Cybersicherheit: Darum geht es beim NIS-2-Umsetzungsgesetz

Foto: Pixabay User CoolVid-Shows | CC0 1.0 | Ausschnitt bearbeitet
Foto: Pixabay User CoolVid-Shows | CC0 1.0 | Ausschnitt bearbeitet
Veröffentlicht am 14.03.2024

Die Bundesregierung plant eine ganze Reihe an (IT)-Sicherheitsgesetzen Anlass dafür ist die Umsetzung von einigen Regulierungsvorhaben der EU zur Stärkung der Resilienz Kritischer Infrastrukturen. Eine zentrale Rolle spielt dabei die NIS-2-Richtlinie, die bis Herbst 2024 in den Nationalstaaten verbindlich umgesetzt werden muss. Was das bedeutet das und wie sieht der aktuelle Stand aus?

Der Schutz von Systemen, Netzwerken, Programmen und sensiblen Informationen vor digitalen Angriffen wird in der vernetzten, digitalisierten Welt immer wichtiger – auch weil staatliche und nichtstaatliche Akteure die digitale Verwundbarkeit der Gesellschaft durch Cyberangriffe immer häufiger ausnutzen wollen. Um die Cybersicherheit innerhalb der Europäischen Union auf ein neues Niveau zu heben und für einheitliche Mindeststandards zwischen den Staaten zu sorgen, hat die EU deshalb die NIS-2-Richtlinie beschlossen.

Was die NIS-2-Richtlinie regelt

Die neue sogenannte „Network and Information Security Directive“ ist im Januar 2023 in Kraft getreten und hat die erste NIS-Richtlinie aus dem Jahr 2016 abgelöst, die vor allem auf den Aufbau von Cybersicherheitskapazitäten abzielte. NIS-2 sieht nun deutlich mehr Plichten für die Mitgliedstaaten sowie Unternehmen in einem deutlich erweiterten Anwendungsbereich vor.

Zentral sind dabei die Definition von 18 relevanten Wirtschafts­sektoren (z.B. Energie, Transport, digitale Infrastruktur) sowie die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen („essential“ & „important entities“), deren Größe nach Mitarbeiterzahl und Umsatz eingeteilt wird. Ist ein Unternehmen in einem der 18 Sektoren tätig, beschäftigt mehr als 250 Mitarbeitende oder hat einen Jahresumsatz von über 50 Mio. Euro, gilt es als groß und hat mehr Pflichten als mittlere Unternehmen mit mehr als 50 Mitarbeitenden oder einem Umsatz von über 10 Mio. Euro. In Deutschland werden laut Schätzungen mindestens 30.000 Unternehmen von den Vorschriften betroffen sein. Erbringen sie ihre Dienstleistungen in eigenen Anlagen und versorgen damit mehr als 500.000 Personen werden sie zudem als KRITIS-Betreiber eingestuft.

Die Unternehmen müssen in Zukunft eine Reihe von technischen und organisatorischen Maßnahmen ergreifen, um die für ihre Dienste nötigen Netz- und Informationssysteme zu schützen. Dazu gehören insbesondere Risikoanalysen, ein Backup-Management, Sicherheit der Lieferketten, das Management von Schwachstellen, der Einsatz sicherer Kommunikationskanäle und die Meldung ernsthafter Sicherheitsvorfälle an die zuständigen nationalen Behörden nach einem mehrstufigen System. Sollten Unternehmen ihren Verpflichtungen nicht nachkommen, sieht die Richtlinie zudem Sanktionen vor, z.B. Bußgelder von bis zu 10 Mio. Euro.

EU-weite Umsetzung bis Oktober 2024

Die einzelnen EU-Staaten müssen im Rahmen der Richtlinie eine nationale Cybersicherheits­-Strategie vorlegen, eine umfangreiche nationale Aufsicht zu den NIS-2-Vorgaben sicherstellen und entsprechende Behörden so ausstatten bzw. schaffen, dass sie mit Cybersicherheitsvorfällen umgehen können, u.a. ein nationales „Computer Security Incident Response Team“.

Die konkrete Ausgestaltung der Richtlinie obliegt den jeweiligen EU-Staaten, die dafür bis zum 17. Oktober 2024 Zeit haben. Der Stand der Umsetzung variiert bisher aber recht stark zwischen den Ländern. In Deutschland wird mittlerweile seit einem Jahr an dem Umsetzungsgesetz gearbeitet: Für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“, das mehrere bestehende Gesetze – vor allem die KRITIS-Teile des BSI-Gesetzes – ändern wird, liegt nun schon der vierte Referentenentwurf aus dem Bundesinnenministerium vor. Was unter anderem an der Komplexität der vielen Vorgaben aus der Richtlinie und deren Einpassung in bestehende rechtliche Regelungen zur IT-Sicherheit liegt.

Der Stand in Deutschland

So werden die vom Gesetz betroffenen Unternehmen in Deutschland aus vier Gruppen bestehen: Die Betreiber kritischer Anlagen (KRITIS), die besonders wichtigen sowie die wichtigen Einrichtungen und Bundeseinrichtungen. Zu den besonders wichtigen Einrichtungen gehören z.B. alle Telekomunikationsanbieter auch unabhängig von ihrer Größe.

Für jede Gruppe sollen die vorgesehenen Maßnahmen in unterschiedlichem Umfang gelten. So sollen die KRITIS-Betreiber etwa höhere Maßstäbe und besondere Maßnahmen erfüllen. Aber alle Einrichtungen müssen sich registrieren und um das Risikomanagement und Meldepflichten kümmern.

Als zentrale Aufsichtsbehörde für die Cybersecurity-Aufgaben wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Registrierung und Kontrolle der Einrichtungen zuständig sein. Es kann die besonders wichtigen Einrichtungen anlasslos kontrollieren, während eine Kontrolle bei wichtigen Einrichtungen nur im Verdachtsfall möglich ist. Allerdings soll das BSI laut aktuellen Referentenentwurf nicht mehr alle vom Gesetz betroffenen Unternehmen über relevante Cyberbedrohungen unterrichten müssen.

Pressefoto: Bundesamt für Sicherheit in der Informationstechnik

Fester Rahmen, aber wichtige Änderungen im Detail

Zudem soll das NIS-2-Umsetzungsgesetz nun stärker mit dem KRITIS-Dachgesetz abgestimmt werden, inklusive einheitlicher Definition kritischer Dienstleistungen. Dies hatten im vergangenen Jahr mehrere Verbände im Sinne einer ganzheitlichen Sicherheitsarchitektur in ihren Stellungnahmen zum KRITIS-Dachgesetz gefordert.

Da sich das Umsetzungsgesetz momentan in der Ressortabstimmung befindet und die beteiligten Akteure sich nicht in allen Aspekten einig sind, kann es allerdings noch zu weiteren Änderungen kommen. Zudem gibt es noch einige offene Punkte, was Bereichsausnahmen, Klarstellungen zu Begriffen (z.B. Anforderungen an die Lieferketten oder „Cyberhygiene“) sowie hinsichtlich der Melde-und Registrierungsplichten angeht.

Credit: iStock/sdecoret, bearbeitet

Ob das Gesetz noch rechtzeitig im Bundestag verabschiedet werden kann, sodass es Mitte Oktober tatsächlich in Kraft tritt, erscheint aktuell als sehr fraglich. Da die zentralen Inhalte der zugrundeliegenden Richtlinie aber seit längerer Zeit bekannt sind, zeichnet sich klar ab, dass es den Bereich der Cybersicherheit in den nächsten Jahren rechtlich stark prägen wird und Unternehmen sich bereits jetzt darauf vorbereiten sollten.

Wirtschaftlicher Erfüllungsaufwand zu Umsetzung des NIS-2 Umsetzungsgesetzes und des KRITIS-Dach werden erheblich sein, insbesondere für Unternehmen, die bislang nicht im Scope der KRITIS-Gesetzgebung waren.

Aktuell sind in Deutschland rund 30.000 Unternehmen von der NIS-2 Umsetzung betroffen. Davon haben schätzungsweise erst 40 % ausreichende Maßnahmen ergriffen haben.

Der Zeitplan zur Umsetzung ist bereits jetzt sehr ambitioniert.

Zwar muss der Nachweis der Erfüllung nach jetzigem Entwurfsstand des Gesetzes erst drei Jahre nach Inkrafttreten erbracht werden. Es steht aber fest, je später das NIS 2 Umsetzungsgesetz verkündet wird, desto kürzer ist die Umsetzungsfrist für die betroffenen Unternehmen.

Die Entwicklung bleibt insoweit weiterhin dynamisch. Über die wichtigsten Änderungen und Neuerungen informieren wir weiter in diesem Blog.

Mehr Informationen:

Digitalpolitischer Jahresausblick: Was in Deutschland 2024 ansteht

Nachgefragt! mit Manuel Höferlin: Digitale Schwachstellen schließen ist eine Daueraufgabe

KRITIS-Dachgesetz: So reagieren die großen Verbände

Schlagworte

Empfehlung der Redaktion