14.08.2024

Neue europäische Anforderungen im Cybersicherheitsrecht – die NIS-2-Richtlinie, der Digital Operations Act und der Cyber Resilience Act im Überblick

Hintergrund

Cybersicherheitsbedrohungen sind oft grenzüberschreitend. Um diesen Bedrohungen zu begegnen, hat die Europäische Kommission beschlossen, eine neue Cybersicherheitsstrategie für die EU zu erarbeiten. Die Strategie soll die Sicherheit wesentlicher Dienstleistungen wie Krankenhäuser, Energienetze und Eisenbahnen, sowie die Sicherheit der ständig wachsenden Anzahl von vernetzten Objekten in Privathaushalten schützen. Diese Strategie ist die Grundlage mehrerer Gesetzgebungsvorhaben auf dem Gebiet der Cybersicherheit, die wir im Folgenden überblicksartig darstellen wollen.

I. Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) und das NIS-2-UmsuCG

Die NIS-2-Richtlinie sieht rechtliche Maßnahmen vor, um das Gesamtniveau der Cybersicherheit in der EU zu erhöhen. Die Richtlinie trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten haben bis zum 18. Oktober 2024 Zeit, um die Bestimmungen in nationales Recht umzusetzen. Am 24. Juli 2024 wurde zur Umsetzung der Richtlinie der Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2-UmsuCG) verabschiedet.

1. Wen betreffen die Regelungen?

Die NIS-2-Richtlinie erweitert den Anwendungsbereich gegenüber ihrem Vorgänger der NIS-1-Richtlinie, indem neue Sektoren auf der Grundlage ihres Digitalisierungsgrads und ihrer Vernetzung und ihrer Bedeutung für Wirtschaft und Gesellschaft hinzugefügt werden. Es gibt eine klare Größenschwellenregel, was bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Mittlere Unternehmen sind solche die 50-249 Beschäftigte haben oder 10-50 Mio. Euro Jahresumsatz oder mehr als 43 Mio. Euro Jahresbilanz haben. Große Unternehmen sind solche, die mindestens 250 Mitarbeitende oder mindestens 50 Mio. EUR Jahresumsatz haben. Zu den nun betroffenen Unternehmen gehören solche aus den folgenden Sektoren:

  • Anhang I regelt die Sektoren besonders wichtiger und wichtiger Einrichtungen: Energie, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Wasserversorgung, Digitale Infrastruktur, IKT-Dienste, Weltraum;
  • Anhang II umfasst weitere Sektoren wichtiger Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Herstellung von Waren, Digitale Dienste und Forschung.

Zur Kategorisierung sieht die NIS-2-Richtlinie Schwellenwerte vor:

  • Wichtige Einrichtungen: Mittlere Unternehmen (mehr als 50 Mitarbeiter oder mehr als 10 Mio. EUR Jahresumsatz oder mehr als 10 Mio. EUR Jahresbilanz)
  • Besonders wichtige Einrichtungen: Großunternehmen (mehr als 250 Mitarbeiter oder mehr als 50 Mio. EUR Jahresumsatz und mehr als Mio. EUR Jahresbilanz)
  • Betreiber kritischer Anlagen: werden nach ihrer Versorgungsrelevanz bestimmt (anlagenspezifische Schwellenwerte)

Dadurch wird der Anwendungsbereich in Deutschland enorm ausgeweitet. Insgesamt von den Regelungen betroffen werden damit ca. 21.600 Unternehmen als wichtige Einrichtungen, ca. 8.250 als besonders wichtige Einrichtungen und ca. 2.000 als Betreiber kritischer Anlagen.

2. Welche Pflichten sehen die NIS-2-Richtlinie und das NIS-2-UmsuCG-E vor?

Um ein dem beschriebenen Risiko angemessenes Schutzniveau herbeiführen zu können sieht die NIS-2-Richtlinie als eine wesentliche Pflicht die Umsetzung von Risikomanagement Maßnahmen zur Ergreifung geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen nach dem Stand der Technik vor.

Die Richtlinie stärkt und rationalisiert die Sicherheits- und Berichtspflichten für Unternehmen, indem sie einen Risikomanagementansatz vorschreibt, der einen Katalog an mindestens zu ergreifenden Maßnahmen enthält. Dieser Katalog umfasst Maßnahmen zur Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Krisenmanagement, Sicherheit in der Lieferkette, Cybersicherheitsschulungen. Außerdem werden genauere Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen eingeführt.

Um eine wirkliche Rechenschaftspflicht für die Cybersicherheitsmaßnahmen auf organisatorischer Ebene zu gewährleisten, führt die Richtlinie Bestimmungen über die Haftung natürlicher Personen ein, die Führungspositionen in den in den Anwendungsbereich der neuen Richtlinie fallenden Unternehmen innehaben.

Darüber hinaus befasst sich die Richtlinie mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, indem einzelne Unternehmen aufgefordert werden, Cybersicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen anzugehen.

3. Überwachung und Durchsetzung der Regelungen

Um die Durchsetzung wirksam zu gestalten, wird mit der neuen Richtlinie ein kohärenter Rahmen für Sanktionen in der gesamten Union geschaffen. Sie legt daher eine Mindestliste verwaltungsrechtlicher Sanktionen für Verstöße gegen die in der NIS-2-Richtlinie festgelegten Verpflichtungen für das Cybersicherheitsrisikomanagement und die Berichterstattung fest. Diese Sanktionen umfassen verbindliche Anordnungen, beispielsweise zur Umsetzung eines Sicherheitsaudits oder die Sicherheitsmaßnahmen mit den NIS-Anforderungen in Einklang zu bringen, und Verwaltungsbußgelder.

In Bezug auf Geldbußen unterscheidet die NIS-2-Richtlinie zwischen wesentlichen und wichtigen Stellen. In Bezug auf wesentliche Einrichtungen sind die Mitgliedstaaten verpflichtet, eine bestimmte Höhe von Geldbußen vorzusehen, insbesondere einen Höchstbetrag von mindestens 10 000 000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist. In Bezug auf wichtige Einrichtungen schreibt NIS-2 vor, dass die Mitgliedstaaten eine Geldbuße von höchstens 7 000 000 EUR oder mindestens 1,4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsehen, je nachdem, welcher Wert höher ist.

II. Digital Operational Resilience Act (DORA)

Mit dem Digital Operational Resilience Act (DORA) schafft die Europäische Kommission einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT(Informations- und Kommunikationstechnologien)-Risiken auf den Finanzmärkten. Die Hauptziele der Verordnung sind die Stärkung der operationale Widerstandsfähigkeit von Finanzunternehmen gegenüber Störungen, Cyberangriffen und anderen Risiken zu erhöhen, die Sicherstellung der Geschäftskontinuität durch Festlegung von Maßnahmen, um die Kontinuität der Geschäftsabläufe sicherzustellen und Ausfallzeiten zu minimieren, sowie den Schutz von Verbrauchern und Investoren durch Stärkung des Vertrauens in das Finanzsystem, indem Risiken für Verbraucher und Investoren reduziert werden.

1. Anwendungsbereich

Die Regelungen des DORA gelten für alle Finanzinstitute in der EU. Das umfasst traditionelle Finanzunternehmen wie Banken, Investmentfirmen und Kreditinstitute sowie nicht-traditionelle Entitäten wie Krypto-Asset-Serviceanbieter und Crowdfunding-Plattformen. Die Vorschrift listet 21 Tätigkeitsbereiche im Finanzsektor auf. Zudem gelten die Regelungen mittelbar für Anbieter von IKT-Drittdienstleistungen.

2. Regelungsinhalte

Der DORA regelt einen ganzheitlichen Rahmen für ein effektives Risikomanagement, das die betroffenen Finanzunternehmen umzusetzen haben. Hierfür sieht DORA das Aufsetzen eines internen Governance- und Kontrollrahmens zur Gewährleistung des IKT-Risikomanagements vor. Außerdem sind die Einrichtung und Pflege belastbarer IKT-Systeme und -Werkzeuge umzusetzen, die die Auswirkungen von IKT-Risiken minimieren, sowie die kontinuierliche Überwachung aller Quellen von IKT-Risiken, um Schutz- und Präventionsmaßnahmen einzurichten. Dazu kommt die Einführung spezieller und umfassender Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne, einschließlich jährlicher Tests der Pläne, die alle unterstützenden Funktionen abdecken und die Einrichtung von Mechanismen, um sowohl aus externen Ereignissen als auch aus eigenen IKT-Vorfällen zu lernen und sich weiterzuentwickeln. Die Verantwortung der Umsetzung des IKT-Risikomanagementrahmens liegt bei dem Leitungsorgan des Finanzunternehmens.

Des Weiteren trifft die Finanzunternehmen die Pflicht zur Klassifizierung und Behandlung von IKT-bezogenen Vorfällen. Sie müssen ein IKT-Vorfallmanagementprozess zur Aufzeichnung, Überwachung und Behebung von Vorfällen und eine Meldepflicht bei schwerwiegenden Vorfällen etablieren. Daneben sind Tests der operationalen Resilienz durch Einführung eines umfassenden Programms für digitale operationale Resilienz-Tests entsprechend eines risikobasierten Ansatzes durchzuführen.

Eine weitere wesentliche Pflicht betrifft das IKT-Drittparteienrisikomanagement. Der DORA sieht die Überwachung von IKT-Drittdienstleistern während des gesamten Lebenszyklus innerhalb des IKT-Risikorahmens vor, insbesondere durch detaillierte Vorgaben an vertragliche Vereinbarungen, sowie behördliche Überwachung kritischer IKT-Drittdienstleister.

3. Überwachung und Durchsetzung

Die Überwachung der Einhaltung des DORA erfolgt durch verschiedene Mechanismen. Die Finanzinstitute unterliegen der Aufsicht durch nationale und europäische Aufsichtsbehörden wie der Europäischen Zentralbank (EZB) oder der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Deutschland. Die Aufsichtsbehörden führen Prüfungen und Inspektionen durch, um die Einhaltung von DORA zu überwachen. Sie können unangekündigte Besuche vor Ort durchführen und Dokumente, Prozesse und Systeme prüfen. Daneben müssen die Finanzunternehmen regelmäßig Selbstbewertungen durchführen, um ihre eigene operationale Resilienz zu überprüfen und sicherzustellen, dass sie den Anforderungen von DORA entsprechen. Zudem müssen sie Vorfälle, die ihre operationale Resilienz beeinträchtigen könnten, an die Aufsichtsbehörden melden. Diese Meldungen werden analysiert, um mögliche Verstöße zu identifizieren.

Der DORA legt Sanktionen für Finanzunternehmen, die gegen die dargestellten Vorgaben verstoßen die folgenden Sanktionen fest. Zunächst können die Finanzunternehmen mit Geldbußen von bis zu 10 Millionen Euro oder 5 % ihres jährlichen Gesamtumsatzes belegt werden, je nach Schwere des Verstoßes. Daneben ermöglicht der DORA den Aufsichtsbehörden, öffentliche Rügen auszusprechen, um auf Verstöße hinzuweisen, sowie bei schwerwiegenden Verstößen vorübergehende oder dauerhafte Untersagungen für bestimmte Aktivitäten oder Dienstleistungen. Für kritische IKT-Drittdienstleiste sieht der DORA Geldbußen bis 1% den durchschnittlichen weltweiten Tagesumsatz vor.

​​​​​​​4. Ausblick

Für die Implementierung des DORA, der seit dem 17. Januar 2023 in Kraft ist gilt eine Umsetzungsfrist von zwei Jahren. Im Laufe des Jahres 2024 sind zur Umsetzung der Vorgaben die Veröffentlichungen Technische Regulierungsstandards (RTS) und Technische Durchführungsstandards (IST) geplant, die die Aufsichtsbehörden erarbeiten, um die Inhalte des DORA zu konkretisieren

III. Cyber Resilience Act (CRA)

Die Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act – CRA - genannt) wurde ebenfalls in der EU-Cybersicherheitsstrategie 2020 angekündigt und ergänzt die vorgenannten Rechtsvorschriften.

Die Regelungen des CRA stellen harmonisierte Vorschriften für das Inverkehrbringen von Produkten oder Software mit einer digitalen Komponente dar. Sie gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, mit Ausnahme bestimmter Ausschlüsse wie Open-Source-Software oder Dienste, die bereits unter bestehende Vorschriften fallen, wie beispielsweise Medizinprodukte oder Autos. Die Vorschriften sehen einen Rahmen von Cybersicherheitsanforderungen für die Planung, Gestaltung, Entwicklung und Wartung solcher Produkte mit Verpflichtungen, die in jeder Phase der Wertschöpfungskette zu erfüllen sind, vor. Diese Sorgfaltspflicht besteht für die Unternehmen für den gesamten Lebenszyklus solcher Produkte.

Mit Inkrafttreten der Verordnung müssen Software und Produkte, die mit dem Internet verbunden sind, die CE-Kennzeichnung tragen, um anzuzeigen, dass sie den neuen Normen entsprechen.

Die Verordnung ist seit dem 12. März 2024 in Kraft getreten. Die Hersteller müssen die Vorschriften 36 Monate nach ihrem Inkrafttreten anwenden. Die Kommission wird das Gesetz dann regelmäßig überprüfen und über dessen Funktionsweise berichten.

IV. Abschließende Handlungsempfehlung

Obwohl sowohl die NIS-2-Richtlinie als auch der DORA und CRA derzeit noch nicht anwendbar sind, ist es für Unternehmen wichtig sich zeitnah mit den Vorgaben auseinander zu setzen, um frühzeitig erkennen, ob und inwiefern sie von den Anwendungsbereich der Regelungen betroffen sein werden. Im Anschluss ist eine Gap-Analyse durchzuführen, die eine abgleichende Prüfung der umzusetzenden Maßnahmen mit den bereits ergriffenen Maßnahmen umfasst. Denn die Planung und Umsetzung der identifizierten Gaps und den entsprechenden Maßnahmen kann mit Herausforderungen verbunden sein. Zur Umsetzung können die Umsetzungshilfen der Aufsichtsbehörde (technische Regulierungs- (RTS) und Implementierungsstandards (ITS) genutzt werden. Jedenfalls müssen die Vorgaben bis Oktober 2024 (NIS-2-Richtlinie) bzw. bis Januar 2025 (DORA) umgesetzt sein.

Autor/in
Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686

Dr. Michael Rath

Dr. Michael Rath
Partner
Köln
michael.rath@luther-lawfirm.com
+49 221 9937 25795

Alina Moers

Alina Moers
Associate
Köln
alina.moers@luther-lawfirm.com
+ 49221 9937 24679

Alisa Schöneberg

Alisa Schöneberg
Associate
Köln
alisa.schoeneberg@luther-lawfirm.com
+49 221 9937 22872