Während die beiden letzteren die Cybersicherheit bei vernetzten Hardund Softwareprodukten bzw. im Finanzsektor zum Gegenstand haben, richtet sich NIS-2 an andere Branchen. Sie sind genau definiert und erfassen unter anderem sämtliche Tätigkeiten, die mit der industriellen Produktion und Verarbeitung von Lebensmitteln sowie dem Grosshandel zusammenhängen.
Erfolgen solche Tätigkeiten durch Schweizer Konzerne, sind sie zwar nicht direkt von NIS-2 betroffen; extraterritoriale Pflichten kennt die Richtlinie nur für bestimmte IT-Unternehmen.
Aber schon wenn es rechtlich unselbstständige Niederlassungen in der EU sind, greift NIS-2, denn ausreichend ist die «effektive und tatsächliche Ausübung der Tätigkeit durch eine feste Einrichtung ». Schweizer Konzerne müssen also damit rechnen, dass EUMitgliedstaaten sämtliche Pflichten aus NIS-2 für die Niederlassungen einfordern und Bussen verhängen. Selbst wenn letztere in der Schweiz nicht durchzusetzen sind, drohen jedenfalls Reputationsschäden. Auch Schadensersatzansprüche sind denkbar und entsprechende Urteile können im Wege der Rechtsöffnung gegebenenfalls in der Schweiz vollstreckt werden.
Bei Verstössen drohen Unternehmen Bussen bis zu 7 Mio. EUR oder sogar bis zu 1,4 Prozent des Gesamtumsatzes.
Für EU-Tochtergesellschaften gilt NIS-2 unmittelbar, da sie rechtlich selbstständig sind.
Immerhin sind Niederlassungen sowie Tochtergesellschaften mit weniger als 250 Mitarbeitern von NIS-2 ausgenommen, sofern ihr Jahresumsatz 50 Mio. EUR oder ihre Jahresbilanzsumme 43 Mio. EUR nicht übersteigt.
Ziel von NIS-2 ist es, EU-weit ein hohes Cybersicherheitsniveau sicherzustellen, um auf diesem Wege das Funktionieren des Binnenmarkts zu verbessern. Hierzu werden Unternehmen insbesondere vier Pflichten auferlegt:
1. Vorweg müssen sie sich bei der im jeweiligen EU-Mitgliedstaat zuständigen Behörde registrieren lassen. In Deutschland ist dies z. B. das Bundesamt für Sicherheit in der Informationstechnik (BSI), in Frankreich die Agence nationale de la sécurité des systèmes d’information (ANSSI), in Italien die Agenzia per la cybersicurezza nazionale (ACN).
2. Hauptpflicht sind Risikomanagementmassnahmen. Unternehmen müssen angemessene technische, operative und organisatorische Massnahmen ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf ihre Kunden zu verhindern oder möglichst gering zu halten. Eine gewisse Rechtssicherheit im Umgang mit dieser Anforderung ermöglichen einige Regelbeispiele. Hervorzuheben sind dabei eine umfassende Risikoanalyse und, basierend auf dem Stand der Technik, die technische Sicherheit der IT. Wichtig sind auch personenbezogene Massnahmen wie Schulungen (auch für Leitungsorgane), Zugriffsbegrenzungen oder die Verwendung einer Multi-Faktor-Authentifizierung. Ebenfalls sichergestellt werden muss unbedingt die Aufrechterhaltung des Betriebs bzw. seine schnellstmöglichen Wiederaufnahme (insbesondere durch Back-up- und Krisenmanagement). Einen Schwerpunkt legt NIS-2 zudem bei der Sicherheit der Lieferkette: Auch der Cybersicherheit dieser Drittunternehmen ist Rechnung zu tragen.
3. NIS-2 sieht aber auch Pflichten für die Leitungsorgane vor, denn sie müssen die Risikomanagementmassnahmen billigen und ihre Umsetzung überwachen. Anderenfalls droht ihnen, sollten sie über keine Freistellung verfügen, eine persönliche Haftung.
4. Mit einem aufwendigen Berichtsverfahren müssen Unternehmen der nationalen Meldestelle jeden Sicherheitsvorfall unverzüglich anzeigen, der bei ihnen schwerwiegende Betriebsstörungen bzw. finanzielle Verluste zur Folge haben kann oder der bei Dritten zu erheblichen Schäden führen kann. Zunächst ist eine Frühwarnung abzugeben, die alsbald zu aktualisieren ist. Hierauf folgt auf Wunsch der Behörde ein Zwischenbericht, in jedem Fall muss aber ein detaillierter Abschlussbericht vorgelegt werden. Ihm kann bei einem andauernden Sicherheitsvorfall noch ein Fortschrittsbericht vorgeschaltet sein. Das nationale Recht kann in bestimmten Fällen die Unternehmen sogar verpflichten, die Öffentlichkeit über den Sicherheitsvorfall zu informieren, insbesondere um ihn zu verhindern oder zu bewältigen.
Bei Verstössen gegen die Risikomanagement- oder Berichtspflichten drohen Unternehmen der Lebensmittelindustrie Bussen bis zu 7 Mio. EUR oder sogar bis zu 1,4 Prozent des Gesamtumsatzes. Andere Branchen übrigens, z. B. Gesundheitswesen oder Infrastruktur, sehen sich noch höheren Bussen ausgesetzt.
Schweizer Konzerne müssen damit rechnen, dass EU-Mitgliedstaaten sämtliche Pflichten aus der Cybersicherheits- Richtlinie NIS-2 für die Niederlassungen einfordern und Bussen verhängen.
Quellen
[1] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Umgesetzt wurde sie in Deutschland – verspätet – durch eine Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG).
[2] Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828.
[3] Verordnung (EU) 2022/2554 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011.