NIS 2-Richtlinie: Implementierung der Anforderungen im Unternehmen …
… und welche Rolle Rechts- bzw. Complianceabteilungen dabei zukommt
Zweck und Umfang von NIS 2
Durch die Digitalisierung und vermehrte, zunehmend professionalisierte Angriffe sind die Bedrohungen für Unternehmen im Cyberraum größer denn je. Um dieser Bedrohung entgegenzuwirken, hat die Europäische Union (EU) eine Strategie zur Cybersicherheit entwickelt und verschiedene Rechtsakte verabschiedet.
Ein wesentlicher Bestandteil ist die NIS 2-Richtlinie („The Network and Information Security (NIS) Directive“). Sie bezweckt, das Niveau der Cybersicherheit für volkswirtschaftlich wichtige Einrichtungen EU-weit in den Mitgliedstaaten zu harmonisieren und zu verbessern.
Bislang gelten aufgrund der NIS 1-Richtlinie in Deutschland Cybersicherheitspflichten im Wesentlichen für Betreiber kritischer Infrastrukturen, Anbieter bestimmter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Nun gelten mit NIS 2-Verpflichtungen zu Cybersicherheit und -Resilienz auch für eine breite Masse von Unternehmen. NIS 2 erfasst jetzt weitere Branchen wie z. B. Energie, Transport und Verkehr, Gesundheit, ITK-Dienste, Chemie, verarbeitendes Gewerbe etc. Kleinere Unternehmen sind grundsätzlich ausgenommen. Allein in Deutschland werden daher geschätzt rund zehntausende zusätzliche Unternehmen von Cybersicherheitspflichten betroffen sein.
Projektvorgehen
Für die Umsetzung von NIS 2 muss die Rechts- bzw. Complianceabteilung in das Projekt eingebunden werden, um (1) die Auswirkungen von NIS 2 auf die Organisation zu bewerten (Betroffenheitsanalyse), (2) die Entscheidung zur Umsetzung rechtlich zu validieren und (3) bei der Identifikation und Integration abweichender Anforderungen zu helfen, die sich aus der nationalen Umsetzung in den Märkten ergeben, in denen die Organisation tätig ist. Die Arbeiten lassen sich wie folgt visualisieren:
NIS 2 ist ein Rechtsakt, dessen Implementierung im Unternehmen durch Rechts- bzw. Complianceabteilungen unterstützend und überprüfend begleitet werden muss.
Schritt 1
Betroffenheitsanalyse
Die erste Frage, die sich für Rechts- bzw. Complianceabteilungen damit stellt, ist, ob Ihr Unternehmen bzw. Ihre Organisation in den Anwendungsbereich von NIS 2 fällt. Wir unterstützen Sie dazu mit einer Betroffenheitsanalyse.
Schritt 2
Implementierung
Die Umsetzung der Maßnahmen zur Cybersicherheit und -Resilienz liegt vor allem in der Verantwortung des Bereichs IT- und Informationssicherheit. Da es sich bei NIS 2 allerdings um eine Regulatorik handelt, die rechtlich ausgelegt und deren rechtskonforme Umsetzung unternehmensintern bewertet und festgestellt werden muss, müssen Rechts- bzw. Complianceabteilungen die Umsetzung unterstützend und prüfend begleiten.
Ein besonderes Augenmerk von Rechts- bzw. Complianceabteilungen sollte dabei u. a. auf der Implementierung von Prozessen liegen, die die fristgerechte Meldung von Sicherheitsvorfällen sicherstellt. Aus Effizienzgründen ist es sinnvoll, diese Prozesse in das allgemeine Incident Management zu integrieren.
Eine Unterstützung und Begleitung durch Rechts- bzw. Complianceabteilungen ist aber auch aus Haftungsgründen angezeigt: NIS 2 ist zum einen angesichts drohender Bußgelder von bis zu 20 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes als eine Risikoposition im Rahmen des Risikomanagements zu bewerten. Zum anderen enthält NIS 2 explizit eine persönliche Haftung der Geschäftsleitung, die die Rechts- bzw. Complianceabteilungen typischerweise einschätzen und vor der sie die Geschäftsführung schützen müssen.
NIS 2 verpflichtet die betroffenen Unternehmen und Organisationen, angemessene Maßnahmen zur Sicherheit in der Lieferkette, Business Continuity Management, Verschlüsselung, Zutrittsbeschränkungen sowie Berichterstattung an die Behörde und Abhilfemaßnahmen zu ergreifen. Durch die Verpflichtungen bzgl. der Lieferkette dürfen dabei de facto zivilrechtlich auch Zulieferer von den Anforderungen erfasst werden.
Schritt 3
Berücksichtigung nationaler Besonderheiten: Umsetzungsstand in der EU
Auch wenn durch NIS 2 der weitaus größte Teil der Regelungen einheitlich, EU-weit harmonisiert gelten, verbleiben nationale Besonderheiten. Denn die NIS 2-Richtlinie muss in nationales Recht umgesetzt werden und die Mitgliedsstaaten haben bei der Umsetzung einen Spielraum.
Eine besondere Aufgabe von Rechts- bzw. Complianceabteilungen liegt deshalb darin, nationale rechtliche Vorgaben zu identifizieren, als Vorgabe in NIS 2-Implementierungsprojekten zu kommunizieren und deren Umsetzung zu bewerten.
Dies ist vor allem deshalb für betroffene Unternehmen relevant, weil die nationale Gesetzgebung festlegt, gegenüber welchen Behörden sich Unternehmen registrieren müssen. Rechts- bzw. Complianceabteilungen müssen daher für alle Länder, in denen sie Geschäftstätigkeiten haben, im Blick behalten, wie der Umsetzungsstand ist und wo sie sich registrieren müssen.
Die NIS 2-Richtlinie musste bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Einige Mitgliedstaaten haben dies allerdings noch nicht gemacht.
Wir unterstützen durch unser internationales Netzwerk bei der Identifikation der nationalen Anforderungen und des Umsetzungsstandes sowie der Integration dieser Anforderungen in Ihr NIS 2-Umsetzungsprojekt.
Den aktuellen Stand der Umsetzung von NIS 2 haben wir Ihnen hier zusammengestellt.
EU NIS 2 Kompetenz-Netzwerk
Wir helfen Ihnen zu ermitteln, inwieweit Ihr Unternehmen und Ihre Organisation von der NIS 2-Richtlinie betroffen sind, Ihre Fähigkeiten zur Erfüllung der Anforderungen zu bewerten oder Lücken zu identifizieren und Sie dabei zu unterstützen, die regulatorischen Vorgaben auf nationaler und EU-Ebene angemessen und kosteneffizient umzusetzen.
PwC hat EU-weit ein multidisziplinäres NIS 2-Kompetenz-Netzwerk aufgebaut. Dieses besteht aus Expert:innen aus den Bereichen Cyber Security, Risikomanagement, Incident Response, Governance, Compliance und Recht. Über 150 Spezialist:innen in der EU-Region unterstützen Unternehmen bei der Umsetzung der NIS 2-Richtlinie.
