfolgen oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird

NIS-2: Die Richtlinie betrifft nicht nur kritische Infrastrukturen

Fest steht: Der Anwendungsbereich geht weit über die bekannten kritischen Infrastrukturen hinaus. Im Energiesektor beispielsweise war der Anwendungsbereich der NIS immer auf Unternehmen beschränkt, die Energie im Strom- und Gassektor erzeugen, liefern oder regulieren. Im Rahmen von NIS-2 erwarten wir, dass auch die Lieferkette, z. B. die Hersteller von Windturbinen und die Betreiber von Ladestationen für Elektrofahrzeuge, von den Anforderungen erfasst werden.

Besonders wichtige Einrichtungen

Energie

Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Heizung/Kühlung, Wasserstoff, Betreiber von Ladestationen für Elektrofahrzeuge

Mehr erfahren

Luft-, Schienen-, Straßen- und Schiffsverkehr

Einschließlich Reedereien und Hafenanlagen

Bankwesen/Finanzwesen

Kredit, Handel, Markt und Infrastruktur; Neu: laut Referentenentwurf des NIS-2UmsuCG auch Versicherungswesen

Gesundheit

Gesundheitsdienstleister, Forschungslabors, Pharmazeutika, Herstellung medizinischer Geräte

Mehr erfahren

Wasser

Trinkwasserversorger und Abwasserentsorger

Digitale Infrastruktur und IT-Dienste

Bereitstellung von DNS und TLD-Registern

Mehr erfahren

Öffentliche Verwaltung

Welche Auswirkungen hat die NIS-2 für die öffentliche Verwaltung? Für wen gilt die NIS-2 in der Bundesverwaltung? Wir beleuchten Anforderungen der NIS-2 an das Informationssicherheitsmanagement sowie die Pflichten und Sanktionsrisiken.

Mehr erfahren

Raumfahrt

Betreiber bodengeschützter Infrastrukturen

Wichtige Einrichtungen

Anbieter von Post- und Kurierdiensten

Abfallwirtschaft

Abfallsammlung, -transport, -behandlung und -entsorgung

Cyber-Vorfälle in der Abfallentsorgung und -verwertung können das öffentliche Leben stark beeinträchtigen. Ab Januar 2024 gilt der Sektor daher als Kritische Infrastruktur und muss besonders geschützt werden. Unternehmen fallen zudem in den Anwendungsbereich von NIS-2 ab Oktober 2024, selbst wenn sie die KRITIS Schwellenwerte nicht überschreiten.

Mehr erfahren

Chemische Erzeugnisse

Produktion, Herstellung und Handel

Lebensmittel

Produktion, Verarbeitung und Vertrieb

Hersteller

Medizin-/Diagnosegeräte, Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge, Anhänger, Sattelanhänger, sonstige Transportmittel

Mehr erfahren

Digitale Anbieter

Online-Marktplätze, Suchmaschinen, soziale Plattformen

Forschungseinrichtungen

Produktion und Vertrieb

Mehr erfahren

„NIS-2 wird ein echter ,Game Changer‘ und die Cyber-Regulatorik in Europa nachhaltig verändern.“

André Glenzer, Partner bei PwC Deutschland

Sind Sie von NIS-2 betroffen?

Finden Sie mit Hilfe unserer kurzen Betroffenheitsanalyse heraus, ob auch Ihr Unternehmen in die NIS-2-Richtlinie fällt.

Wie betrifft NIS-2 Ihre Organisation?

In unserem Whitepaper erfahren Sie mehr über die Richtlinie, wer betroffen ist und erhalten exklusiven Zugang zu unserer Checkliste zur Vorbereitung auf NIS-2.

Follow us

Erforderliche Felder sind mit einem Sternchen gekennzeichnet (*)

 
 

Unsere Datenschutzerklärung finden Sie hier.

Contact us

André Glenzer

André Glenzer

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 160 94470376

Jörg Asma

Jörg Asma

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 221 2084-103

Florian Gibala

Florian Gibala

Senior Manager, Cyber Security & Privacy, PwC Germany

Hide