Cybersecurity-Revolution und viele Fragen: Die NIS2-Richtlinie bringt neue Herausforderungen und Chancen
Autorin: Dr. Nathalie Alon, LL.M.
In einer zunehmend digitalisierten Welt ist die Cybersicherheit zu einem vorrangigen Anliegen für Unternehmen verschiedenster Branchen geworden. Die EU ergreift daher tiefgreifende Maßnahmen, um die Cybersicherheitspraktiken durch die Richtlinie über Netz- und Informationssicherheit („NIS2“) zu stärken. Diese Richtlinie, die umfassende Änderungen mit sich bringt, hat erhebliche Auswirkungen auf Unternehmensgruppen und ihre Tochterunternehmen, einschließlich kleiner und mittlerer Unternehmen („KMU“).
Verständnis der NIS2-Richtlinie und ihres Anwendungsbereichs
Die NIS2 ist ein Update der ursprünglichen Richtlinie über Netz- und Informationssicherheit („NIS“), die darauf abzielt, den gesamten Rahmen der EU für Cybersicherheit zu stärken. Ihr Anwendungsbereich erstreckt sich über kritische Infrastrukturen und Anbieter wesentlicher und wichtiger Dienstleistungen, wie etwa das Gesundheitswesen, digitale Infrastruktur, Abfallbewirtschaftung oder Post- und Kurierdienste.
Auswirkungen auf Konzerne und KMU
Für Konzerne bringt NIS2 sowohl Herausforderungen als auch Chancen mit sich. Gerade in großen Konzernen stellt sich bei der Anwendung der NIS2 eine große Herausforderung beim sogenannten Scoping. Scoping bedeutet in diesem Fall zu entscheiden, welche der Tochtergesellschaften in den Anwendungsbereich der NIS2 fallen und welche nicht. Oder fällt der gesamte Konzern automatisch in den Scope der NIS2, wenn auch nur eine Tochtergesellschaft eine NIS2-relevante Dienstleistung erbringt? Fragen über Fragen. Einige Fragen versuchen wir im Folgenden näher zu beleuchten:
IN or OUT?
Speziell bei Konzernen mit einer komplexen Struktur sollte immer eine Einzelfallprüfung in Betracht gezogen werden. Für die Beurteilung muss neben der Unternehmensgröße (Anzahl Mitarbeiter und Jahresumsatz bzw. Bilanz) auch berücksichtigt werden, ob es sich um ein eigenständiges Unternehmen, Partnerunternehmen oder ein verbundenes Unternehmen handelt.
Grundsätzlich wäre der jeweilige Konzern zunächst gesamthaft zu betrachten. Sollte also ein Teilbereich des Konzerns in den Anwendungsbereich der NIS2 fallen, würde der gesamte Konzern in den Anwendungsbereich der NIS2 fallen, da es sich bei den Konzerngesellschaften meist um verbundene Unternehmen (Beteiligungen an anderen Unternehmen über 50%) handelt.
Dies soll verhindern, dass sich große Unternehmen in kleinere Unternehmen aufsplitten, um so zu vermeiden in den Anwendungsbereich der NIS2 zu fallen, da neben dem Sektor die Mitarbeiter:innenanzahl des Unternehmens eine der wesentlichen Kenngrößen darstellt. Es müssen somit also die Zahlen (Mitarbeiter:innen, Jahresumsatz, Jahresbilanzsumme) des gesamten Konzerns herangezogen werden. Somit würden mit hoher Wahrscheinlichkeit sämtliche Tochtergesellschaften die Voraussetzungen erfüllen und damit der NIS2 unterliegen. Eine Beurteilung jeder Tochtergesellschaft für sich – also mit losgelösten, eigenständigen Zahlen – ist grundsätzlich daher nicht möglich.
Ausnahmen bilden die Regel
Hier kommt der Erwägungsgrund 16 der NIS2 RL ins Spiel. Dieser lautet:
“Um zu vermeiden, dass Einrichtungen, die Partnerunternehmen haben oder verbundene Unternehmen sind, als wesentliche oder wichtige Einrichtungen betrachtet werden, wenn dies unverhältnismäßig wäre, können die Mitgliedstaaten […] Grad der Unabhängigkeit einer Einrichtung gegenüber ihren Partnerunternehmen und verbundenen Unternehmen berücksichtigen. […]“.
Zieht man also den ErwGr 16 in Betracht, so kann ein Konzern evaluieren, ob eine Tochtergesellschaft wesentliche bzw wichtige Dienstleistungen im Sinne der NIS2 erbringt und somit für sich gesehen in den Anwendungsbereich der NIS2 fallen würde. Wir empfehlen bereits jetzt eine erste Erhebung mit entsprechender Dokumentation durchzuführen, ob in den Tochtergesellschaften NIS2-relevante Tätigkeiten durchgeführt werden. Unseres Erachtens kann nur mit einer entsprechenden Begründung und Dokumentation der ErwGr 16 plausibel dargestellt werden. Zum jetzigen Zeitpunkt gibt es leider noch keine Details welchen Umfang die Dokumentation seitens des österreichischen Gesetzgebers aufweisen muss.
Hat man im ersten Schritt identifiziert ob das Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, sollte man sich zeitnahe mit der Umsetzung der Anforderungen beschäftigten und sich entsprechend vorbereiten. Dazu finden Sie im Folgenden einige Tipps, die bei der Vorbereitung auf die NIS2 im Blick behalten werden sollten:
1. Erweiterte Compliance-Anforderungen: NIS2 legt strengere Cybersicherheitsverpflichtungen für Organisationen fest, unabhängig von ihrer Größe. Um diese Anforderungen zu erfüllen sind teilweise deutliche Anpassungen an die Cybersicherheitspraktiken und als Konsequenz auch der Budgets erforderlich.
2. Grenzüberschreitende Koordination: Auch eine grenzüberschreitende Zusammenarbeit innerhalb der Unternehmensgruppen ist sicherzustellen, um eine effektive Kommunikation zwischen dem Mutterunternehmen und den Tochterunternehmen zu etablieren und die Compliance-Standards zu erfüllen.
3. Analyse der Lieferkette: Auch die Sicherheit der Lieferkette und damit die Prüfung der jeweiligen Lieferanten zB Anbieter von Datenspeicherungs- und -verarbeitungsdiensten oder Anbietern von verwalteten Sicherheitsdiensten und Softwareherstellern ist sicherzustellen.
4. Strafen bei Nicht-Compliance: NIS2 führt schwerwiegendere Strafen bei Nicht-Compliance ein, einschließlich Geldbußen von bis zu 2% des weltweiten Jahresumsatzes oder 10 Mio EUR.
Anwendung für kleine und mittlere Unternehmen
Obwohl NIS2 auf KMU anwendbar ist, ist es wichtig zu verstehen, dass die Richtlinie die unterschiedlichen Kapazitäten und Risikoprofile von Organisationen anerkennt. Hier sind einige Überlegungen für KMU:
1. Verhältnismäßigkeit: NIS2 erkennt das Prinzip der Verhältnismäßigkeit an, was bedeutet, dass Cybersicherheitsmaßnahmen umzusetzen sind, die entsprechend ihrer Größe und der Art ihrer Dienstleistungen angemessen sind.
2. Unterstützungsmechanismen: Nationalen Behörden sowie Branchenvertreter sollen entsprechende Leitlinien sowie Unterstützung bei der effektiven Erfüllung der Anforderungen von NIS2 zu helfen.
3. Risikobasierter Ansatz: Es sollte ein risikobasierter Ansatz zur Cybersicherheit verfolgt werden, bei dem der Schwerpunkt auf der Behebung der wichtigsten Schwachstellen sowie der Erfüllung der Anforderungen der NIS2 liegt und sichergestellt wird, dass Ressourcen effizient eingesetzt werden.
Zusammenfassend lässt die NIS2-Richtlinie eine signifikante Veränderung in der Herangehensweise der EU an die Cybersicherheit erkennen, die auch verbundene Unternehmen vor große Herausforderungen stellt. Durch proaktive und vorausschauende Maßnahmen zur Bewertung, Planung und Anpassung kann die Compliance mit NIS2 sichergestellt und die Cybersicherheitsposition in diesem sich entwickelnden Umfeld gestärkt werden.