News
NIS-2-Richtlinie: Neue Vorgaben zur Stärkung der Cyberresilienz und -sicherheit
Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.
Diese nun aufgehobene Richtlinie ließ den Mitgliedsstaaten einen sehr großen Umsetzungsspielraum. Dies führte zu nationalen Unterschieden beispielsweise in Bezug auf den Anwendungsbereich und die Verpflichtungen für Unternehmen, aber auch bei Aufsicht und Durchsetzung. Ziel der NIS-2-Richtlinie ist es, diese Fragmentierung des Binnenmarkts zwischen den Mitgliedstaaten zu beseitigen. Es soll ein einheitlicher Rechtsrahmen festgelegt werden, um ein einheitliches Niveau der Cyberresilienz im europäischen Binnenmarkt sicherzustellen.
Dazu sind eine Reihe von Maßnahmen auf nationaler Ebene sowie die Zusammenarbeit zwischen den EU-Staaten vorgesehen. So soll jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie erlassen und Computer-Notfallteams (CSIRTs) einrichten, welche auf Unionsebene in einem Netzwerk zusammenarbeiten. Außerdem ist die Einrichtung einer europäischen Schwachstellendatenbank, die Einsetzung einer Kooperationsgruppe zum Informationsaustausch zwischen den Mitgliedstaaten und die Einrichtung eines europäischen Netzwerks zum Informationsaustausch und Management von Cyberkrisen vorgesehen.
Für wen gilt die NIS-2-Richtlinie?
Durch die NIS-2-Richtlinie werden einheitliche Kriterien für den Anwendungsbereich festgelegt und dieser auf einen noch größeren Teil der Wirtschaft ausgeweitet. Im Vergleich zur NIS-Richtlinie wurde die Liste der kritischen Sektoren erweitert, sodass in Zukunft mehr Unternehmen als noch zuvor in den Anwendungsbereich fallen werden.
Adressaten der Richtlinie sind öffentliche und private sowie in der EU tätige Einrichtungen aus den in Anhang I und II der Richtlinie genannten Sektoren mit Kritikalität. Diese umfassen u.a. die Bereiche Energie, Verkehr, Bankwesen, die Finanzmarktinfrastrukturen sowie das Gesundheitswesen und die digitale Infrastruktur als Sektoren mit hoher Kritikalität. Neu hinzugekommen sind unter anderem die Sektoren Abwasser, öffentliche Verwaltung und Weltraum sowie die Verwaltung von IKT-Diensten.
Die genannten Einrichtungen fallen jedoch grundsätzlich nur dann in den Anwendungsbereich, wenn sie zudem die Schwellenwerte für mittlere Unternehmen nach der Definition der Kommission für KMU überschreiten. Dies gilt aktuell für Unternehmen der genannten Sektoren mit mehr als 50 beschäftigten Personen und einem Jahresumsatz oder einer Jahresbilanz von über 10 Mio. EUR.
Die Richtlinie erfasst jedoch auch bestimmte Einrichtungen mit Kritikalität unabhängig von ihrer Größe. Dies gilt zum Beispiel für bestimmte Anbieter von Kommunikationsnetzen und Kommunikationsdiensten, Vertrauensdiensteanbietern oder TLD-Namenregister und DNS-Diensteanbietern. Das bedeutet, dass in diesen Bereichen auch Kleinstunternehmen und kleine Unternehmen von der Richtlinie erfasst sein können.
Wesentliche und wichtige Einrichtungen
Die Richtlinie unterscheidet zudem zwischen wesentlichen und wichtigen Einrichtungen (Art. 3 NIS-2-RL), wobei die Einordnung nach dem Grad der Kritikalität des Sektors erfolgt und sich unter anderem auf den Umfang der durch die nationalen Behörden durchführbaren Maßnahmen auswirkt. Wesentliche Einrichtungen sind insbesondere die in Anhang I genannten. Dazu zählen beispielsweise die Sektoren Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur. Darüber hinaus können Einrichtungen auch durch die Mitgliedstaaten als wesentlich eingestuft werden.
Zu den wichtigen Einrichtungen gehören hingegen solche aus den in Anhang I oder II aufgeführten Bereichen, die nicht als wesentlich nach den Kriterien der Richtlinie gelten. Darunter fallen insbesondere die in Anhang II genannten sonstigen kritischen Sektoren, wie beispielsweise Post- und Kurierdienste, die Herstellung bestimmter Waren (zum Beispiel Medizinprodukte, Datenverarbeitungsgeräte und Kfz) sowie Anbieter digitaler Dienste.
Verpflichtungen
Die NIS-2-Richtlinie legt den in ihren Anwendungsbereich fallenden Einrichtungen umfangreiche Verpflichtungen auf. Wesentliche und wichtige Einrichtungen müssen Risikomanagementmaßnahmen im Bereich der Cybersicherheit ergreifen, die eine Reihe von Anforderungen umfassen (Art. 21 Abs. 2 NIS-2-RL). Dazu gehören unter anderem Sicherheitskonzepte und Schulungen im Bereich der Cybersicherheit. Darüber hinaus können wesentliche und wichtige Einrichtungen dazu verpflichtet werden, im Bereich der IT bestimmte, bezüglich der Cybersicherheit zertifizierte IKT-Produkte, -Dienste und -Prozesse zu verwenden (Art. 24 Abs. 1 NIS-2-RL).
Bei den in Art. 23 Abs. 3 NIS-2-RL näher definierten erheblichen Sicherheitsvorfällen bestehen für wesentliche und wichtige Einrichtungen zudem Meldepflichten gegenüber der zuständigen Stelle. Eine erste Meldung (Frühwarnung) hat unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls erfolgen. Eine zweite Meldung mit einer ersten Bewertung des Vorfalls ist innerhalb von 72 Stunden zu übermitteln. Spätestens nach einem Monat muss ein Abschlussbericht an die zuständige Stelle übersendet werden. Gegebenenfalls müssen wesentliche und wichtige Einrichtungen die Empfänger ihrer Dienste auch selbst über erhebliche Cyberbedrohungen informieren (Art. 23 Abs. 2 NIS-2-RL). Die Kommission kann Durchführungsrechtsakte erlassen, in denen die Art der Angaben und die Form der Meldung näher bestimmt werden.
Maßnahmen und Befugnisse
Die NIS-2-Richtlinie weist ein beachtliches Maßnahmen- und Sanktionsregime auf, das sich abhängig von der Einstufung der betroffenen Einrichtung unterscheidet.
Zu den möglichen Maßnahmen zählen unter anderem Vor-Ort-Kontrollen und gezielte Sicherheitsprüfungen (die Kosten sind unter Umständen von der geprüften Einrichtung zu tragen). Die Behörden können Informationen anfordern und den Zugang zu Daten, Dokumenten und sonstigen Informationen verlangen. Dies schließt die Anforderung von Nachweisen über die Umsetzung der Cybersicherheitskonzepte ein. Ferner haben die zuständigen Behörden unter anderem die Befugnis Warnungen herauszugeben und eine Reihe von Anweisungen zu erlassen.
Gegen wesentliche Einrichtungen können weitreichendere Maßnahmen, wie zum Beispiel Ad-hoc-Prüfungen, Stichprobenkontrollen oder regelmäßige Sicherheitsüberprüfungen ergriffen werden. Auch kann die Behörde sie zur Benennung eines Überwachungsbeauftragten verpflichten und unter bestimmten Voraussetzungen sogar die Zertifizierung oder die Genehmigung vorübergehend aussetzen (Art. 32 Abs. 5 lit. a NIS-2-RL).
Bußgelder
Die Bußgelder für die Nichteinhaltung der Risikomanagementmaßnahmen und Berichtspflichten können für wesentliche Einrichtungen mindestens bis zu 10 Millionen EUR oder 2 % des weltweiten Vorjahresumsatzes betragen, je nachdem welcher Betrag höher ist. Gegen wichtige Einrichtungen können Bußgelder von mindestens bis zu 7 Millionen EUR oder 1,4 % des weltweiten Vorjahresumsatzes festgesetzt werden.
Im Gegensatz zur Verhängung von Bußgeldern nach der DSGVO werden Geldbußen in der NIS-2-Richtlinie nicht „zusätzlich zu oder anstelle von Maßnahmen“ verhängt, sondern „zusätzlich zu jeglichen der Maßnahmen“ die in Art. 34 Abs. 2 NIS-2-Richtlinie genannt sind.
Im Verhältnis zur DSGVO ist außerdem zu beachten, dass ein Verstoß, welcher bereits zu einer DSGVO-Geldbuße geführt hat, nicht noch einmal mit einer Geldbuße nach der NIS-2-Richtlinie sanktioniert werden kann, auch wenn das Verhalten an sich einen Verstoß gegen Regelungen dieser Richtlinie darstellt (Art. 35 Abs. 2 NIS-2-RL).
Verhältnis zum Datenschutzrecht
Die NIS-2-Richtlinie lässt die DSGVO unberührt (ErwG 14 NIS-2-RL) und verweist an mehreren Stellen auf deren Regelungen zum Schutz personenbezogener Daten. Da die Verarbeitung personenbezogener Daten im Rahmen der Richtlinie der DSGVO unterliegt, dürfen die in der NIS-2-Richtlinie genannten Stellen und Einrichtungen personenbezogene Daten nur im Einklang mit der DSGVO verarbeiten (Art. 2 Abs. 14 NIS-2-RL). ErwG 121 NIS-2-RL deutet an, dass als Rechtsgrundlage zur Verarbeitung personenbezogener Daten, wenn es um die Gewährleistung der Sicherheit von Netz- und Informationssystemen geht, eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) in Betracht kommen könnte.
Die nach der NIS-2-Richtlinie zuständigen Behörden sollen mit den Datenschutzbehörden zusammenarbeiten (ErwG 108 und Art. 31 Abs. 3 NIS-2-RL) und ihnen Datenschutzverstöße melden (Art. 35 NIS-2-RL).
Weiteres Verfahren und Empfehlungen
Die NIS-2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und tritt am 16. Januar 2023 in Kraft. Danach müssen die Mitgliedstaaten die Vorschriften bis zum 17. Oktober 2024 in nationales Recht umsetzen. Ab dem auf diese Frist folgenden Tag sind die Vorschriften innerstaatlich anwendbar.
Aufgrund der umfangreichen Anforderungen der NIS-2-Richtlinie sowie der absehbaren Zeit bis zur Umsetzung in nationales Recht raten wir dazu, frühzeitig auf die neuen Regelungen zu reagieren.
News
NIS-2-Richtlinie konkretisiert: Was die Durchführungsverordnung 2024/2690 für Cloud-Computing-Dienste und Managed Service Provider bedeutet
Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.
Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.
Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.