NIS 2: Die neuen EU-Regeln zur Cybersicherheit erklärt

Die Europäische Union setzt strengere Regeln zur Cybersicherheit um. Hunderttausende Betriebe sind betroffen. Und nicht nur die: Auch Partnerunternehmen und Lieferketten sollen sicherer werden. Wir stellen die neue EU Cybersicherheitsverordnung «NIS2» vor und werfen einen Blick auf alles, was es in Hinblick auf Meldepflichten und co. zu wissen gilt.

‍

Die EU hat eine Richtlinie «für ein hohes gemeinsames Cybersicherheitsniveau» auf den Weg gebracht. Offiziell ist sie als «Richtlinie (EU) 2022/2555» bekannt oder kurz als «NIS2», denn sie ist der zweite Anlauf, die Netzwerk- und Informationssicherheit zu erhöhen, und so die Cyber-Resilienz zu stärken. Seit dem 17. Oktober 2024 mussten die EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen. In vielen Ländern – darunter Belgien, Dänemark und Italien – ist das inzwischen geschehen. In anderen Ländern verzögert sich die vollständige Umsetzung; in Deutschland beispielsweise ist das NIS2-Umsetzungsgesetz (NIS2UMSuCG) geplant und soll im Spätsommer 2025 dem Bundesrat zur Stellungnahme vorgelegt werden. Für die Schweiz ist sie relevant, weil die Richtlinie explizit Lieferketten und Partnerunternehmen einbezieht.

‍

Welche Unternehmen sind betroffen?

Die neue Richtlinie betrifft im Vergleich zum Vorgänger aus dem Jahr 2016 etwa zehnmal mehr Betriebe. Laut aktueller Schätzungen sind europaweit rund 160’000 Unternehmen betroffen. In Deutschland allein wird die Zahl inzwischen auf rund 30’000 geschätzt.

So hat NIS 2 etwa die Liste der Branchen von acht auf 18 erhöht. Sie werden nach wesentlich («essential») und wichtig («important») unterschieden. Eine ausführliche Übersicht findet sich in den Anhängen I und II der oben verlinkten Richtlinie.

Besonders wichtig sind demnach die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum.

In der Liste der «sonstigen» kritischen Sektoren finden sich Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste.

Grundsätzlich gilt: Unternehmen dieser Sektoren sind betroffen, wenn sie mehr als 50 Mitarbeitende beschäftigen und einen Jahresumsatz oder eine Jahresbilanz von über 10 Millionen Euro haben. Ausnahmen sind jedoch möglich; insbesondere dann, wenn ein Unternehmen als einziger Anbieter eines essentiellen Dienstes in einem Mitgliedstaat fungiert oder von besonderer Relevanz für die nationale Sicherheit ist.

‍

Was beinhalten die NIS2-Anforderungen?

Die Pflichten finden sich im Kapitel IV der Richtlinie. Betroffene Unternehmen sollen laut Artikel 21 «geeignete und verhältnismässige technische, operative und organisatorische Massnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (…) zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.» Was als «verhältnismässig» angesehen wird, soll sich u.a. nach dem eingeschätzten Risiko, den möglichen Folgen und der Grösse des Betriebs richten.

Artikel 21 listet ausserdem einen Mindeststandard für Sicherheitsmassnahmen. Dazu gehören etwa ein Konzept für die Risikoanalyse, Pläne für die Bewältigung von Sicherheitsvorfällen, Krisen- und Backup-Management, Konzepte zur Bewertung der Wirksamkeit der Massnahmen, Verschlüsselung, Zugriffskontrolle oder auch Multi-Faktor-Authentifizierung.

Schweizer Unternehmen, die sich am IKT-Minimalstandard orientieren, sind hier bereits gut aufgestellt.

Ausdrücklich nennt Artikel 21, Absatz 2, ausserdem: «Sicherheit der Lieferkette einschliesslich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern». Absatz 3 erklärt, dass Einrichtungen, «die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschliesslich der Sicherheit ihrer Entwicklungsprozesse» berücksichtigen müssen.

‍

Was umfasst die NIS2-Meldepflicht für Sicherheitsvorfälle?

Besonders relevant ist auch die neu eingeführte Meldepflicht in Artikel 23: Bei einem Sicherheitsvorfall muss zunächst eine frühe Erstmeldung („early warning“) innerhalb von 24 Stunden nach Kenntniserlangung erfolgen. Innerhalb von 72 Stunden folgt eine detailliertere Meldung mit erster Bewertung des Sicherheitsvorfalls, unter anderen in Hinblick auf dessen Schweregrad und Auswirkungen. Spätestens nach einem Monat muss eine Folge- oder Abschlussmeldung mit Ursachenanalyse und Gegenmassnahmen bei der zuständigen Behörde eingereicht werden.

Verstösse gegen die Melde- oder Sicherheitsvorgaben können mit hohen Bussgeldern geahndet werden: Für besonders wichtige Einrichtungen können Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Die Umsetzung der Vorgaben wird in den Mitgliedstaaten von zuständigen Behörden (z. B. dem BSI in Deutschland) kontrolliert.

Neu ist auch die explizite Verantwortung des Managements: CEOs, CIOs und Verwaltungsräte müssen sicherstellen, dass die geforderten Massnahmen nicht nur eingeführt, sondern auch verstanden und überwacht werden. Viele nationale Gesetze fordern verpflichtende Schulungen und die Möglichkeit persönlicher Haftung.

‍

Warum diese neuen Regeln?

Nicht erst seit gestern erkennt die EU-Politik an, dass die zunehmende Digitalisierung und Vernetzung zugleich ein Gefahrenpotenzial darstellt. Bisherige Versuche, den Sicherheitsstandard umfassend zu erhöhen, waren aber nicht sonderlich erfolgreich.

Direkter Vorgänger der neuen Regelungen ist die Richtlinie (EU) 2016/1148. Sie hatte schon dieselbe Stossrichtung, allerdings wurde ihre Umsetzung in den Mitgliedsländern kaum überwacht und sie war an vielen Stellen unspezifischer als die neue Version.

In der Zwischenzeit sind noch mehr Vorgänge digitalisiert, automatisiert und vernetzt. Zugleich hat die Zahl der versuchten und erfolgreichen Angriffe auf Netzwerke von Industrieanlagen und öffentlichen Einrichtungen zugenommen.

Mit NIS2 reagiert die EU auf diese Bedrohungslage und sorgt für mehr Verbindlichkeit und Harmonisierung – auch, um ein fragmentiertes Cybersicherheitsniveau innerhalb Europas zu vermeiden. Die Richtlinie ist zudem Teil eines grösseren Pakets zur Resilienz kritischer Infrastrukturen.

‍

Schlusswort

Die neue EU-Richtlinie folgt in weiten Teilen dem, was international bereits empfohlen und praktiziert wird. In der Schweiz gibt es vergleichbare Vorgaben, etwa durch das Nationale Zentrum für Cybersicherheit (NCSC) und den IKT-Minimalstandard für Behörden. Zudem ist eine Revision des Informationssicherheitsgesetzes (ISG) im Gange, die inhaltlich stark an NIS2 angelehnt ist.

Für Betriebe aller Art ist es allerdings eine gute Idee, sich mit möglichen Gefahren und deren Folgen zu beschäftigen, auch wenn sie nicht als Teil der «kritischen Infrastruktur» angesehen werden. Cyberangriffe wie etwa Ransomware-Attacken können einen erheblichen monetären Schaden auslösen und den Ruf des Unternehmens ruinieren.

‍

FAQ: Die NIS2 auf einen Blick

Was ist die NIS2-Richtlinie?

Die EU-Richtlinie 2022/2555 (NIS2) ist die überarbeitete EU-Vorschrift zur Cybersicherheit kritischer und wichtiger Einrichtungen. Sie ersetzt die NIS1-Richtlinie von 2016 und weitet den Geltungsbereich massiv aus. Sie verfolgt das Ziel eines einheitlich hohen Cybersicherheitsniveaus in der EU gemäss Art. 1 NIS.

‍

Welche Unternehmen sind von NIS2 betroffen?

Alle Unternehmen aus Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren mit über 50 Mitarbeitenden und mehr als 10 Mio. Umsatz bzw. Bilanzsumme, sowie systemrelevante kleinere Anbieter.

‍

Was fordert NIS2 konkret?

NIS2 fordert technisch-organisatorische Sicherheitsmassnahmen, Risikoanalyse, Notfallpläne, Schulungen, Berichte bei Sicherheitsvorfällen und Managementverantwortung.

‍

Gibt es Sanktionen bei Verstössen gegen NIS2?

Ja, Verstösse gegen NIS2 werden sanktioniert. Es drohen Geldstrafen bis 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. Auch das Management kann haftbar gemacht werden.

‍

Gilt die NIS2-Richtlinie auch für Schweizer Unternehmen?

Obwohl die Schweiz kein EU-Mitglied ist, kann NIS2 auch hier Auswirkungen haben – insbesondere auf Unternehmen, die Tochtergesellschaften oder Kunden in der EU haben oder als Dienstleister in EU-Lieferketten tätig sind.