Die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2) aktualisiert die ursprüngliche NIS 1, um die Cybersicherheit in wichtigen Sektoren der EU zu verbessern, erweitert ihren Anwendungsbereich auf weitere Branchen und führt strengere Anforderungen ein.

Es handelt sich um:

• Betreiber von wesentlichen Diensten (OES) z.B. in den Bereichen Energie, Bankwesen, Transport, digitale Infrastruktur, ICT-Service-Management (B2B); und
• Betreiber wichtiger Dienste wie Postdienste, Abfallwirtschaft, Forschung, digitale Anbieter.

Es gilt für Unternehmen, die:

• Erreichen Sie die Schwellenwerte
• Ein Unternehmen in der EU haben.
• Sind außerhalb der EU ansässig, bieten jedoch ihre Dienstleistungen innerhalb der EU an.

Ein Digitaler Dienstleister ist jede juristische Person, die einen digitalen Dienst anbietet.

• Online-Marktplätze: Ein Online-Marktplatz ist eine Plattform, die den Verkauf oder Verträge erleichtert (z. B. App-Stores). Der Begriff umfasst nicht Online-Dienste, die nur als Vermittler für Drittanbieterdienste fungieren, über die letztendlich ein Vertrag abgeschlossen werden kann.
• Online-Suchmaschinen: Eine Online-Suchmaschine ermöglicht die Suche auf Websites. Suchfunktionen, die auf den Inhalt einer bestimmten Website beschränkt sind, auch wenn die Funktion von einer externen Suchmaschine bereitgestellt wird, sind nicht in der NIS-Richtlinie enthalten. Online-Dienste, die den Preis bestimmter Produkte oder Dienstleistungen von verschiedenen Händlern vergleichen und den Benutzer dann zum bevorzugten Händler weiterleiten, um das Produkt zu kaufen, sind ebenfalls nicht enthalten.
• Anbieter von sozialen Netzwerkplattformen: Eine soziale Netzwerkplattform, die Kommunikation und Inhaltsfreigabe zwischen Benutzern auf verschiedenen Geräten ermöglicht.

• Internet Exchange Point Anbieter: Netzwerke zur Verbindung von autonomen Systemen.
• DNS-Dienstanbieter, mit Ausnahme von Betreibern von Root-Nameservern: Dienstanbieter, die Domainnamenauflösung anbieten.
• TLD-Namenregistrierungen: ist eine Einrichtung, der ein bestimmtes TLD delegiert wurde und die für die Verwaltung des TLD, einschließlich der Registrierung von Domainnamen unter dem TLD und dem technischen Betrieb des TLD, verantwortlich ist.
• Cloud-Computing-Service-Anbieter: Cloud-Computing-Dienste ermöglichen den Zugriff auf einen skalierbaren und elastischen Pool von gemeinsam nutzbaren Rechenressourcen wie Netzwerken, Servern oder anderen Infrastrukturen, Speicher, Anwendungen und Diensten. Drei Eigenschaften qualifizieren einen Cloud-Computing-Dienst als Cloud-Service:
  • Skalierbare Ressourcen
  • Elastischer Pool von Ressourcen
  • Teilbar
• Verschiedene Geschäftsmodelle wie IaaS (Infrastructure as a Service), PaaS (Platform as a Service) oder SaaS (Software as a Service) sind in der NIS2 enthalten.
• Rechenzentrumsdienstleister: Ein Rechenzentrum ist eine Einrichtung, die IT- und Netzwerkgeräte zur Datenspeicherung, -verarbeitung und -übertragung sowie Infrastruktur für die Stromverteilung und Umweltkontrolle beherbergt.
• Ein Content Delivery Network-Anbieter ist ein Netzwerk von geografisch verteilten Servern, das darauf abzielt, eine hohe Verfügbarkeit, Zugänglichkeit oder schnelle Bereitstellung von digitalen Inhalten und Diensten für Internetnutzer im Auftrag von Inhalt- und Diensteanbietern sicherzustellen.
• Vertrauensdiensteanbieter: Bietet elektronische Dienste gegen Entgelt an, die die Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln, Zeitstempeln, registrierten Zustelldiensten und zugehörigen Zertifikaten umfassen; oder die Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung; oder die Aufbewahrung von elektronischen Signaturen, Siegeln oder zugehörigen Zertifikaten.
• Anbieter öffentlicher elektronischer Kommunikationsnetze: Bietet Übertragungssysteme einschließlich Infrastruktur, Umschaltung, Routing und Ressourcen, die Signale über Draht, Funk, optische oder andere elektromagnetische Mittel wie Satellit, Internet, Mobil- und Kabelnetze übertragen. Dies umfasst Systeme, die für Radio, Fernsehen und Rundfunk verwendet werden.
• Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten: Ein Dienst, der in der Regel gegen Entgelt über elektronische Kommunikationsnetze angeboten wird und mit Ausnahme von Diensten, die Inhalte über elektronische Kommunikationsnetze und -dienste übertragen oder redaktionelle Kontrolle ausüben, die folgenden Arten von Diensten umfasst:
  • Internetzugangsdienst
  • zwischenmenschlicher Kommunikationsdienst; und
  • Dienstleistungen, die ganz oder hauptsächlich in der Übermittlung von Signalen bestehen, wie Übertragungsdienste, die für die Bereitstellung von Maschine-zu-Maschine-Diensten und für Rundfunkdienste verwendet werden.

• Managed Service Provider: Bietet Dienstleistungen im Zusammenhang mit der Installation, Verwaltung, Betrieb oder Wartung von ICT-Produkten, Netzwerken, Infrastrukturen, Anwendungen oder anderen Netzwerk- und Informationssystemen an, entweder durch Unterstützung oder aktive Verwaltung, die entweder beim Kunden vor Ort oder remote durchgeführt wird.
• Managed Security Provider: Ein Anbieter, der Aktivitäten im Zusammenhang mit dem Risikomanagement für Cybersicherheit durchführt oder Unterstützung dabei bietet.

Bei der Feststellung, ob ein Unternehmen seine Dienstleistungen innerhalb der EU anbietet, ist die wichtige Information, welche Märkte das Unternehmen plant, seine Dienstleistungen anzubieten. Um die Absicht festzustellen, werden verschiedene Faktoren berücksichtigt. Die bloße Zugänglichkeit der Website des Unternehmens oder eines Vermittlers oder einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die im Allgemeinen in der Region verwendet wird, in der das Unternehmen ansässig ist, reicht nicht aus, um eine solche Absicht festzustellen. Stattdessen können Faktoren wie die Verwendung einer Sprache oder einer Währung, die im Allgemeinen in einem oder mehreren Mitgliedstaaten verwendet wird, und die Möglichkeit, Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Benutzern, die sich in der Union befinden, ein Hinweis darauf sein, dass das Unternehmen beabsichtigt, seine Dienstleistungen in einer Region anzubieten, in der es seinen Hauptsitz nicht hat.

Wenn Ihr Unternehmen keinen Sitz in der EU hat, aber die genannten digitalen Dienste in diesen Regionen anbietet, sind Sie in der Regel verpflichtet, einen NIS-Vertreter zu benennen. Die Verpflichtung zur Einhaltung des NIS2 und zur Benennung eines Vertreters gilt jedoch nicht für Unternehmen, die eine bestimmte Unternehmensgröße nicht überschreiten. Ausgenommen sind:

• Kleine Unternehmen, die als Unternehmen definiert sind, die weniger als 50 Personen beschäftigen und deren jährlicher Umsatz und/oder jährliche Bilanzsumme 10 Millionen nicht übersteigt; und
• Kleinunternehmen, die als Unternehmen definiert sind, die weniger als 10 Personen beschäftigen und deren jährlicher Umsatz und/oder jährliche Bilanzsumme 2 Millionen nicht überschreiten.

Alles in allem bedeutet dies, dass Sie keinen Vertreter bestellen müssen, wenn Ihr Unternehmen weniger als 50 Mitarbeiter hat und der jährliche Umsatz und/oder die jährliche Bilanzsumme weniger als 10 Millionen beträgt.

Was die Einrichtungen betrifft, die in den Anwendungsbereich der NIS2 fallen, sind die Hauptverpflichtungen wie folgt:

• Cybersicherheitsrisikomanagementmaßnahmen: DSPs müssen angemessene und angemessene technische und organisatorische Maßnahmen identifizieren und ergreifen, um Risiken für die Sicherheit von Netzwerken und Informationssystemen zu bewältigen, die sie im Rahmen der Erbringung ihrer Dienste innerhalb der EU nutzen.
  Meldepflicht: Unternehmen sind verpflichtet, spezifische Meldefristen im Falle eines bedeutenden Cyber-Sicherheitsvorfalls einzuhalten. Zu den wichtigsten Verpflichtungen gehören:
• Frühwarnung: Bericht innerhalb von 24 Stunden nach Kenntnisnahme eines bedeutenden Vorfalls, der darauf hinweist, ob es sich um rechtswidrige Handlungen handeln könnte oder grenzüberschreitende Auswirkungen haben könnte.
• Vorfallbenachrichtigung: Reichen Sie innerhalb von 72 Stunden eine detaillierte Vorfallbenachrichtigung ein, die eine erste Bewertung, Schweregrad, Auswirkungen und verfügbare Kompromittierungsindikatoren enthält.
• Zwischenbericht: Geben Sie Statusaktualisierungen auf Anfrage der zuständigen Behörde oder des CSIRT.
• Abschlussbericht: Reichen Sie innerhalb eines Monats einen detaillierten Abschlussbericht ein, der die Beschreibung des Vorfalls, die Ursache, die Maßnahmen zur Minderung und mögliche grenzüberschreitende Auswirkungen umfasst.
• Vertreter: Unternehmen, die nicht in der EU ansässig sind, aber bestimmte Dienstleistungen innerhalb der EU anbieten, müssen einen Vertreter ernennen, der im Namen des Unternehmens handelt. Diese Unternehmen umfassen:
  • DNS-Dienstanbieter
  • Top-Level-Domain (TLD)-Registrierungen
  • Anbieter von Domain-Namen-Registrierungsdiensten
  • Cloud-Computing-Service-Anbieter
  • Rechenzentrumsdienstleister
  • Content Delivery Network (CDN) Anbieter
  • Verwaltete Dienstleister
  • Verwaltete Sicherheitsdienstleister
  • Anbieter von Online-Marktplätzen
  • Online Suchmaschinen
  • Soziale Netzwerkdienste Plattformen

Im Gegensatz zur DSGVO, die ein einheitliches Gesetz in allen EU-Mitgliedstaaten ist, wurde die NIS2 von jedem Mitgliedstaat individuell in nationales Recht umgesetzt. Das anwendbare nationale Recht für Ihr Unternehmen, das als wesentliches oder wichtiges Unternehmen gilt und die relevanten Schwellenwerte überschreitet:

• Wenn Ihr Unternehmen eine oder mehrere Niederlassungen innerhalb der EU hat, unterliegt es der Rechtsprechung des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet (d. h. wo sich Ihr Hauptsitz befindet);
• Wenn Ihr Unternehmen nicht innerhalb der EU ansässig ist, aber ICT-Dienstleistungen, digitale Infrastruktur oder digitale Dienste innerhalb der EU anbietet, müssen Sie einen Vertreter in einem Mitgliedstaat ernennen, in dem Sie Ihre Dienste anbieten. Ihr Unternehmen unterliegt dann der Gerichtsbarkeit dieses Staates.

Gemäß Art. 26 Abs. 3 der NIS2-Richtlinie (und den meisten Umsetzungen im nationalen Recht) müssen digitale Diensteanbieter:

• sind nicht in der EU ansässig; und
• Anbieter bestimmter digitaler Dienste innerhalb der EU müssen einen Vertreter in der EU benennen, der in einem der Mitgliedstaaten ansässig ist, in dem die Dienste angeboten werden.

Da das NIS2-Gesetz eine EU-Richtlinie ist, die von jedem Mitgliedstaat unterschiedlich umgesetzt wird, variieren die Strafen. Das Gesetz legt jedoch einige Geldbußenrahmen für Mitgliedstaaten fest, die den Anforderungen zur Umsetzung von Sicherheitsmaßnahmen und Incident-Responses nicht nachkommen. Gemäß dem Gesetz können wesentliche Einrichtungen mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes belegt werden. Wichtige Einrichtungen können mit Geldstrafen von bis zu 7 Millionen Euro oder 1,4 % ihres weltweiten Jahresumsatzes konfrontiert werden.

Der Vertreter sollte durch einen schriftlichen Auftrag der Anbieter von digitalen Diensten, digitalen Infrastrukturen und ICT-Service-Managements ausdrücklich benannt werden. Es sollte für die zuständigen Behörden oder das Computer Security Incident Response Team (CSIRT) möglich sein, den Vertreter zu kontaktieren, da der Vertreter als lokaler Ansprechpartner fungiert. Der Vertreter handelt im Namen der DSP-Anbieter in Bezug auf die gesetzlichen Verpflichtungen nach dem NIS-Gesetz, einschließlich der Vorfallmeldung. Der Vertreter muss die lokalen nationalen Gesetze einhalten, in dem Land, in dem er ansässig ist.

Prighter verfügt über einen digitalen End-to-End-Onboarding-Prozess, bei dem eine Vollmacht generiert und online oder auf Papier unterzeichnet werden kann. Prighter bietet dedizierte Kommunikationskanäle mit den relevanten Datenschutzbehörden.