Das Umsetzungsgesetz der NIS-2 Richtlinie soll im April 2025 in Kraft treten. Es wird die Betreiberpflichten großer und mittelgroßer Unternehmen bestimmter Branchen massiv ausgeweiten. Sie müssen Risikoanalyse durchführen und ihre gesamte IT-Infrastruktur vor Cyberbedrohungen schützen. Wie stark der Schutz ausfallen muss, hängt von Kategorien ab, die in der NIS2-Richtlinie geschaffen wurden und in das Umsetzungsgesetz übernommen wurden. Verantwortlich für die Umsetzung sind die Geschäftsleitungen.
NIS2
Die Richtlinie NIS2 (EU 2022/2555) ist seit Anfang 2023 in Kraft. Ihre Zielsetzung ist Teil des Titels. Er lautet: Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU. Für die Autoren aus der EU-Bürokratie dürfte die Betonung auf „hoch“ und „gemeinsam“ gelegen haben, führte doch die erste NIS-Richtlinie dazu, dass es kein einheitliches Cybersicherheitsniveau in der EU gab.
Umsetzung eigentlich bis Oktober 2024
NiS2 ist keine EU-Verordnung. Ihre Regelungen gelten somit nicht unmittelbar. Die EU-Mitgliedstaaten müssen die Richtlinie vielmehr durch nationale Gesetze bis Oktober 2024 verbindlich machen. Diese Hürde hat die Bundesregierung schon mal gerissen. Das NIS2UmsuCG soll nun im April 2025 in Kraft treten. Bald darauf müssen sich die von der Regelung betroffenen Unternehmen registrieren.
Weniger Spielraum als bei NIS1
Bei der Umsetzung der EU-Richtlinien haben die einzelnen Regierungen und Parlamente einen gewissen Spielraum. Im Fall von NIS-2 fiel der allerdings geringer aus als bei Vorgängerrichtlinie NIS-1. Die unterschiedliche Umsetzung in den Mitgliedstaaten der ersten EU-weiten Regelung für mehr Cybersicherheit war der Auslöser für die zweite Richtlinie in nur sechs Jahren. Insbesondere bei den Schwellenwerten, ab denen Unternehmen unter die Richtlinie fallen, gab es Abweichungen. Auch die geforderten Cybersicherheitsmaßnahmen wichen ab. Beides führte dazu, dass Unternehmen in der EU unterschiedlich stark reguliert wurden.
Die Schwellenwerte sind nun einheitlich geregelt. Die richten sich nach der Unternehmensgröße und dem Bereich, in dem die Unternehmen tätig sind. Die Definition in NIS2UmsuCG, was große und was mittelgroße Unternehmen sindt, entsprechen denen der NIS2-Richtlinie.
NIS2-Umsetzungsgesetz (NIS2UmsuCG)
Bisher gibt es vier Referentenentwürfe des NIS2-Umsetzungsgesetzes (NIS2UmsuCG). Im Juli lag ein Gesetzesentwurf der Bundesregierung vor. Aus ihm wird im Folgenden zitiert. Im Oktober 2024 soll das Gesetz in Kraft treten.
Das NIS-2-Umsetzungsgesetz erweitert oder schreibt viele Paragrafen verschiedener Gesetze um. Die meisten Änderungen und Neuerungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). In diesem überarbeiteten Gesetz (zitiert als BSIG-E) werden Regelungen zur Risikobewertung, zur Registrierung, Meldung von Sicherheitsvorfällen, aber auch zur Zuordnung von betroffenen Unternehmen zu den verschiedenen Kategorien festgelegt.
Neben vielen redaktionellen Änderungen in verschiedenen Gesetzen, gibt neue Paragrafen für das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG). Wesentliche Vorgaben des BSIG-E werden direkt in die beiden Gesetze übernommen.
Einteilung in zwei Kategorien von Einrichtungen
Das BSIG-E gilt für „besonders wichtige“ und „wichtige“ „Einrichtungen“. Im Teil 3 „Sicherheit in der Informationstechnik und Einrichtungen“ werden beide Begriffe definiert (§ 28 BSIG-E). Die Einteilung hat Auswirkungen auf die Bewertung der Angemessenheit der für die Cybersicherheit zu ergreifenden Maßnahmen. Für wichtige Einrichtungen geht man davon aus, dass sie einer geringeren Risikoexposition ausgesetzt sind und die Schwere und Auswirkungen von Sicherheitsvorfällen geringer ist.
Unternehmen und Verwaltungen sind Einrichtungen nach BSIG-E
Für das Verständnis ist es noch wichtig zu erwähnen, dass man für den Gesetzesentwurf NIS2UmsuCG die Begrifflichkeit der deutschen Fassung der NIS-2-Richtlinie herangezogen hat. Dort werden die Kategorien „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ genannt. Einrichtungen nach NIS-2 können sowohl Unternehmen, als auch „rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft sein, die „entgeltlich Waren oder Dienstleistungen anbieten“ (§ 28 Abs. 1 Nr. 4 BSIG-E).
Eigen- oder Landesbetriebe sind entweder besonders wichtige oder wichtige Einrichtungen
Unter „rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft“ sind Eigenbetriebe einer Kommune oder Landesbetriebe zu verstehen. Sie sollten unter die Regelungen des Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG-E) fallen, auch wenn sie keine juristische oder natürliche Person sind (vgl. Begründung zu § 28 BSIG-E) im Gesetzesentwurf vom 27. Juli 2024).
Bundesverwaltungen sind immer besonders wichtige Einrichtungen nach NIS2UmsuCG
Einrichtungen der Bundesverwaltung – also zum Beispiel das Auswärtige Amt, der Bundesnachrichtendienst, aber auch Körperschaften und Stiftungen des Bundes – gelten grundsätzlich als besonders wichtige Einrichtungen. Für sie gelten jedoch eine Reihe von Ausnahmen. Etwa was die Aufsichtsmaßnahmen angeht oder was die Pflichten der Geschäftsleitung betrifft (§ 29 BSIG-E und Kapitel 3 des Teils 3 des BSIG-E).
Grund für die rückhaltlose Einbeziehung der Bundesverwaltung ist die Selbstdiagnose, dass in vielen Einrichtungen der Bundesverwaltung ein Defizit bei der Umsetzung von Maßnahmen zum Eigenschutz im Bereich der Informationssicherheit besteht (vgl. Begründung zum NIS2UmsuCG).
.
Besonders wichtige Einrichtungen
KRITIS
KRITIS-Anlagen nach BSI-KRITIS-Verordnung (BSI-KRITIS-V). Dort finden sich Anlagenkategorien und Berechnungsformeln zur Ermittlung der Schwellenwerte.
Unternehmen
Nach Anlage 1 mit mindestens 250 Beschäftigten
oder einem Jahresumsatz von über 50 Mill. Euro und einer Jahresbilanzsumme von über 43 Mill. Euro.
TK-Dienste
Anbieter von Telekommunikationsdiensten oder -netzen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mil. Euro.
Sonderfälle
Top Level Domain Name Registries, DNS-Dienstanbieter und qualifizierte Vertrauensdiensteanbieter sind nach § 28 NIS2UmsuCG besonders wichtige Einrichtungen.
Wichtige Einrichtungen
Eigenbetriebe werden eingestuft wie selbständige Unternehmen
Für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft gelten dieselben Regelungen wie für Unternehmen, das heißt
- rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft nach Anlage 1 mit mindestens 250 Beschäftigten sind „besonders wichtige Einrichtungen“;
- entsprechende Organisationseinheiten nach Anlage 1 oder 2 mit mindestens 50 Beschäftigten sind „wichtige Einrichtungen“.
Ausnahmen
Wie bei jedem Gesetz, das Unternehmen Pflichten aufbürdet, gibt es Ausnahmen. Für einige Bereiche gelte spezialgesetzliche Regelungen.
Telekommunikationsunternehmen mit öffentlichen Telefokommunikationsnetzen und -diensten
Telekommunikationsanbieter, die das machen, was Telefongesellschaften nun einmal machen, nämlich öffentlich zugängliche Telekommunikationsdienste anzubieten, müssen bestimmten Pflichten, die besonders wichtige und wichtige Einrichtungen eigentlich erfüllen müssen, nicht gerecht werden (§ 28 Abs. 4 Nr. 1 BSIG-E). Das ist die Melde-, Unterrichtungs- und Nachweispflicht (§§ 32, 35, 39 BSIG-E).
Betreiber von Energieversorgungsnetzen oder Energieanlagen
Betreiber von Energieversorgungsnetzen (egal welcher Größe) oder Energieanlagen, die besonders wichtigen Einrichtungen sind, müssen Melde-, Unterrichtungs- und Nachweispflichten dieselben Pflichten nicht erfüllen wie Telekommunikationsunternehmen, sofern sie unter das Energiewirtschaftsgesetz (EnWG) fallen. Grund ist, dass durch NIS2UmsuCG ebenfalls neuen Paragrafen in das EnWG eingeführt werden sollen. Der neue § 5 c EnWG legt festt, dass Betreiber von Energieversorgungsnetzen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten müssen, die für einen sicheren Netzbetrieb notwendig sind.
Die Sektoren
Die Unternehmen und unselbstständige Organisationseinheiten einer Gebietskörperschaft unterliegen den Regulierung des NIS2UmsuCG, wenn sie in bestimmten Sektoren tätig sind. Das NIS2UmsuCG kennt zwei Gruppen von Sektoren. Sie sind entweder in Anlage 1 oder Anlage 2 des NIS2UmsuCG aufgelistet.
Sektoren nach Anlage 1
Sektoren besonders wichtiger und wichtiger Einrichtungen nach Anlage 1 BSIG-E sind:
- Energie,
- Transport und Verkehr,
- Finanz- und Versicherungswesen,
- Gesundheit,
- Wasser,
- Informationstechnik und Telekommunikation und
- Weltraum.
Entscheidend ist die Zuordnung nach Einrichtungsart
Zu jedem Sektor gibt es noch weitere Spezifikationen. Meist werden sie noch noch nach Branchen gegliedert, also etwa der Sektor Energie in Stromversorgung, Fern- und Kälteversorung, Kraft- und Heizölversorgung und Gasversorgung. Entscheidend sind aber die Einrichtungsarten. Nach ihnen erfolgt die Zuordnung.
Sektoren nach Anlage 2
Sektoren wichtiger Einrichtungen nach Anlage 2 sind
- Transport und Verkehr,
- Abfallbewirtschaftung,
- Produktion, Herstellung, Handel mit chemischen Stoffen,
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln,
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste,
- Forschung
Zu den einzelnen Sektoren gibt es noch im NIS-2-Umsetzungsgesetz noch Erläuterungen. Zum Beispiel sind Anbieter digitaler Dienste Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke.
Pflichten von besonders wichtigen und von wichtigen Einrichtungen
Nach § 30 BSIG-E in der Fassung vom Mai 2024 müssen besonders wichtige Einrichtungen und wichtige Einrichtungen
geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
§ 30 Abs. 1 BSIG-E
Alle IT-Systeme müssen geschützt werden
Geschützt werden sollen ausdrücklich „sämtliche informationstechnischen Systeme, Komponenten und Prozesse“, die von einem Unternehmen, das in ein der oben genannten Kategorien fällt, für die Erbringung ihrer Dienste genutzt werden. Der Begriff „Erbringung ihrer Dienste“ soll weit gefasst werden und soll insbesondere nicht mit der Erbringung (kritischer) Versorgungsdienstleistungen enden. Gemeint sind vielmehr sämtliche Aktivitäten eines Unternehmens für die IT-Systeme eingesetzt werden, das heißt zum Beispiel auch Büro-IT (vgl. Begründung zum NIS2UmsuCG in der Fassung vom Mai 2024). Die Bundesregierung setzt mit dieser Vorgabe die NIS-2-Richtlinie um(Artikel 21 Abs. 1 NIS-2-Richtlinie).
Die Maßnahmen sollen dem Stand der Technik entsprechen, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.
Durch die Unternehmen und Einrichtungen der Bundesverwaltung sollen nur geeignete, verhältnismäßige und wirksame Maßnahmen ergriffen werden.
Risikoanalysen
Risikoanalysen müssen durchgeführt und Sicherheitskonzepte für die Informationstechnik erstellt werden. Es müsste also etwa ein Information Security Management (ISMS) etabliert werden.
Incident Management
Bewältigung von Sicherheitsvorfällen (Incident Management), das heißt Vorfälle (Incidents) oder anders gesagt ungeplante Störungen eines IT-Services, sollen erkannt und behoben werden. Das Incident Management zielt darauf ab, den Betrieb von Services aufrechtzuerhalten oder – sofern sie offline genommen werden – so schnell wie möglich wiederherzustellen.
Business Continuity
Aufrechterhaltung des Betriebs (Business Continuity), im Grunde ist das die Forderung einen Business Continuity Plan aufzustellen, also ein Verfahren zu definieren, zur Aufrechterhaltung des Betriebs oder zu seiner schnellen Wiederaufnahme während einer ungeplanten Störung, zum Beispiel bei einem Cyberangriff. In einem Business Continuity Plan würden zum Beispiel die IT-/OT- und Elektrofachkräfte benannt, die den Schaden identifizieren und Schritte wie ein Herunterfahren einer Produktionsanlage koordinieren können.
Sicherheit der Lieferketten herstellen
Die Maßnahmen von besonders wichtigen und wichtigen Einrichtungen müssen auch die
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
§ 30 Abs. Nr. 4 BSIG-E
sicherstellen.
Dass die Lieferketten eine Schwachstelle einer globalvernetzten Wirtschaft sind, konnten alle Interessierte während der COVID-19-Pandemie erfahren. Ein Problem bei der Gewährleistung von Lieferungen von Waren oder Dienstleistern sind die nicht oder schwer vorhersehbaren Hindernisse und die fehlende Kontrollmöglichkeit über die Lieferanten. Wie könnte nun die Sicherstellung der Lieferketten unter dem Aspekte der Cybersicherheit aussehen?
Mit Lieferanten Vereinbarungen zu Risikomanagemenntmaßnahmen oder gemeinsames Patchmanagement vereinbaren
Die Bundesregierung schlägt vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen vor oder zur Bewältigung von Cybersicherheitsvorfällen. Eine andere Anregung ist, Updates für Software zu vereinbaren (Patchmanagement) und selbstredend den Lieferanten die Empfehlungen des Bundesamt für Sicherheit in der der Informationstechnik (BSI) ans Herz zu legen.
Security by Design vereinbaren
Ebenfalls kann dies beinhalten, Zulieferer und Dienstleister zur Beachtung von grundsätzlichen Prinzipien wie Security by Design oder Security by Default anzuhalten.
Definieren eines Cybersicherheitsstandards
Egal, welche Maßnahmen man im Verhältnis zu seinen Lieferanten und Dienstleistern ergreifen will, um die Definition eines Cybersicherheitsstandards wird man nicht herumkommen. Welche Maßnahmen geeignet sind, hängt auch den (bekannten oder unbekannten) spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie der Gesamtqualität der Produkte ab.
Dabei müssen die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitsstrategie ihrer Dienstleister und Zulieferer, inklusive der Sicherheit ihrer Entwicklungsprozesse, berücksichtigt werden. Man darf nicht vergessen, dass die EU-Richtlinie NIS-2 die Durchführung koordinierter Risikobewertungen kritischer Lieferketten vorschreibt (NIS2 (EU 2022/2555 Artikel 22).
Üblicherweise werden die Vorgaben für die Lieferkette in einem Informationssicherheitsmanagementsystem (ISMS) fixiert bzw. im Lieferantenmanagement.
Validierung der Risikomanagementmaßnahmen, Audits
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
Schulungen
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik.
Verschlüsselung
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen.
MFA
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Meldepflichten
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Meldepflichten unterworfen. Bei einem „erheblichen Sicherheitsvorfall ” müssen sie zum Beispiel unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung melden, ob dieser Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen sein könnte. Es müssen dann weitere Meldungen folgen.
Desgleichen müssen sich bestimmten Einrichtungen und Unternehmen beim BSI registrieren.
Bestimmte besonders wichtige und wichtige Einrichtungen können von der Meldepflicht befreit werden.
Geschäftsleitungen
Die Geschäftsleiter besonders wichtiger und wichtiger Einrichtungen müssen Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen. Sie haften ja auch dafür. Zudem sollte Geschäftsleiter regelmäßig an Schulungen teilnehmen, um sich über die Bewertung von Risiken und Risikomanagementpraktiken zu informieren. Dies schon aus Eigennutz!
Immer dokumentieren
Wer schreibt, der bleibt gilt auch für die NIS-Richtlinie bzw. das NIS2-Umsetzungsgesetz. Alle von den Regulierungen betroffene Unternehmen, Verwaltungen, Eigenbetriebe und Dienstleister sind verpflichtet, die Umsetzung und Einhaltung der getroffenen Maßnahmen „angemessen“ zu dokumentieren.
Aufzuheben und sicher zu speichern sind beispielsweise: interne Richtlinien, Handlungsanweisungen, Checklisten, Mitarbeiterschulungen, Vereinbarungen, Merkblätter o.ä., aber auch Auditberichte, Zertifizierungen oder Prüfungen.
Ausnahmen von den Risikomanagementmaßnahmen und Meldepflichten
Bestimmte Einrichtungen müssen die in § 30 BSIG-E vorgeschriebenen Risikomanagementmaßnahmen nicht umsetzen. Sie müssen auch keine Meldungen bei einem „erheblichen Sicherheitsvorfall“ erstatten.
Ausnahmen für Unternehmen, die im Bereich der nationalen Sicherheit tätig sind
Nach § 37 Abs. 2 Nr. 1 BSIG-E gilt das für besonders wichtige und wichtige Einrichtungen, also Unternehmen und Eigenbetriebe, die unter das NIS2-Umsetzungsgesetz fallen, „die in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, (relevante Bereiche) tätig sind oder Dienste erbringen“.
Ausnahmen für Sicherheitsbehörden
Das gilt aber nicht nur für Unternehmen oder Eigenbetriebe, die unter das BSIG-E fallen, sondern auch für „Behörden, die Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen“. Also Staatsanwaltschaften, Polizeibehörden, Zoll etc.
BND ohnehin befreit
Bestimmte Einrichtungen der Bundesverwaltung – wie Geschäftsbereiche des Auswärtigen Amts und des Bundesministeriums der Verteidigung sowie der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz sind über eine eigene Regelung (§ 29 Abs. 3 BSIG-E) von den Risikomanagementmaßnahmen ausgenommen.
Befreit werden die besonders wichtigen und wichtigen Einrichtungen, die in Bereichen wie der nationalen Sicherheit tätig sind, durch das Bundesinnenministerium. Antragsberechtigt sind andere Bundesministerien.
Irgendwie anders für Cybersicherheit sorgen
Die Sicherheit in der Informationstechnik müssen die von den Risikomanagementmaßnahmen befreiten Einrichtungen anderweitig gewährleistet und beaufsichtigt werden.
