Die NIS-2-Richtlinie (EU-Richtlinie 2022/2555) sollte einheitliche Regeln für die Cybersicherheit in der gesamten EU schaffen. Die Realität sieht jedoch anders aus. Aus unserer Praxis – bei der Umsetzung von NIS 2 bei Dutzenden von Mandanten aus verschiedenen Branchen und mehreren Ländern – wissen wir, dass jeder Mitgliedstaat die Richtlinie nach eigenem Gutdünken „angepasst“ hat. Für internationale Konzerne bedeutet dies vor allem eines: Was in Rumänien oder der Tschechischen Republik gilt, reicht in der Slowakei möglicherweise nicht aus und umgekehrt.
Wen betrifft NIS 2 – und wie können Sie das herausfinden?
Die erste Hürde? Schon die „Selbstidentifizierung“ – also die Feststellung, ob Ihr Unternehmen unter die Verpflichtungen von NIS 2 fällt.
In der Praxis haben wir wiederholt erlebt, dass Unternehmen diese scheinbar einfache Frage nicht mit Sicherheit beantworten können: „Sind wir ein verpflichtetes Unternehmen gemäß NIS 2?“
Zwar stellen einige Länder, darunter auch die Slowakei, ein Tool zur Selbstidentifizierung zur Verfügung oder bieten die Möglichkeit, beim Nationalen Sicherheitsamt methodische Leitlinien anzufordern, doch sind diese nicht rechtsverbindlich, und die Verantwortung im Sinne des Gesetzes liegt beim Unternehmen selbst und seinen gesetzlichen Vertretern. Gleichzeitig verweisen die methodischen Leitlinien häufig auch auf europäische Vorschriften, die in dem jeweiligen EU-Mitgliedstaat unterschiedlich umgesetzt oder ausgelegt werden können.
Als Beispiel seien hier Unternehmen genannt, die nicht wissen, dass sie unter die Definition eines Lebensmittelunternehmens fallen, oder Unternehmen, die als Hersteller im Automobilsektor tätig sind. Auslegungsprobleme ergeben sich auch bei der Herstellung chemischer Stoffe oder bei verwalteten IKT-Dienstleistungen. Im letzteren Fall ist Unternehmen beispielsweise nicht bewusst, dass sie sich in jedem Land melden müssen, sofern die Unternehmensgruppe bzw. der Konzern keinen Hauptbetriebsstandort in einem einzigen Land hat.
Vorsicht ist auch bei der Bestimmung der Unternehmensgröße geboten. Selbst ein neu gegründetes Unternehmen, das zum Zeitpunkt seiner Gründung 0 Mitarbeiter und einen Umsatz von 0 EUR aufweist, kann unter die NIS-2-Verordnung fallen, insbesondere wenn es Teil eines Konzerns ist.
| Achtung: Auch wenn Ihr Unternehmen nicht direkt unter NIS 2 fällt, tun dies Ihre Kunden oder Geschäftspartner wahrscheinlich sehr wohl – und sie werden von Ihnen die Einhaltung von Sicherheitsstandards verlangen. Laut der Agentur ENISA wurden bei bis zu 62 % der Cyberangriffe auf Organisationen gerade das Vertrauen in den Lieferanten ausgenutzt, und in 66 % der Fälle wussten die Lieferanten gar nicht, wie sie kompromittiert wurden. NIS 2 kann Sie also auch indirekt betreffen – und das Ignorieren dieser Tatsache kann Sie Geschäftspartner kosten. |
NIS 2 und grenzüberschreitende Tätigkeit – kann ein Betreiber wesentlicher Dienste der Zuständigkeit mehrerer nationaler Sicherheitsbehörden unterliegen?
Die Antwort lautet: Ja.
Ein konkretes Beispiel aus der Praxis: Artikel 26 Absatz 1 Buchstabe a) der NIS-2-Richtlinie legt fest, dass Anbieter öffentlicher elektronischer Netze oder öffentlich zugänglicher elektronischer Dienste der Zuständigkeit des Staates unterliegen, in dem sie ihre Dienste erbringen. Was bedeutet dies jedoch konkret für ein Unternehmen, das grenzüberschreitend tätig ist und nur in einem Land eine Betriebsstätte unterhält?
Das slowakische Gesetz über Cybersicherheit (Gesetz Nr. 69/2018 Z. z.) basiert auf der allgemeinen Regel, wonach Unternehmen, die ihren Sitz in der Slowakei haben, der slowakischen Regulierung unterliegen. Von dieser Regel gibt es spezifische Ausnahmen für bestimmte Dienste (z. B. verwaltete Dienste), wonach Unternehmen der slowakischen Regulierung unterliegen, sofern sie in der Slowakei eine Hauptniederlassung haben.
Für die Bereitstellung öffentlicher elektronischer Kommunikationsnetze oder -dienste aus dem Ausland fällt das Unternehmen jedoch unter keine der oben genannten Regelungen.
Bei strikter Anwendung der NIS-2-Richtlinie müsste das Unternehmen die Meldepflicht in der Slowakei erfüllen – seine Tätigkeit beim NBÚ melden.
Hier muss klar gesagt werden: Mit der Meldung der Tätigkeit beim NBÚ enden die Pflichten des Unternehmens nicht – ganz im Gegenteil, sie fangen erst an.
Das Unternehmen wird zu einem ordnungsgemäßen Betreiber wesentlicher Dienste — sogar als wesentliche Einrichtung (sog. „essential entity“). Dies erfordert die Vorhaltung einer vollständigen Sicherheitsdokumentation gemäß dem slowakischen Gesetz über Cybersicherheit sowie die Durchführung eines Cybersicherheitsaudits durch einen zertifizierten Auditor. Aus unserer Praxis wissen wir, dass diese Phase die Kunden oft überrascht – der Umfang der Verpflichtungen ist deutlich größer, als die meisten Unternehmen erwarten. Wie ein slowakischer Prüfer die Prüfung ausländischer Sicherheitsdokumentation durchführt, regelt die Gesetzgebung nicht.
In einigen Ländern kann ein solches Unternehmen oder ein ausländisches Unternehmen generell bereits bei der Meldung auf Schwierigkeiten stoßen.
Die Formulare zur Meldung der Aufnahme von Tätigkeiten, die unter die NIS 2 fallen, sind in der EU nämlich nicht einheitlich (!).
In der Tschechischen Republik beispielsweise wird von ausländischen Unternehmen verlangt, dass sie über einen Vertreter mit tschechischem Ausweis verfügen, und beim NBÚ wird nicht nur das Unternehmen selbst, sondern auch der Vertreter registriert.
Ausländische Unternehmen, aber auch lokale Unternehmen mit ausländischen Geschäftsführern können mit neuen technischen Anforderungen und Herausforderungen konfrontiert sein, um sich effektiv Zugang zu den nationalen Portalen verschaffen zu können.
Diese Unterschiede zwischen den Ländern sind der Grund, warum es bei der Umsetzung von NIS 2 entscheidend ist, einen Berater an seiner Seite zu haben, der über praktische Erfahrung in mehreren Rechtsordnungen verfügt – und nicht nur über theoretische Kenntnisse der Richtlinie.
Wenn Sie Teil eines internationalen Konzerns sind, reicht es nicht aus, die NIS-2-Anforderungen nur in der Slowakei zu erfüllen. In jedem Land, in dem Sie tätig sind, muss separat geprüft werden, ob Sie unter die dortige NIS-2-Regelung fallen, und Sie müssen innerhalb der entsprechenden Fristen eine Meldung erstatten – in der Slowakei innerhalb von 60 Tagen nach Aufnahme der Tätigkeit beim Nationalen Sicherheitsamt (NBÚ).
Die Meldung beim NBÚ ist nur der Anfang – was folgt als Nächstes?
Wichtige Fristen, die Sie in Ihrem Kalender vermerken sollten
- Meldung beim NBÚ – innerhalb von 60 Tagen nach Aufnahme der regulierten Tätigkeit
- Umsetzung von Sicherheitsmaßnahmen (Ernennung eines Cybersicherheitsbeauftragten, Risikoanalyse, Sicherheitsdokumentation) – innerhalb von 12 Monaten nach der Meldung
- Audit, falls Sie eine wesentliche Einrichtung sind / Selbstbewertung der Wirksamkeit der Maßnahmen, falls Sie eine wichtige Einrichtung sind – innerhalb von 24 Monaten nach der Meldung
Falls Sie bereits Sicherheitsmaßnahmen eingeführt haben, empfehlen wir Ihnen, mit einer GAP-Analyse zur Cybersicherheit zu beginnen – einer umfassenden Bewertung, die aufzeigt, wo Sie derzeit stehen und was Ihnen noch fehlt, um die vollständige Konformität mit NIS 2 zu erreichen. Aus unserer Erfahrung mit Kunden unterschiedlicher Größe und aus verschiedenen Branchen wissen wir, dass die Ergebnisse oft überraschend ausfallen – bei einigen Unternehmen haben wir eine Nichtkonformität bei bis zu 99 % der gesetzlichen Anforderungen festgestellt. Falls Sie bislang noch keine Sicherheitsmaßnahmen ergriffen haben, beginnen Sie mit einer Risikoanalyse.
Auch wenn zum Zeitpunkt der Meldung noch kein Cybersicherheitsmanager benannt sein muss, empfehlen wir Ihnen, die Erfüllung dieser Anforderung nicht auf später zu verschieben.
In der Praxis haben wir auch festgestellt, dass insbesondere Konzerngesellschaften automatisch auf das Outsourcing der Rolle des Cybersicherheitsmanagers zurückgreifen, da ihr regionaler oder konzernweiter CISO die slowakische Sprache nicht beherrscht, obwohl sie diese Position intern besetzen könnten – oft effektiver und mit tieferen Kenntnissen der Unternehmensprozesse. Wir empfehlen, zunächst die internen Kapazitäten anhand der gesetzlichen Anforderungen zu prüfen und die Prozesse entsprechend anzupassen.
Risikomanagement in der Lieferkette gemäß NIS 2
Zu den Sicherheitsmaßnahmen, die für manche Unternehmen völlig neu sein können, gehört die Verpflichtung, die Risiken in der eigenen Lieferkette zu steuern. Wenn Sie ein verpflichtetes Unternehmen sind, müssen Sie alle wichtigen Lieferanten identifizieren, deren Dienstleistungen oder Produkte in direktem Zusammenhang mit der Verfügbarkeit, Vertraulichkeit und Integrität Ihrer Netzwerke und Informationssysteme stehen. Auf der Grundlage einer Risikoanalyse beurteilen Sie anschließend, mit welchen Lieferanten ein schriftlicher Vertrag über Sicherheitsmaßnahmen abgeschlossen werden muss – und zwar nicht nur bei neuen, sondern auch im Rahmen bestehender Geschäftsbeziehungen.
Aus unserer Praxis wissen wir, dass gerade Lieferantenverträge ein Bereich sind, in dem Unternehmen die größten Lücken aufweisen. Bestehende Verträge enthalten in der Regel keine Klauseln, die nach dem Gesetz zur Cybersicherheit vorgeschrieben sind, und deren nachträgliche Ergänzung ist oft ein zeit- und verhandlungsintensiver Prozess, insbesondere bei Konzernunternehmen. Wir empfehlen, so bald wie möglich mit der Überprüfung Ihrer Lieferantenbeziehungen zu beginnen – dabei geht es nicht nur um Papierkram, sondern um eine tatsächliche Verringerung des Risikos eines Cybervorfalls durch Ihren Lieferanten.
Ganz gleich, ob Sie sich nicht sicher sind, ob Sie unter die NIS-2-Verordnung fallen, oder ob Sie rechtliche Beratung bei der Registrierung, bei der GAP-Analyse, der Risikoanalyse, der Sicherheitsdokumentation, der Ausgestaltung von Lieferantenverträgen oder der Besetzung der Position eines Cybersicherheitsmanagers – unser Team verfügt über praktische Erfahrungen in verschiedenen Ländern und Branchen. Zögern Sie nicht, sich an uns zu wenden.
Sanktionen bei Verstößen gegen NIS 2, die Sie nicht ignorieren dürfen
Die Bußgelder gemäß dem slowakischen Gesetz zur Cybersicherheit sind nicht symbolisch – sie richten sich nach den europäischen Vorschriften und können sogar einen Prozentsatz des weltweiten Umsatzes betragen:
| Betroffenes Unternehmen / Verstoß | Höchststrafe |
|---|---|
| Wesentliche Einrichtung – Verletzung grundlegender Pflichten | 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Wichtige Einrichtung – Verletzung grundlegender Pflichten | 7.000.000 EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Nichteinhaltung der Meldepflicht | bis zu 500.000 EUR |
Je früher Sie mit der Umsetzung von NIS 2 beginnen, desto geringer ist das Risiko. Das LYNX legal-Team für IP- und IT-Recht unterstützt Sie umfassend – von der rechtlichen Prüfung über die Meldung beim nationalen Sicherheitsamt (NBÚ), die GAP-Analyse, die Risikoanalyse und die Sicherheitsdokumentation bis hin zur Überprüfung von Lieferantenverträgen und der Festlegung der Rolle des Cybersicherheitsmanagers. Wir können auf Dutzende erfolgreicher Implementierungen in der Slowakei und weiteren EU-Ländern, in denen LYNX legal vertreten ist, zurückblicken.
Bei Problemen oder Fragen wenden Sie sich bitte an unser LYNX IP, IT and Data team um weitere Unterstützung zu erhalten.
Author: Michala Mihályová, Senior Associate, LYNX Slovakia
Quellen: Act No. 69/2018 Coll. on Cyber Security, as amended; Directive (EU) 2022/2555 (NIS 2); National Security Authority (NSA)
