NIS2-Compliance für den Sektor der Anbieter digitaler Dienste

Anbieter digitaler Dienste erbringen Online-Dienste, die den E-Commerce, die Cloud-Nutzung und digitale Marktplätze in der gesamten Europäischen Union unterstützen. Online-Plattformen, Suchmaschinen und cloudbasierte Dienste sind ein integraler Bestandteil der wirtschaftlichen Tätigkeit und des grenzüberschreitenden Handels. Störungen in diesem Sektor können gleichzeitig Millionen von Nutzern und Unternehmen betreffen.

Die NIS2-Richtlinie legt EU-weite Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die Einhaltung der NIS2-Richtlinie durch Anbieter digitaler Dienste stärkt die Resilienz in einem Sektor, der den digitalen Handel und Online-Dienste in der gesamten EU stützt.

Die Richtlinie gilt für mittlere und große Einrichtungen, die in den festgelegten Kategorien digitaler Dienste tätig sind. Zwar können bestimmte Kleinst- und Kleinunternehmen ausgenommen sein, doch viele Anbieter digitaler Dienste fallen je nach Größe und Dienstleistungsmodell in den Anwendungsbereich.

Wenn Ihre Organisation als Anbieter digitaler Dienste in den definierten Kategorien tätig ist, kann sie als wichtige Einrichtung unter die NIS2-Richtlinie fallen.

Der Sektor der Anbieter digitaler Dienste ist eingestuft als:

Relevanter Anhang: Anhang II (Wichtige Einrichtungen)

Diese Kategorien umfassen Anbieter, die Online-Handelsgeschäfte, Suchfunktionen und soziale Interaktionsplattformen innerhalb der EU ermöglichen.

Einrichtungen, die die geltenden Größenschwellen erfüllen, gelten nach NIS2 als wichtige Einrichtungen.

• Wichtige Einrichtung gemäß Anhang II

• Online-Marktplätze
• Online-Suchmaschinen
• Plattformen sozialer Netzwerke

Abdeckung der Subsektoren (Anhang II – Anbieter digitaler Dienste):

Die NIS2-Compliance für digitale Diensteanbieter gilt für:

Bestimmte Kleinst- und Kleinunternehmen können ausgenommen sein, es sei denn, sie nehmen eine kritische Rolle ein oder werden nach nationalem Recht anderweitig bestimmt.

Die Anwendbarkeit der NIS2 auf KMU ist in diesem Sektor besonders relevant, da viele wachsende digitale Plattformen aufgrund von Umsatz oder Beschäftigtenzahl schnell die Schwellenwerte für mittlere Unternehmen erreichen.

Digitale Diensteanbieter mit Sitz außerhalb der EU, die innerhalb der EU Dienstleistungen erbringen, können ebenfalls in den Anwendungsbereich fallen und können nach nationalen Umsetzungsgesetzen verpflichtet sein, einen Vertreter in der Union zu benennen.

• Mittlere Unternehmen (≥50 Beschäftigte und/oder €10 Millionen Jahresumsatz oder Bilanzsumme)
• Große Unternehmen, die diese Schwellenwerte überschreiten

Nach Artikel 21 der NIS2-Richtlinie müssen digitale Anbieter geeignete und verhältnismäßige technische und organisatorische Maßnahmen umsetzen, um Cybersicherheitsrisiken zu managen.

Verpflichtende Maßnahmen umfassen:

Für digitale Anbieter müssen diese NIS2-Sicherheitsmaßnahmen Benutzerkonten, Transaktionssysteme, Content-Management-Systeme und die Backend-Infrastruktur schützen.

Die NIS2-Compliance für digitale Anbieter erfordert starke Authentifizierungskontrollen, Schutz vor Distributed-Denial-of-Service (DDoS)-Angriffe, sichere Softwareentwicklungspraktiken und eine kontinuierliche Überwachung von Cloud-Umgebungen. Da diese Plattformen häufig große Nutzerbasen bedienen, sind Resilienz und Skalierbarkeit zentrale Bestandteile der Compliance.

• Risikomanagement-Rahmenwerk
• Verfahren zum Umgang mit Sicherheitsvorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• Lieferkettensicherheit
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Schwachstellenmanagement und Patch-Management
• Schulungen zur Cyberhygiene
• Nutzung sicherer Kommunikation

Anbieter digitaler Dienste müssen bei erheblichen Sicherheitsvorfällen die NIS2-Fristen für die Meldung von Vorfällen einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde zu übermitteln.

Die NIS2-24-Stunden-Meldepflicht ist insbesondere bei Vorfällen relevant, die die Verfügbarkeit der Plattform, Systeme zur Benutzerauthentifizierung oder die zentrale Transaktionsfunktionalität betreffen. Weitreichende Dienstunterbrechungen oder erhebliche Cybersicherheitsverletzungen können als erhebliche Vorfälle gelten.

Das Versäumnis, innerhalb der vorgeschriebenen Fristen zu melden, kann zu aufsichtsrechtlichen Maßnahmen und finanziellen Sanktionen führen.

Die NIS2-Compliance für digitale Anbieter auferlegt dem Leitungsorgan eine Rechenschaftspflicht.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie hebt die Aufsicht über die Cybersicherheit auf die Ebene der Unternehmensleitung. Die oberste Führungsebene muss sicherstellen, dass Cybersicherheitskontrollen mit dem Plattformrisiko und den Zielen des Nutzerschutzes in Einklang stehen.

Governance-Versäumnisse können Organisationen einer aufsichtsbehördlichen Prüfung aussetzen und zu Reputationsschäden führen.

• Genehmigung der Maßnahmen des Cybersicherheitsrisikomanagements durch das Leitungsorgan
• Laufende Überwachung der Umsetzung
• Verpflichtende Cybersicherheitsschulungen für Mitglieder des Leitungsorgans
• Mögliche persönliche Haftungsrisiken nach nationalem Recht

Als Einrichtungen gemäß Anhang II unterliegen digitale Anbieter, die als wichtige Einrichtungen eingestuft sind, der reaktiven Aufsicht. Zuständige Behörden leiten Aufsichtsmaßnahmen in der Regel nach Vorliegen von Belegen, Hinweisen oder Meldungen über Nichteinhaltung ein.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung sind:

Nationale Umsetzungsgesetze können die Aufsichtsmechanismen näher ausgestalten, doch die Richtlinie legt harmonisierte Mindestschwellen für Sanktionen in den Mitgliedstaaten fest.

Es ist zu erwarten, dass der Vollzugsschwerpunkt auf der Verfügbarkeit der Dienste, dem Nutzerschutz und der systemischen digitalen Resilienz liegt.

• Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Gesamtjahresumsatzes (je nachdem, welcher Betrag höher ist)

KMU digitaler Diensteanbieter sollten einen strukturierten Compliance-Ansatz verfolgen:

Frühe Vorbereitung verringert das Durchsetzungsrisiko und stärkt die Zuverlässigkeit der Plattform.

1. Eine NIS2-Lückenanalyse durchführen
2. Kritische Plattform- und Backend-Infrastrukturkomponenten identifizieren und abbilden
3. Ein dokumentiertes Rahmenwerk für das Cybersicherheits-Risikomanagement formalisieren
4. Pläne für Incident Response und Plattformkontinuität aktualisieren und testen
5. Verträge mit Cloud-Anbietern und Drittanbieter-Integrationen überprüfen
6. Unternehmensleitung und Engineering-Manager schulen
7. Einen Meldeworkflow für 24h/72h/1 Monat einrichten

Anbieter digitaler Dienste sind unter NIS2 sektorspezifischen Risiken ausgesetzt:

Die NIS2-Konformität ist für Anbieter digitaler Dienste daher entscheidend für die Betriebskontinuität und das Vertrauen in den digitalen Markt.

• Plattformausfälle: Cybervorfälle können den Nutzerzugriff oder Transaktionsfunktionen beeinträchtigen oder unterbrechen.
• Kontenkompromittierung: Schwache Authentifizierungskontrollen können zu weitreichenden Beeinträchtigungen für Nutzer führen.
• Lieferkettenkompromittierung: Plugins und Integrationen von Drittanbietern bringen zusätzliche Schwachstellen mit sich.
• Behördliche Geldbußen: Nichteinhaltung kann zu erheblichen finanziellen Sanktionen führen.
• Reputationsschäden: Das Vertrauen der Nutzer kann durch Sicherheitsversäumnisse stark beeinträchtigt werden.