Am 17. Oktober 2024[i] verabschiedete die Europäische Kommission die ersten Durchführungsbestimmungen für die Cybersicherheit kritischer Einrichtungen und Netze in Übereinstimmung mit der NIS2-Richtlinie in Form einer Durchführungsverordnung[ii]. Die Verordnung soll Ende November in Kraft treten, genauer gesagt 20 Tage nach ihrer Veröffentlichung im Amtsblatt, die am 7. November 2024 erfolgte.
Die Annahme der Verordnung fällt auch mit dem letzten Tag der Frist zusammen, die den EU-Mitgliedstaaten für die Umsetzung der NIS2-Richtlinie in nationales Recht gesetzt wurde.
In den Durchführungsbestimmungen werden im Wesentlichen Massnahmen für das Risikomanagement im Bereich der Cybersicherheit sowie Meldepflichten für Unternehmen, die digitale Infrastrukturen und Dienste bereitstellen, für den Fall, dass „erhebliche“ Vorfälle auftreten, festgelegt. Insbesondere Unternehmen, die digitale Dienste anbieten, wie z. B. Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke, würden in den Anwendungsbereich fallen.
In der NIS2-Richtlinie[iii] wird der bisherige Anwendungsbereich, der ursprünglich zwei Kategorien von i) Betreibern wesentlicher Dienste (OES) und ii) Anbietern relevanter digitaler Dienste (RDSP) umfasste, neu kategorisiert und deutlich erweitert, indem die erfassten Einrichtungen entweder als wesentliche Einrichtungen (EE) oder als wichtige Einrichtungen (IE) eingestuft werden.
EE umfasst die Sektoren Energie, Verkehr, Finanzen, öffentliche Verwaltung, Gesundheit, Raumfahrt, Wasserversorgung und digitale Infrastrukturen wie Cloud-Computing-Dienstleister und IKT-Verwaltung.
IE umfasst Sektoren wie Postdienste, Abfallwirtschaft, Chemikalien, Forschungseinrichtungen, Lebensmittelverarbeitung, Fertigung und digitale Anbieter wie soziale Netzwerke, Suchmaschinen und Online-Marktplätze.
Da Kleinst- und Kleinunternehmen grundsätzlich vom Anwendungsbereich ausgenommen sind, sieht die Richtlinie eine Grössenschwelle vor. Mit anderen Worten, ein Schwellenwert von 250 Beschäftigten, ein Jahresumsatz von €50 Mio. oder eine Bilanzsumme von €43 Mio. für die EE-Unternehmen bzw. ein Schwellenwert von 50 Beschäftigten, ein Jahresumsatz von €10 Mio. oder eine Bilanzsumme von €10 Mio. für die Unternehmen auf der IE-Liste.
Dennoch kann eine Einrichtung unabhängig von ihrer Grösse als ‘wesentlich’ oder ‘wichtig’ eingestuft werden, wenn sie der einzige Erbringer eines kritischen Dienstes für gesellschaftliche oder wirtschaftliche Aktivitäten in einem bestimmten Mitgliedstaat bzw. ein Anbieter von Vertrauensdiensten oder eine zentrale oder regionale Regierungseinrichtung ist.
Ähnlich wie bei der Datenschutz-Grundverordnung verpflichtet die Richtlinie die Mitgliedstaaten, bei Nichteinhaltung Sanktionen zu verhängen, die je nach Klassifizierung unterschiedlich hoch sind. €10 Mio. oder mindestens 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist, für EE-Unternehmen bzw. €7 Mio. oder mindestens 1,4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist, für IE-Unternehmen.
Insbesondere die Leitungsorgane der betroffenen Unternehmen, wie z. B. der Verwaltungsrat, würden bei Nichteinhaltung ebenfalls haftbar gemacht werden.
Das Schweizer Informationssicherheitsgesetz (ISG) hingegen gilt in erster Linie für die Bundesverwaltung, die kantonalen Behörden und ihre Partnerunternehmen im Inland, und soll in seiner überarbeiteten Fassung am 1. Januar 2025 in Kraft treten. In diesem Zusammenhang könnten Partnerunternehmen in ähnlichen Sektoren tätig sein wie diejenigen, die in der EU in den Anwendungsbereich der Richtlinie fallen, z.B. im Finanz- und Informations- und Kommunikationssektor sowie bei Dienstleistern und Herstellern von Hard- und Softwareprodukten, die in kritischen Infrastrukturen eingesetzt werden.
Daher würden Zulieferunternehmen indirekt in den Anwendungsbereich des ISG fallen, ähnlich wie bei der Richtlinie in der EU. Die Schweizer Unternehmen, die Teil einer Lieferkette sind, die letztlich auf die von der Richtlinie erfassten Unternehmen mit Sitz in der EU abzielt, wären folglich von den Anforderungen und Verpflichtungen im Rahmen beider Instrumente betroffen.
Insbesondere die Tochtergesellschaften und Zweigniederlassungen von in der EU registrierten Schweizer Unternehmen, die entweder unter die EE- oder die IE-Klassifizierung fallen, müssen die Richtlinie in der EU einhalten und die Anforderung erfüllen, sich bei der nationalen Behörde eines angeschlossenen Mitgliedstaats zu registrieren. In diesem Szenario kann die Muttergesellschaft oder das verbundene Unternehmen in der Schweiz durch die Verbindung zur Lieferkette ebenfalls indirekt von der Richtlinie erfasst werden.
[i] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_24_5342.
[ii] Siehe hier https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj.
[iii] Siehe hier https://eur-lex.europa.eu/eli/dir/2022/2555#.