NIS2 – viele Fragen, wenig Klarheit?!
An sich ist NIS2 ja ein sinnvolles Gesetz, denn dass sich (Cyber-)Sicherheitsfälle mehren, hat so mancher schon am eigenen Leib erfahren. Fraglich ist für Unternehmen, insb. aus den als potentiell kritisch geltenden Sektoren Gesund, Abfallwirtschaft, verarbeitendes Gewerbe, jedoch: Fällt mein Unternehmen unter NIS2 und welche Pflichten kommen damit auf mich zu? Daher schauen wir uns heute mal an, wen NIS2 betrifft.
Bei der Einschätzung soll Inhabern ein Formular des BSI helfen: https://betroffenheitspruefung-nis-2.bsi.de/. Doch schon bei den ersten Fragen, wird mancher entnervt aufgeben wollen. Wir haben das daher mal „durchdekliniert“. Auf die erste(n) Frage(n), ob das Unternehmen entgeltlich Waren oder Dienstleistungen anbietet und einer der in Anlage 1 oder Anlage 2 des BSIG bestimmten Einrichtungsarten zuzuordnen ist, lautet die Antwort i. d. R. „nein“ (außer Sie geben beispielweise als Apotheker mehr als 4,65 Mio. Packungen aus – herzlichen Glückwunsch, dann sind Sie Kritis-Betreiber und haben über NIS2 hinausgehende Pflichten). Bei Fragen zu Mitarbeiterzahlen gilt: Gezählt werden alle Beschäftigten aller vom Inhaber geführten Einheiten, unabhängig von der Beschäftigungsform, Teilzeitkräfte werden in Vollzeitäquivalente umgerechnet.
Nun wird es spannend … haben Sie mehr als 250 Beschäftigte bzw. 50 Mio. € Jahresumsatz (Jahresbilanzsumme 43 Mio. €), unterliegen Sie der Pflicht zur Registrierung usw. (mehr dazu unten). Haben Sie dagegen mehr als 50 MA bzw. 10 Mio. € Jahresumsatz oder -bilanzsumme, unterliegen Sie ebenfalls der Pflicht zur Registrierung usw.
Wenn Sie jetzt glauben, dass das merkwürdig klingt, liegen Sie zwar nicht falsch, aber auch nicht richtig, denn unabhängig von gleichen Pflichten bzw. grundlegenden Sicherheitsanforderungen gibt es einen Unterschied zwischen den beiden Fällen: Im ersten Fall gilt man als besonders wichtige Einrichtung, im zweiten „nur“ als wichtige Einrichtung. Und das hat Auswirkungen auf Sanktionen und Aufsichtsintensität: Besonders wichtige Einrichtungen werden strenger und proaktiv (nicht wie die „nur“ wichtigen Einrichtungen lediglich reaktiv) überwacht – außerdem fallen die Bußgelder im Fall der Fälle höher aus.
Fällt Ihr Unternehmen unter NIS2, sind Sie verpflichtet, es zu registrieren (§ 33 BSIG), Cybersicherheitsrisikomanagementmaßnahmen umzusetzen (§ 30 BSIG) und erhebliche Sicherheitsvorfälle zu melden (§ 32 BSIG). Hier geht es um oftmals auch datenschutzrechtlich relevante Themen: Risikoanalyse, Backup-Management, Authentifizierung, Daten- und Netzwerksicherheit, Anbietersicherheit.
Doch auch, wenn Sie sich noch in Sicherheit wiegen, weil keins der oben erwähnten Kriterien zutrifft, kann sie das Schicksal „auf Umwegen einholen“, nämlich wenn Sie einen unter NIS2 fallenden Kunden haben. Denn ein Unternehmen, das unter die NIS2-Regelungen fällt, muss seine Lieferkettensicherheit sicherstellen. Und sollte Ihr Unternehmen in einer solchen Lieferkettenbeziehung stehen, wird ggf. Ihr Kunde fragen, ob Sie NIS2-compliant sind …
An sich ist NIS2 ja ein sinnvolles Gesetz, denn dass sich (Cyber-)Sicherheitsfälle mehren, hat so mancher schon am eigenen Leib erfahren. Fraglich ist für Unternehmen, insb. aus den als potentiell kritisch geltenden Sektoren Gesund, Abfallwirtschaft, verarbeitendes Gewerbe, jedoch: Fällt mein Unternehmen unter NIS2 und welche Pflichten kommen damit auf mich zu? Daher schauen wir uns heute mal an, wen NIS2 betrifft.
Bei der Einschätzung soll Inhabern ein Formular des BSI helfen: https://betroffenheitspruefung-nis-2.bsi.de/. Doch schon bei den ersten Fragen, wird mancher entnervt aufgeben wollen. Wir haben das daher mal „durchdekliniert“. Auf die erste(n) Frage(n), ob das Unternehmen entgeltlich Waren oder Dienstleistungen anbietet und einer der in Anlage 1 oder Anlage 2 des BSIG bestimmten Einrichtungsarten zuzuordnen ist, lautet die Antwort i. d. R. „nein“ (außer Sie geben beispielweise als Apotheker mehr als 4,65 Mio. Packungen aus – herzlichen Glückwunsch, dann sind Sie Kritis-Betreiber und haben über NIS2 hinausgehende Pflichten). Bei Fragen zu Mitarbeiterzahlen gilt: Gezählt werden alle Beschäftigten aller vom Inhaber geführten Einheiten, unabhängig von der Beschäftigungsform, Teilzeitkräfte werden in Vollzeitäquivalente umgerechnet.
Nun wird es spannend … haben Sie mehr als 250 Beschäftigte bzw. 50 Mio. € Jahresumsatz (Jahresbilanzsumme 43 Mio. €), unterliegen Sie der Pflicht zur Registrierung usw. (mehr dazu unten). Haben Sie dagegen mehr als 50 MA bzw. 10 Mio. € Jahresumsatz oder -bilanzsumme, unterliegen Sie ebenfalls der Pflicht zur Registrierung usw.
Wenn Sie jetzt glauben, dass das merkwürdig klingt, liegen Sie zwar nicht falsch, aber auch nicht richtig, denn unabhängig von gleichen Pflichten bzw. grundlegenden Sicherheitsanforderungen gibt es einen Unterschied zwischen den beiden Fällen: Im ersten Fall gilt man als besonders wichtige Einrichtung, im zweiten „nur“ als wichtige Einrichtung. Und das hat Auswirkungen auf Sanktionen und Aufsichtsintensität: Besonders wichtige Einrichtungen werden strenger und proaktiv (nicht wie die „nur“ wichtigen Einrichtungen lediglich reaktiv) überwacht – außerdem fallen die Bußgelder im Fall der Fälle höher aus.
Fällt Ihr Unternehmen unter NIS2, sind Sie verpflichtet, es zu registrieren (§ 33 BSIG), Cybersicherheitsrisikomanagementmaßnahmen umzusetzen (§ 30 BSIG) und erhebliche Sicherheitsvorfälle zu melden (§ 32 BSIG). Hier geht es um oftmals auch datenschutzrechtlich relevante Themen: Risikoanalyse, Backup-Management, Authentifizierung, Daten- und Netzwerksicherheit, Anbietersicherheit.
Doch auch, wenn Sie sich noch in Sicherheit wiegen, weil keins der oben erwähnten Kriterien zutrifft, kann sie das Schicksal „auf Umwegen einholen“, nämlich wenn Sie einen unter NIS2 fallenden Kunden haben. Denn ein Unternehmen, das unter die NIS2-Regelungen fällt, muss seine Lieferkettensicherheit sicherstellen. Und sollte Ihr Unternehmen in einer solchen Lieferkettenbeziehung stehen, wird ggf. Ihr Kunde fragen, ob Sie NIS2-compliant sind …
