Cyberangriffe sind längst keine Einzelfälle mehr und können enorme wirtschaftliche Schäden verursachen. Nach Schätzungen des Digitalverbandes Bitkom haben deutsche Unternehmen allein im Jahr 2022 einen Schaden von insgesamt 203 Mrd. Euro erlitten, wobei nahezu jedes deutsche Unternehmen bereits einmal Ziel eines Cyberangriffs gewesen sein soll. Neben den quantifizierbaren finanziellen Verlusten entstehen auch erhebliche immaterielle Schäden. Hierbei kann insbesondere der potenzielle Reputationsverlust für Unternehmen infolge von Cyberangriffen erhebliche negative Auswirkungen nach sich ziehen. Der Bedarf einer umfassenden Regulierung sowie die Umsetzung relevanter Maßnahmen durch Unternehmen wird dadurch immer deutlicher.

Mit der Anfang 2023 in Kraft getretenen Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS2-Richtlinie“) will die EU nun Abhilfe schaffen. Allerdings stellt die Implementierung der Anforderungen, die sich aus der Richtlinie bzw. den nationalen Umsetzungsakten ergeben, viele Unternehmen vor große Herausforderungen.

Doch eine intensive Auseinandersetzung mit der Einhaltung der (neuen) Anforderungen lohnt sich: Die NIS2-Richtlinie sieht Bußgelder für wesentliche Einrichtungen von bis zu 10 Mill. Euro oder 2% des gesamten weltweit erzielten Vorjahresumsatzes des jeweiligen Konzerns und bis zu 7 Mill. Euro oder 1,4% des gesamten weltweiten Vorjahresumsatzes für wichtige Einrichtungen vor. Zudem existieren in den nationalen Umsetzungsakten weitere Tatbestände, die empfindliche Bußgelder festlegen.

Die Frist für die Umsetzung der NIS2-Richtlinie durch die EU-Mitgliedstaaten ist am 17. Oktober 2024 abgelaufen. Einige EU-Mitgliedstaaten, darunter Belgien, Ungarn und Italien, haben die Richtlinie bereits in nationales Recht umgesetzt. In Deutschland steht die Umsetzung in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes („NIS2UmsuCG“), das ursprünglich für März 2025 vorgesehen war, nach dem Bruch der Ampel-Koalition am 6. November 2024 nunmehr auf der Kippe. Es bleibt abzuwarten, ob das NIS2UmsuCG in absehbarer Zeit verabschiedet wird.

Trotz der derzeitigen politischen Unsicherheit in Deutschland stehen global tätige Konzerne  vor der Herausforderung zu prüfen, inwiefern nationale NIS2-Umsetzungsakte bereits in Kraft getreten sind (oder im Entwurf vorliegen) und welche Auswirkungen die Umsetzungsgesetze auf das jeweilige Unternehmen haben. Diese Prüfung gestaltet sich oft als komplex und unübersichtlich.

Unklarheiten ergeben sich z.B. daraus, dass die NIS-2-Richtlinie keine Konzernregelung enthält. Vielmehr knüpft sie den Anwendungsbereich an den Begriff der Einrichtung. Innerhalb eines Konzerns ist nur diejenige juristische Person zur Umsetzung der Maßnahmen verpflichtet, die die in den Anwendungsbereich fallenden Tätigkeiten ausübt oder die Dienste erbringt. Bei der Frage, ob die Schwellenwerte der KMU-Definition („kleine und mittlere Unternehmen“) überschritten werden, werden Unternehmensgruppen dagegen berücksichtigt.

In global tätigen Konzernen ist ferner zu prüfen, ob Tochtergesellschaften eines ausländischen Konzerns von den Vorgaben der NIS2-Richtlinie erfasst sind, etwa weil sie innerhalb der EU Tätigkeiten ausüben oder Dienstleistungen erbringen. Hierbei ist indes zu beachten, dass sich die nationalstaatliche Zuständigkeit grundsätzlich nach dem Sitz der Einrichtung richtet.

Auch die Anforderungen an Cybersecurity- und Risikomanagement-Maßnahmen sowie an Registrierungs- und Meldepflichten werfen, nicht zuletzt aufgrund unterschiedlicher Umsetzungen durch die EU-Mitgliedstaaten, praxisrelevante Fragen für internationale Unternehmen auf. Ein Beispiel ist Belgien: Der belgische Gesetzgeber ist mit dem am 26. April 2024 verabschiedeten „NIS2-Gesetz“ nur geringfügig von den Vorgaben der NIS2-Richtlinie abgewichen. Für die Registrierung gewährt das Gesetz den betroffenen Unternehmen eine Frist von fünf Monaten ab dem Inkrafttreten am 18. Oktober 2024. Der Entwurf des NIS2UmsuCG sieht hingegen eine dreimonatige Registrierungsfrist für „wichtige“ und „besonders wichtige“ Einrichtungen vor, die ab dem Zeitpunkt zu laufen beginnt, an dem die Einrichtung erstmals oder erneut als solche gilt.

Weitere Unterschiede können sich aus der unterschiedlichen Ausgestaltung der Sektoren ergeben, die dazu führte, dass Ungarn beispielsweise in seinem Umsetzungsakt „Gesetz über die Zertifizierung und Überwachung der Cybersicherheit“ den Anwendungsbereich auf öffentliche Verkehrsmittel ausgeweitet hat.

Unternehmen und insbesondere global tätige Konzerne sollten die NIS2-Vorgaben im Ergebnis nicht nur als gesetzliche Pflicht, sondern als strategische Notwendigkeit für ihre Zukunftsfähigkeit ansehen und das ganz unabhängig von dem derzeitigen politischen Stillstand in Deutschland.

Je proaktiver und gründlicher sie sich mit den Anforderungen im Bereich Cybersicherheit auseinandersetzen, desto besser dürften sie auf aktuelle und künftige Herausforderungen vorbereitet sein.