NIS-2-Richtlinie für Forschungseinrichtungen
Ihre Expertin für Fragen
Dr. Silvia Knittl
Director, Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 151 15480524
E-Mail
Wie Forschungseinrichtungen durch die NIS-2-Richtlinie beeinflusst werden
Die rasante Entwicklung und Digitalisierung des Sektors für Forschungseinrichtungen hat dazu geführt, dass Wissenschaft und Innovation heute stärker denn je von digitalen Technologien abhängig sind. Forschungseinrichtungen und Wissenschaftler:innen nutzen vermehrt digitale Instrumente und Daten, um wertvolle Erkenntnisse zu gewinnen und wissenschaftliche Fortschritte zu erzielen. Dabei bildet die IT-Infrastruktur das Rückgrat dieser digitalen Revolution und ist zugleich ein attraktives Ziel für potenzielle Bedrohungen.
Die Konsequenzen von Sicherheitsverletzungen im Forschungssektor erstrecken sich weit über die virtuelle Welt hinaus und können tiefgreifende Auswirkungen haben. Vertrauliche Forschungsergebnisse, Drittmittel-Forschungsdaten, noch unveröffentlichte Innovationen und geistiges Eigentum können durch Cyberangriffe gefährdet werden, was nicht nur den Fortschritt der Wissenschaft, sondern auch die Glaubwürdigkeit von Forschungseinrichtungen beeinträchtigen kann.
Die Bedrohung durch Cyberangriffe in diesem Sektor betreffen nicht nur die Forschungsgemeinschaft, sondern auch die Gesellschaft insgesamt und sind in vielerlei Hinsicht von großer Bedeutung.
„Forschungseinrichtungen sind Quellen für Innovationen und damit ein attraktives Ziel für Cyberangriffe. Daher ist es von entscheidender Bedeutung, dass diese Einrichtungen robuste Sicherheitsvorkehrungen einführen, um ihre sensiblen Informationen zu schützen und die Integrität ihrer Forschungsergebnisse sicherzustellen.“
Neuerungen, Pflichten und Sanktionen für den Forschungssektor
2017 wurde die Verpflichtung zur Umsetzung der NIS-Richtlinie als Gesetz auf EU-Ebene verkündet. Die Richtlinie wurde eingeführt, um einen europaweiten Aufbau nationaler Kapazitäten für die Cybersicherheit zu beginnen, eine stärkere Zusammenarbeit der EU-Mitgliedstaaten zu fördern sowie die Etablierung von Mindestsicherheitsanforderungen und Meldepflichten für wichtige Einrichtungen voranzubringen.
Die bestehende Richtlinie wird durch die 2023 in Kraft getretene NIS-2-Richtlinie aktualisiert, da es aufgrund der fortschreitenden Digitalisierung und der immer wachsenden Bedrohungslandschaft zu neuen Problemen und Herausforderungen kommen kann. Die neue Richtlinie beinhaltet neue Schwellenwerte für die Klassifizierung betroffener Einrichtungen, neue Pflichten und Sanktionen, aber auch neue Risiken, die es für betroffene Einrichtungen zu beachten gilt.
Pflichten
Forschungseinrichtungen unterliegen neuen Registrierungs-, Melde- und Unterrichtungspflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Mehrstufiges Meldeverfahren
Forschungseinrichtungen müssen sich an ein mehrstufiges Meldeverfahren für Sicherheitsvorfälle halten, das sowohl eine Erstmeldung, Zwischenmeldungen und eine Abschlussmeldung beinhaltet.
Verantwortung der Geschäftsleitung
Die Leitung erhält mehr Verantwortung im Bezug auf Haftungsrisiken, neue Pflichten und die Weiterbildung ihrer Kenntnisse und die ihrer Mitarbeitenden.
Sanktionen bei Verstößen
Wichtige Einrichtungen müssen bei fahrlässigem Verhalten bis zu 7 Mio. EUR oder ein Höchstbetrag von mindestens 1,4 % ihres gesamten im vorangegangenen Geschäftsjahr getätigten Umsatzes bezahlen.
Aufsichts- und Durchsetzungsbefugnisse
Das BSI kann bei Kenntniserlangung einer Nichteinhaltung von den Pflichten eine Überprüfung der Einhaltung der Anforderungen durchführen. Außerdem kann das BSI verbindliche Anweisungen zur Umsetzung an Organisationen geben und Anweisungen erteilen.
Sie haben Fragen zu Ihrer Betroffenheit oder den Aufgaben, die auf Sie zukommen?
Kontaktieren Sie uns
Für wen die NIS-2-Richtlinie gilt
Die NIS-2-Richtlinie unterscheidet die betroffenen Organisationen in besonders wichtige und wichtige Einrichtungen. Forschungseinrichtungen, die von der NIS-2-Richtlinie betroffen sind, gehören immer zu den wichtigen Einrichtungen.
Forschungseinrichtungen erhalten keine Benachrichtigung, ob sie von der NIS-2-Richtlinie betroffen sind. Sie müssen selbst anhand von Kriterien eine eigene Beurteilung vornehmen. Zu Ihrer Orientierung fassen wir daher die Schwellenwerte zur Klassifizierung zusammen:
NIS-2 im Sektor Forschungseinrichtungen – wer ist betroffen?
In den Sektor Forschungseinrichtungen fallen Einrichtungen mit dem primären Ziel, angewandte Forschung oder experimentelle Entwicklung für kommerzielle Zwecke zu betreiben. Bildungseinrichtungen gehören nicht dazu. Die betroffenen Forschungseinrichtungen, die zu den wichtigen Einrichtungen zählen, werden dabei nach Größe der Organisation identifiziert:
- Organisationen ab 50 Mitarbeitenden
- Organisationen ab 10 Mio. Euro Umsatz und Bilanz ab 10 Mio. Euro
- Organisationen, die zwar weniger als 50 Mitarbeitende beschäftigen und einen Jahresumsatz von unter 50 Mio Euro haben, jedoch eine Jahresbilanzsumme zwischen 10 und 43 Mio Euro vorweisen
Sind Sie betroffen?
Finden Sie mit Hilfe unserer kurzen Betroffenheitsanalyse heraus, ob auch Ihre Einrichtung unter die NIS-2-Richtlinie fällt.
Neue Verpflichtungen für Forschungseinrichtungen und ihre Geschäftsführung
- Haftungsrisiken für die Leitung
- Billigungs- und Überwachungspflichten
- Registrierungspflicht
- Meldepflichten, Rückmeldungen
- Unterrichtungspflichten
- Schulungen und Fachkenntnisse
Haftungsrisiken für die Leitung
Die Leitung trägt die Verantwortung dafür, dass angemessene Maßnahmen zur Sicherung der IT-Systeme und -Prozesse ergriffen werden. Dazu gehören unter anderem die Implementierung von Sicherheitsrichtlinien, die regelmäßige Überprüfung der IT-Infrastruktur auf Schwachstellen sowie die Schulung der Mitarbeitenden im Umgang mit IT-Sicherheit. Inbegriffen sind externe Mitarbeitende, die vertraglich dazu verpflichtet werden können, regelmäßige Schulungen, wie beispielsweise im Bereich Cybersicherheit oder Arbeitsschutzrecht, zu absolvieren.
Bei Verletzung der Überwachungspflichten haftet ein Geschäftsleiter für die entstandenen Schäden. Ein Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam. Bei Zahlungsunfähigkeit der Leitungsperson kann ein Vergleich mit ihren Gläubigern erfolgen oder die Ersatzpflicht kann in einem Insolvenzplan geregelt werden.
Billigungs- und Überwachungspflichten
Die Leitung von Forschungseinrichtungen hat eine besondere Verantwortung in Bezug auf das Risikomanagement. Sie muss die ergriffenen Maßnahmen zur Risikominimierung billigen und deren Umsetzung überwachen. Dabei ist es nicht zulässig, Dritte mit dieser Aufgabe zu beauftragen.
Registrierungspflicht
Die Leitung ist für die Registrierung beim BSI innerhalb von drei Monaten, nach Beginn der Wirksamkeit von NIS-2, verantwortlich. Wird dies versäumt, können hohe Bußgelder drohen.
Meldepflichten, Rückmeldungen
Forschungseinrichtungen sind verpflichtet, sich an ein 4-stufiges Modell für Meldezeitpunkte zu halten. Im Falle von Sicherheitsvorfällen müssen diese Einrichtungen Meldungen an das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erstatten. Es ist von großer Bedeutung, dass diese Meldepflichten eingehalten werden, um eine effektive Reaktion auf Sicherheitsvorfälle zu gewährleisten und die digitale Infrastruktur sowie die IT-Dienstleistungen zu schützen.
Unterrichtungspflichten
Forschungseinrichtungen sind dazu verpflichtet, bei erheblichen Sicherheitsvorfällen die Empfangenden ihrer Dienste darüber zu informieren, eventuell muss auch die Öffentlichkeit über Sicherheitsvorfälle informiert werden.
Schulungen und Fachkenntnisse
Forschungseinrichtungen müssen regelmäßige Schulungen für die Leitung und Mitarbeitenden anbieten. Diese Schulungen dienen dazu, das Bewusstsein für Sicherheitsrisiken zu schärfen und die Kenntnisse im Umgang mit möglichen Angriffen zu verbessern.
Zusätzlich ist es erforderlich, eine geeignete Kontaktstelle beim BSI zu registrieren. Diese Kontaktstelle soll sicherstellen, dass die betroffene Einrichtung über ausreichendes Fachwissen verfügt, um angemessen auf Sicherheitsvorfälle reagieren zu können. Die Registrierung dient somit der Sicherstellung der fachlichen Eignung der Einrichtung.
Wie wir Sie unterstützen können
Die NIS-2-Richtlinie stellt Forschungseinrichtungen vor eine große Herausforderung. Eine durchdachte IT-Sicherheitsarchitektur kann diesen Einrichtungen dabei helfen, ihre Sicherheitsmaßnahmen an die Anforderung der Richtlinie anzupassen. Die von uns entwickelte Enterprise Security Architecture (ESA) bietet einen ganzheitlichen und präventiven Ansatz zur Überprüfung der aktuellen Sicherheitsarchitektur auf Schwachstellen und Potenziale eines Unternehmens, entwickelt daraus Maßnahmen für ein Zielbild und begleitet die Implementierung der zuvor entwickelten Sicherheitsmaßnahmen. Der ESA-Ansatz wurde von uns auf Grundlage verschiedener nationaler und internationaler IT-Sicherheitsstandards und -Richtlinien entwickelt. Da auch die NIS-2-Richtlinie Teil des ESA-Fundaments ist, erfüllt ein Unternehmen bei der Implementierung des ESA-Ansatzes automatisch alle relevanten Pflichten der NIS-2-Richtlinie.
Follow us
Contact us
