Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
NIS-2-Update: Wie ist der aktuelle Stand?
Mit der NIS-2-Richtlinie (Network and Information Systems Directive 2) will die EU die Cybersicherheit stärken und auf ein EU-weit einheitliches Niveau anheben. Bis zum 17. Oktober 2024 muss Deutschland NIS-2 in nationales Recht umsetzen. Es ist also nicht mehr allzu viel Zeit.
Allerdings ist hierzulande diese legislative Umsetzung der NIS-2-Vorgaben ins Stocken geraten. Nicht zuletzt aufgrund der unsicheren Gesetzeslage wächst nun bei vielen bisher unregulierten Unternehmen die Unsicherheit, ob sie von dem zukünftigen Gesetz betroffen sein werden. Zumal mit der deutlichen Ausweitung der regulierten Bereiche (auf nunmehr 18 Sektoren) und der expliziten Einbeziehung von Lieferketten deutlich mehr Unternehmen als bisher betroffen sein werden – laut der Plattform openKRITIS dürften es in Deutschland ca. 30.000 Unternehmen und Organisationen sein.
Wir versuchen, den aktuellen Stand zu umreißen und Handlungsempfehlungen zu geben.
NIS-2-Update: Wie ist der Stand beim NIS2UmsuCG?
Die NIS-2-Richtlinie der EU trat am 16. Januar 2023 in Kraft. Damit einher ging die Verpflichtung der Mitgliedsstaaten, sie binnen 21 Monaten – also bis zum 17. Oktober – in nationales Recht zu überführen. In Deutschland geschieht dies mit dem sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Dieses ist ein Änderungsgesetz, mit dem bestehende Gesetze geändert werden – allen voran das BSI-Gesetz.
Allerdings: So zäh der Name „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, so zäh gestaltet sich auch der Umsetzungsprozess. Nicht nur openKRITIS befürchtet inzwischen, dass Deutschland den Oktobertermin nicht einhalten könnte. Der Tagesspiegel hält es (Stand Februar 2023) für ausgemacht, dass die Umsetzungsfrist nicht erfüllt werden kann, und macht Uneinigkeiten zwischen Bundesjustizministerium und Auswärtigem Amt für den stockenden Fortgang der Gesetzesadaption verantwortlich.
Sollten sich die Befürchtungen bewahrheiten, käme auf Deutschland ein Vertragsverletzungsverfahren zu – ebenso wie auf Dänemark, das bereits mitteilte, die Frist nicht halten zu können. Allerdings geht es auch in den übrigen EU-Mitgliedsstaaten anscheinend nicht viel schneller voran. Sieht man einmal von Ungarn ab, wo der nationale Gesetzesentwurf bereits verabschiedet wurde, befindet sich die Mehrzahl der Länder noch in der Konsultationsphase. Für einige Länder, darunter die Niederlande, Irland oder Polen, verzeichnet der NISD 2 Tracker der internationalen Wirtschaftskanzlei Bird & Bird gar keine Fortschritte. Hierzulande wurden seit einem ersten Referentenentwurf des Bundesministeriums des Inneren und für Heimat (BMI) vom 3. April 2023 immerhin zwei weitere Entwürfe öffentlich bekannt sowie ein Diskussionspapier, das inzwischen von zahlreichen Verbänden kritisch kommentiert wurde. (Die AG KRITIS stellt alle Referentenentwürfe und das Diskussionspapier hier bereit.) Von einer Lesung des NIS2UmsuCG oder gar einer Verabschiedung sind wir aber noch ein ganzes Stück entfernt.
Welche Neuerungen enthält das NIS2UmsuCG?
Die verschiedenen Referentenentwürfe stellen Vorschläge für ein neues, um die NIS-2-Regularien erweitertes BSI-Gesetz dar, das dann den schlanken Namen „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Betreibern und Einrichtungen“ tragen wird. Die Mehrzahl der Anpassungen und Überarbeitungsentwürfe beziehen sich jeweils auf vorangehende Entwürfe; einen groben Überblick bietet openKRITIS.
Stand März 2024 lassen sich aus den Entwürfen aber einige relevante Änderungen entnehmen (die Verweise beziehen sich auf den Entwurf des NIS2UsuCG vom 22. Dezember 2023):
- Der Begriff „Kritische Dienstleistungen“ wird ausgeweitet und umfasst nun neben der Versorgungssicherheit auch die Aufrechterhaltung wirtschaftlicher Tätigkeiten, die öffentliche Sicherheit, Ordnung und Gesundheit sowie die Erhaltung der Umwelt (§ 2 Absatz 1 Nr. 21).
- Bei der Bestimmung wichtiger (important) und besonders wichtiger (essential) Einrichtungen sind nur Mitarbeiterzahlen und Umsätze solcher Einrichtungen einzubeziehen, die zu „Sektoren hoher Kritikalität“ oder „sonstiger kritischer Sektoren“ gehören (§ 28 Absatz 3). Mehr zu wichtigen und besonders wichtigen Einrichtungen finden Sie in unserem Blogbeitrag „Was bedeutet NIS-2 für deutsche Unternehmen?“.
- Betreiber kritischer Infrastrukturen müssen bei den Maßnahmen zur Erhöhung der Resilienz ihrer Anlagen auch die Bedrohungsszenarien aus aktuellen Lageberichten des BSI berücksichtigen (§ 31 Absatz 1).
- Geschäftsleiter wichtiger und besonders wichtiger Einrichtungen müssen regelmäßig an Schulungen zur Cybersicherheit teilnehmen (§ 38 Absatz 3). Gleiches gilt auch für die Leiter von Einrichtungen der Bundesverwaltung (§ 43 Absatz 4). Darüber hinaus sollen entsprechende Schulungen für alle Beschäftigten angeboten werden.
- Geschäftsleiter von Einrichtungen der Bundesverwaltung sind von der persönlichen Haftung im Fall einer Verletzung ihrer Pflichten ausgenommen (§ 38 Absatz 2).
- Wichtige und besonders wichtige Einrichtungen müssen die Einhaltung ihrer Risikomaßnahmen dokumentieren (§ 30 Absatz 1).
- Bußgeldmaßnahmen für verschiedene Verstöße werden ausdifferenziert, dabei reicht die Spanne von 100 Tsd. bis 20 Mio. Euro (§ 60 Absatz 1 bis 9). Eine detailliertere Aufschlüsslung der vorgesehenen Bußgelder finden Sie bei openKRITIS.
- Die Nachweispflichten werden gelockert. Betreiber kritischer Anlagen müssen ihre Sicherheitsmaßnahmen erstmals drei Jahre nach Inkrafttreten des Gesetzes nachweisen. Wer bereits jetzt als KRITIS-Betreiber gilt, muss den Nachweis bereits drei Jahre nach dem letzten erfolgten Nachweis erbringen. Folgenachweise (durch Audits, Prüfungen oder Zertifizierungen) müssen regelmäßig alle drei Jahre erbracht werden (§ 39 Absatz 1 und 3). Für wichtige und besonders wichtige Einrichtungen gelten keine erstmaligen und regelmäßigen Nachweispflichten; sie können aber vom BSI verpflichtet werden, Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen durchführen zu lassen (§ 64 Absatz 1).
Darüber hinaus hat das BMI in einem Diskussionspapier vorgeschlagen, die Identifizierung von KRITIS-Anlagen anhand von Schwellenwerten aufgrund der guten Erfahrungen mit der KRITIS-Verordnung (BSI-KritisV) beizubehalten – obwohl NIS-2 dies nicht mehr vorsieht. Anlagen, die bisher als kritisch gelten, dürften dies also in Zukunft weiter tun.
Was sollten Unternehmen nun tun?
Auch wenn es derzeit noch keine verlässliche gesetzliche Basis gibt, sollten sich bisher unregulierte Unternehmen und Organisationen baldmöglichst mit der NIS-2-Richtlinie auseinandersetzen – denn die Kernanforderungen des EU-Gesetzgebers werden mit hoher Wahrscheinlichkeit auch in das neue BSI-Gesetz übernommen werden.
Für bereits regulierte Unternehmen werden sich die Anforderungen nicht entscheidend ändern. Für sie liegen die wesentlichen Unterschiede zur bisherigen Gesetzeslage vor allem in deutlich höheren Bußgeldern und darin, dass für Verstöße nun auch die Geschäftsleitung persönlich haftbar gemacht werden kann.
1) NIS-2-Betroffenheit prüfen
Bisher nicht Regulierte sollten zunächst prüfen, ob das Unternehmen von den neuen Regularien betroffen ist. Grob gesagt sind dies alle Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz ab 10 Mio. Euro, die in mindestens einem der 18 regulierten Sektoren tätig sind. Ebenso betroffen sind kleinere Unternehmen mit weniger als 50 Mitarbeitern, die kritische Dienste anbieten, bei denen eine Störung ein wesentliches Systemrisiko darstellen kann – das sind vor allem Unternehmen der ITK-Branche wie Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlichen elektronischen Kommunikationsnetzen und -diensten. Auch die öffentliche Verwaltung fällt ohne Berücksichtigung ihrer Größe unter die Regulierung. Einzelheiten dazu finden Sie in unserem Blogbeitrag zu NIS-2 und bei openKRITIS.
Allerdings ist es nicht immer leicht, die Betroffenheit des eigenen Unternehmens zu ermitteln. Zumal auch Firmen, die indirekt als Dienstleister oder Lieferanten für betroffene Unternehmen tätig sind, unter Umständen gezwungen sind, die NIS-2-Sicherheitsanforderungen einzuhalten, um die gesamte Lieferkette zu schützen. Deshalb sind viele Industrie- und Wirtschaftsverbände derzeit dabei, ihren Mitgliedsunternehmen Hilfestellungen beim Identifizieren der Rechtslage zu bieten. Auch Anwaltskanzleien und Beratungsunternehmen bieten Online-Hilfen wie NIS2-Check an, die helfen, eine mögliche Betroffenheit zu klären.
2) Erforderliche Maßnahmen identifizieren und umsetzen
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen eine Reihe von Cybersecurity-Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen umsetzen. Die meisten dieser Maßnahmen gelten für alle regulierten Unternehmen, unabhängig davon, ob sie als KRITIS-Betreiber, wichtige oder besonders wichtige Einrichtungen gelten, und ungeachtet der Sektoren, in denen sie tätig sind. Zu den zentralen Maßnahmen zählt die Implementierung geeigneter Sicherheitsstandards, Risikomanagementverfahren und Vorfallsreaktionspläne. Dazu gehören z. B. die Einführung von Sicherheitsmaßnahmen wie Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsaudits sowie eine schnelle Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Hier gilt es zu prüfen, welche dieser Maßnahmen bereits umgesetzt werden, und fehlende zeitnah zu implementieren. Dabei können Maßnahmen und Best Practices von bereits regulierten Unternehmen eine gute Orientierung bieten. Auch die Hilfe von externen Beratern oder Spezialisten kann den Aufwand der Implementierung beschleunigen. Manche Anforderungen, können auch mithilfe bewährter Software-Lösungen umgesetzt werden. So können Sie mit Specops Password Policy Ihre Passwortsicherheit in Active Directory fit für NIS-2 machen und Ihren Helpdesk mit Specops Secure Servicedesk vor Social-Engineering-Angriffen schützen, um so das allgemeine Risko für Ihre Organisation zu reduzieren.
Autor
Torsten Krüger
Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.
(Zuletzt aktualisiert am 11/04/2024)