Das NIS2UmsuCG – mehr Unternehmen müssen Cyberrisiken berücksichtigen

Eigentlich soll das Umsetzungsgesetz NIS2UmsuCG im Oktober 2024 in Kraft treten können. Ob das gelingt, ist offen. Die Bundesregierung scheint eher tastend als zupackend die EU Richtlinie NIS2 in deutsches Recht umzusetzen. Sie hat dabei weniger Spielraum als bei der Vorgänger Richtlinie, NIS1. Daher dürfte es unabwendbar sein, dass die Betreiberpflichten großer und mittelgroßer Unternehmen bestimmter Branchen ausgeweitet werden. Sie müssen Risikoanalyse durchführen und ihre gesamte IT-Infrastruktur vor Cyberbedrohungen schützen. Wie stark der Schutz ausfallen muss, hängt von Kategorien ab, die in der NIS2-Richtlinie geschaffen wurden und in das Umsetzungsgesetz übernommen wurden. Verantwortlich für die Umsetzung sind die Geschäftsleitungen.

NIS2

Die Richtlinie NIS2 (EU 2022/2555) ist seit Anfang 2023 in Kraft. Ihre Zielsetzung ist Teil des Titels. Er lautet: Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU. Für die Autoren aus der EU-Bürokratie dürfte die Betonung auf „hoch“ und „gemeinsam“ gelegen haben, führte doch die erste NIS-Richtlinie dazu, dass es kein einheitliches Cybersicherheitsniveau in der EU gab.

Umsetzung bis Oktober 2024

NiS2 ist keine EU-Verordnung. Ihre Regelungen gelten somit nicht unmittelbar. Die EU-Mitgliedstaaten müssen die Richtlinie vielmehr durch nationale Gesetze bis Oktober 2024 verbindlich machen.

Weniger Spielraum als bei NIS1

Dabei haben die einzelnen Regierungen und Parlamente einen gewissen Spielraum. Im Fall der NIS-2-Richtlinie dürfte der allerdings geringer ausfallen als bei NIS-1. Die unterschiedliche Umsetzung in den Mitgliedstaaten der ersten EU-weiten Regelung für mehr Cybersicherheit war der Auslöser für die zweite Richtlinie in nur sechs Jahren. Insbesondere bei den Schwellenwerten, ab denen Unternehmen unter die Richtlinie fallen, gab es Abweichungen. Auch die geforderten Cybersicherheitsmaßnahmen wichen ab. Beides führte dazu, dass Unternehmen in der EU unterschiedlich stark reguliert wurden.

Die Schwellenwerte sind nun einheitlich geregelt. Die richten sich nach der Unternehmensgröße und dem Bereich, in dem die Unternehmen tätig sind. Die Definition in NIS2UmsuCG, was große und was mittelgroße Unternehmen sindt, entsprechen denen der NIS2-Richtlinie.

NIS2-Umsetzungsgesetz (NIS2UmsuCG)

Bisher gibt es vier Referentenentwürfe des NIS2-Umsetzungsgesetzes (NIS2UmsuCG). Der jüngste stammt vom Mai 2024. Aus ihm wird im Folgenden zitiert. Im Oktober 2024 soll das Gesetz in Kraft treten.

Einteilung in zwei Kategorien von Einrichtungen

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt für „besonders wichtige“ und „wichtige“ „Einrichtungen“. Im Teil 3 „Sicherheit in der Informationstechnik und Einrichtungen“ werden beide Begriffe definiert (§ 28 NIS2UmsuCG). Die Einteilung hat Auswirkungen auf die Bewertung der Angemessenheit der für die Cybersicherheit zu ergreifenden Maßnahmen. Für wichtige Einrichtungen geht man davon aus, dass sie einer geringeren Risikoexposition ausgesetzt sind und die Schwere und Auswirkungen von Sicherheitsvorfällen geringer ist.

Unternehmen und Verwaltungen sind Einrichtungen nach NIS2UmsuCG

Für das Verständnis ist es noch wichtig zu erwähnen, dass man für den Gesetzesentwurf NIS2UmsuCG die Begrifflichkeit der deutschen Fassung der NIS-2-Richtlinie herangezogen hat. Dort werden die Kategorien „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ genannt. Einrichtungen nach NIS-2 können sowohl Unternehmen, als auch „rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft sein, die „entgeltlich Waren oder Dienstleistungen anbieten“ (§ 28 Abs. 1 Nr. 4 NIS2UmsuCG).

Eigen- oder Landesbetriebe sind entweder besonders wichtige oder wichtige Einrichtungen

Unter „rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft“ sind Eigenbetriebe einer Kommune oder Landesbetriebe zu verstehen. Sie sollten unter die Regelungen des NIS2UmsuCG fallen, auch wenn sie keine juristische oder natürliche Person sind (vgl. Begründung des NIS2UmsuCG).

Bundesverwaltungen sind immer besonders wichtige Einrichtungen nach NIS2UmsuCG

Einrichtungen der Bundesverwaltung – also zum Beispiel das Auswärtige Amt, der Bundesnachrichtendienst, aber auch Körperschaften und Stiftungen des Bundes – gelten grundsätzlich als besonders wichtige Einrichtungen. Für sie gelten jedoch eine Reihe von Ausnahmen. Etwa was die Aufsichtsmaßnahmen angeht oder was die Pflichten der Geschäftsleitung betrifft (§ 29 NIS2UmsuCG und Kapitel 3 des Teils 3 des NIS2 UmsuCG).

Grund für die rückhaltlose Einbeziehung der Bundesverwaltung ist die Selbstdiagnose, dass in vielen Einrichtungen der Bundesverwaltung ein Defizit bei der Umsetzung von Maßnahmen zum Eigenschutz im Bereich der Informationssicherheit besteht (vgl. Begründung zum NIS2UmsuCG).

.

KRITIS

Unternehmen

Nach Anlage 1 mit mindestens 250 Beschäftigten
oder einem Jahresumsatz von über 50 Mill. Euro und einer Jahresbilanzsumme von über 43 Mill. Euro.

TK-Dienste

Anbieter von Telekommunikationsdiensten oder -netzen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mil. Euro.

Sonderfälle

Top Level Domain Name Registries, DNS-Dienstanbieter und qualifizierte Vertrauensdiensteanbieter sind nach § 28 NIS2UmsuCG besonders wichtige Einrichtungen.

Unternehmen

Nach Anlage 1 oder 2 mit mindestens 50 Beschäftigten
oder einen Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mill. Euro.

Telekommunikation

Anbieter von Telekommunikationsdiensten oder -netzen mit weniger als 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils 10 Mill. Euro oder weniger.

Sonderfälle


Vertrauensdiensteanbieter sind nach § 28 Abs. 2, Nr. 1 NIS2UmsuCG wichtige Einrichtungen.

Eigenbetriebe werden eingestuft wie selbständige Unternehmen

Für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft gelten dieselben Regelungen wie für Unternehmen, das heißt

  • rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft nach Anlage 1 mit mindestens 250 Beschäftigten sind „besonders wichtige Einrichtungen“;
  • entsprechende Organisationseinheiten nach Anlage 1 oder 2 mit mindestens 50 Beschäftigten sind „wichtige Einrichtungen“.

Ausnahmen

Wie bei jedem Gesetz, das Unternehmen Pflichten aufbürdet, gibt es Ausnahmen.

Telekommunikationsunternehmen mit öffentlichen Telefokommunikationsnetzen und -diensten

Telekommunikationsanbieter, die das machen, was Telefongesellschaften nun einmal machen, nämlich öffentlich zugängliche Telekommunikationsdienste anzubieten, müssen bestimmten Pflichten, die besonders wichtige und wichtige Einrichtungen eigentlich erfüllen müssen, nicht gerecht werden (§ 28 Abs. 4 Nr. 1 NIS2umsuCG). Das ist die Melde-, Unterrichtungs- und Nachweispflicht (§§ 32, 35, 39 NIS2umsuCG).

Betreiber von Energieversorgungsnetzen oder Energieanlagen

Betreiber von Energieversorgungsnetzen oder Energieanlagen müssen dieselben Pflichten nicht erfüllen wie Telekommunikationsunternehmen, sofern sie unter das Energiewirtschaftsgesetz (EnWG) fallen. Grund ist, dass das NIS2UmsuCG ebenfalls einen neuen Paragrafen in das EnWG einführen soll. Der neue § 5 c EnWG legt festt, dass Betreiber von Energieversorgungsnetzen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten müssen, die für einen sicheren Netzbetrieb notwendig sind.

Die Sektoren

Die Unternehmen und unselbstständige Organisationseinheiten einer Gebietskörperschaft unterliegen den Regulierung des NIS2UmsuCG, wenn sie in bestimmten Sektoren tätig sind. Das NIS2UmsuCG kennt zwei Gruppen von Sektoren. Sie sind entweder in Anlage 1 oder Anlage 2 des NIS2UmsuCG aufgelistet.

Sektoren nach Anlage 1

Sektoren besonders wichtiger und wichtiger Einrichtungen nach Anlage 1 NIS2UmsuCG sind:

  • Energie,
  • Transport und Verkehr,
  • Finanz- und Versicherungswesen,
  • Gesundheit,
  • Wasser,
  • Informationstechnik und Telekommunikation und
  • Weltraum.

Entscheidend ist die Zuordnung nach Einrichtungsart

Zu jedem Sektor gibt es noch weitere Spezifikationen. Meist werden sie noch noch nach Branchen gegliedert, also etwa der Sektor Energie in Stromversorgung, Fern- und Kälteversorung, Kraft- und Heizölversorgung und Gasversorgung. Entscheidend sind aber die Einrichtungsarten. Nach ihnen erfolgt die Zuordnung.

Beispiel: Ein Unternehmen mit 40000 Beschäftigten, das an Letztkunden Strom liefert, fällt in den Sektor Energie, Branche Stromversorgung und ist der Einrichtungsart „Betreiber von Übertragungsnetzen gemäß § 3 Nr. 10 EnWG“ zuzuordnen. Es ist somit eine besonders wichtige Einrichtung.

Ist Ihr Unternehmen einer der Einrichtungsarten nach Anlage 1 zuzuordnen?

Eine Übersicht über die Sektoren, Anlagen und Einrichtungsarten der Anlage 1 NIS2UmsuCG finden Sie hier.

Sektoren nach Anlage 2

Sektoren wichtiger Einrichtungen nach Anlage 2 sind

  • Transport und Verkehr,
  • Abfallbewirtschaftung,
  • Produktion, Herstellung, Handel mit chemischen Stoffen,
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln,
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste,
  • Forschung

Zu den einzelnen Sektoren gibt es noch im NIS-2-Umsetzungsgesetz noch Erläuterungen. Zum Beispiel sind Anbieter digitaler Dienste Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke.

Ist Ihr Unternehmen einer der Einrichtungsarten nach Anlage 2 zuzuordnen?

Eine Übersicht über die Sektoren, Anlagen und Einrichtungsarten der Anlage 1 NIS2UmsuCG finden Sie hier.

Pflichten von besonders wichtigen und von wichtigen Einrichtungen

Nach § 30 NIS2UmsuCG in der Fassung vom Mai 2024 müssen besonders wichtige Einrichtungen und wichtige Einrichtungen

geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

§ 30 Abs. 1 NIS2 UmsuCG

Alle IT-Systeme müssen geschützt werden

Geschützt werden sollen ausdrücklich „sämtliche informationstechnischen Systeme, Komponenten und Prozesse“, die von einem Unternehmen, das in ein der oben genannten Kategorien fällt, für die Erbringung ihrer Dienste genutzt werden. Der Begriff „Erbringung ihrer Dienste“ soll weit gefasst werden und soll insbesondere nicht mit der Erbringung (kritischer) Versorgungsdienstleistungen enden. Gemeint sind vielmehr sämtliche Aktivitäten eines Unternehmens für die IT-Systeme eingesetzt werden, das heißt zum Beispiel auch Büro-IT (vgl. Begründung zum NIS2UmsuCG in der Fassung vom Mai 2024).

Die Maßnahmen sollen dem Stand der Technik entsprechen, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Im Einzelnen sind das:

Risikoanalysen

Risikoanalysen müssen durchgeführt und Sicherheitskonzepte für die Informationstechnik erstellt werden. Es müsste also etwa ein Information Security Management (ISMS) etabliert werden.

Incident Management

Bewältigung von Sicherheitsvorfällen (Incident Management), das heißt Vorfälle (Incidents) oder anders gesagt ungeplante Störungen eines IT-Services, sollen erkannt und behoben werden. Das Incident Management zielt darauf ab, den Betrieb von Services aufrechtzuerhalten oder – sofern sie offline genommen werden – so schnell wie möglich wiederherzustellen.

Business Continuity

Aufrechterhaltung des Betriebs (Business Continuity), im Grunde ist das die Forderung einen Business Continuity Plan aufzustellen, also ein Verfahren zu definieren, zur Aufrechterhaltung des Betriebs oder zu seiner schnellen Wiederaufnahme während einer ungeplanten Störung, zum Beispiel bei einem Cyberangriff. In einem Business Continuity Plan würden zum Beispiel die IT-/OT- und Elektrofachkräfte benannt, die den Schaden identifizieren und Schritte wie ein Herunterfahren einer Produktionsanlage koordinieren können.

Sicherheit der Lieferketten herstellen

Die Maßnahmen von besonders wichtigen und wichtigen Einrichtungen müssen auch die

Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

§ 30 Abs. Nr. 4 NIS2 UmsuCG

sicherstellen.

Dass die Lieferketten eine Schwachstelle einer globalvernetzten Wirtschaft sind, konnten alle Interessierte während der COVID-19-Pandemie erfahren. Ein Problem bei der Gewährleistung von Lieferungen von Waren oder Dienstleistern sind die nicht oder schwer vorhersehbaren Hindernisse und die fehlende Kontrollmöglichkeit über die Lieferanten. Wie könnte nun die Sicherstellung der Lieferketten unter dem Aspekte der Cybersicherheit aussehen?

Mit Lieferanten Vereinbarungen zu Risikomanagemenntmaßnahmen oder gemeinsames Patchmanagement vereinbaren

Die Bundesregierung schlägt vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen vor oder zur Bewältigung von Cybersicherheitsvorfällen. Eine andere Anregung ist, Updates für Software zu vereinbaren (Patchmanagement) und selbstredend den Lieferanten die Empfehlungen des Bundesamt für Sicherheit in der der Informationstechnik (BSI) ans Herz zu legen.

Security by Design vereinbaren

Ebenfalls kann dies beinhalten, Zulieferer und Dienstleister zur Beachtung von grundsätzlichen Prinzipien wie Security by Design oder Security by Default anzuhalten.

Definieren eines Cybersicherheitsstandards

Egal, welche Maßnahmen man im Verhältnis zu seinen Lieferanten und Dienstleistern ergreifen will, um die Definition eines Cybersicherheitsstandards wird man nicht herumkommen. Welche Maßnahmen geeignet sind, hängt auch den (bekannten oder unbekannten) spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie der Gesamtqualität der Produkte ab.

Dabei müssen die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitsstrategie ihrer Dienstleister und Zulieferer, inklusive der Sicherheit ihrer Entwicklungsprozesse, berücksichtigt werden. Man darf nicht vergessen, dass die EU-Richtlinie NIS-2 die Durchführung koordinierter Risikobewertungen kritischer Lieferketten vorschreibt (NIS2 (EU 2022/2555 Artikel 22). 

Üblicherweise werden die Vorgaben für die Lieferkette in einem Informationssicherheitsmanagementsystem (ISMS) fixiert bzw. im Lieferantenmanagement.

Validierung der Risikomanagementmaßnahmen, Audits

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.

Schulungen

Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik.

Verschlüsselung

Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen.  

MFA

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Meldepflichten

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Meldepflichten unterworfen. Bei einem „erheblichen Sicherheitsvorfall ” müssen sie zum Beispiel unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung melden, ob dieser Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen sein könnte. Es müssen dann weitere Meldungen folgen.

Desgleichen müssen sich bestimmten Einrichtungen und Unternehmen beim BSI registrieren.

Bestimmte besonders wichtige und wichtige Einrichtungen können von der Meldepflicht befreit werden.

Geschäftsleitungen  

Die Geschäftsleiter besonders wichtiger und wichtiger Einrichtungen müssen Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen. Sie haften ja auch dafür. Zudem sollte Geschäftsleiter regelmäßig an Schulungen teilnehmen, um sich über die Bewertung von Risiken und Risikomanagementpraktiken zu informieren. Dies schon aus Eigennutz!

Immer dokumentieren

Wer schreibt, der bleibt gilt auch für die NIS-Richtlinie bzw. das NIS2-Umsetzungsgesetz. Alle von den Regulierungen betroffene Unternehmen, Verwaltungen, Eigenbetriebe und Dienstleister sind verpflichtet, die Umsetzung und Einhaltung der getroffenen Maßnahmen „angemessen“ zu dokumentieren.

Aufzuheben und sicher zu speichern sind beispielsweise: interne Richtlinien, Handlungsanweisungen, Checklisten, Mitarbeiterschulungen, Vereinbarungen, Merkblätter o.ä., aber auch Auditberichte, Zertifizierungen oder Prüfungen.

Ausnahmen von den Risikomanagementmaßnahmen und Meldepflichten

Bestimmte Einrichtungen müssen nicht die in § 30 NIS2UmsuCG vorgeschriebenen Risikomanagementmaßnahmen umsetzen. Sie müssen auch keine Meldungen bei einem „erheblichen Sicherheitsvorfall“ erstatten.

Ausnahmen für Unternehmen, die im Bereich der nationalen Sicherheit tätig sind

Nach § 37 Abs. 2 Nr. 1 NIS2UmsuCG gilt das für besonders wichtige und wichtige Einrichtungen, also Unternehmen und Eigenbetriebe, die unter das NIS2-Umsetzungsgesetz fallen, „die in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, (relevante Bereiche) tätig sind oder Dienste erbringen“.

Ausnahmen für Sicherheitsbehörden

Das gilt aber nicht nur für Unternehmen oder Eigenbetriebe, die unter das NIS2UmsuCG fallen, sondern auch für „Behörden, die Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen“. Also Staatsanwaltschaften, Polizeibehörden, Zoll etc.

BND ohnehin befreit

Bestimmte Einrichtungen der Bundesverwaltung – wie Geschäftsbereiche des Auswärtigen Amts und des Bundesministeriums der Verteidigung sowie der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz sind über eine eigene Regelung (§ 29 Abs. 3) von den Risikomanagementmaßnahmen ausgenommen.

Befreit werden die besonders wichtigen und wichtigen Einrichtungen, die in Bereichen wie der nationalen Sicherheit tätig sind, durch das Bundesinnenministerium. Antragsberechtigt sind andere Bundesministerien.

Irgendwie anders für Cybersicherheit sorgen

Die Sicherheit in der Informationstechnik müssen die von den Risikomanagementmaßnahmen befreiten Einrichtungen anderweitig gewährleistet und beaufsichtigt werden.

    Nach oben scrollen