NIS-2 und Kritis: Pflichten für wichtige und besonders wichtige Unternehmen
Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt.
Geschätzt bundesweit ca. 30.000 Unternehmen sind davon ab spätestens 18.10.2024 betroffen und müssen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.
Inhalt
Aktueller Stand, 24.07.2024: Bundeskabinett hat beschlossen
Am 24.07.2024 beschloss das Bundeskabinett das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz"
Im nächsten Schritt wird der Gesetzentwurf dem Bundestag zur Beratung vorgelegt: Informationenzum aktuellen Stand bis zur Verkündung und Gültigkeit finden Sie hier.
Dort finden sie auch die Stellungnahme der Deutsche Industrie- und Handelskammer, an der die IHK für München und Oberbayern mitwirkte.
Eine Forderung der IHK-Organisation wurde erfüllt: Mit der "NIS-2-Betroffenheitsprüfung" bietet das BSI "das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird" an.
Was ist NIS-2?
Besonders relevant ist die IT-Sicherheit für Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
- nachhaltig wirkende Versorgungsengpässe,
- erhebliche Störungen der öffentlichen Sicherheit
- oder andere dramatische Folgen eintreten würden.
Durch das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) werden betroffene Einrichtungen in die Pflicht genommen und mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Stelle dafür definiert. "NIS" steht dabei für "Network and Information Security".
Bisher wurden ca. 2.000 Unternehmen als „KRITIS-Betreiber“ eingestuft, was sich aus der Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten ergab.
2023 beschloss die EU die NIS-2-Richtlinie, welche bis zum 17.10.2024 von Deutschland umgesetzt werden muss: EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)
Dadurch wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (inkl. der ca. 2.000 KRITIS-Unternehmen).
NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
Das NIS2UmsuCG ist ein Änderungsgesetz, welches diverse Gesetze ändert.
Mit Stand 24.07.2024 gibt es einen vom Bundeskabinett beschlossenen Regierungsenentwurf.
Zusammen mit der DIHK hat die IHK für München und Oberbayern zur NIS-2 Umsetzung 2023 und 2024 Stellung genommen.
Das Ziel des Gesetzes, ein hohes gemeinsames Sicherheitsniveau sicherzustellen, unterstützt die DIHK und die IHK für München und Oberbayern ausdrücklich. Das Ziel kann aber nur erreicht werden, wenn
- die Maßnahmen angemessen sind
- und den Unternehmen nicht zusätzliche bürokratische Pflichten auferlegt werden.
Es dürfen nicht unnötig Kapazitäten gebunden werden, die stattdessen gezielter für Cybersicherheitsmaßnahmen in den Unternehmen genutzt werden könnten.
Zudem sollte das Miteinander von Staat und Wirtschaft, insbesondere der Informationsrückfluss aus den zusätzlichen Meldepflichten einer größeren Anzahl von Unternehmen konkretisiert und gemeinsam an den Bedarfen der Unternehmen ausgerichtet werden.
zurück zur Übersicht
Welche Unternehmen sind vom NIS2UmsuCG betroffen?
Ob Unternehmen gemäß §28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.
Prüfen Sie, ob Ihr Unternehmen von der NIS-2 Umsetzung betroffen ist!
Dazu stellt das BSI eine "NIS-2 Betroffenheitsprüfung" bereit. Kriterien sind
- die Zugehörigkeit zu Branchensektoren (siehe Seite 72 mit Anlage 1 und 2 im Gesetzentwurf),
- die Anzahl der Mitarbeitenden,
- der Jahresumsatz
- und die Jahresbilanzsumme.
Hinzu kommen spezielle IT-Einrichtungen wie beispielsweise qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter. Gegebenenfalls kann das BSI auch eine Betroffenheit anordnen.
Was müssen betroffene Unternehmen tun?
Wird eine Betroffenheit festgestellt, bestehen diverse Pflichten, die insbesondere von der Einstufung ("wichtig" oder "besonders wichtig") abhängen. Daher ist es essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Zahlreiche Fragen zu NIS-2 beantwortet das BSI in einem FAQ-Katalog.
Folgende Pflichten sind für betroffenen Unternehmen ggf. relevant:
- Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung - Meldepflichten (§32)
- Registrierungspflicht (§33, §34)
- Unterrichtungspflichten (§35)
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)
Für ‚Betreiber kritischer Anlagen‘ gelten zusätzliche spezifische Anforderungen.
Zusätzlich zu den Gesetzesänderungen des NIS2UmsuCG soll es Rechtsverordnungen geben (siehe §56 "Ermächtigung zum Erlass von Rechtsverordnungen"), für die bisher (Stand 24.07.2024) keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:
- Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§56 Abs. 1).
- IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§56 Abs. 2).
- Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§56 Abs.3).
- Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§56 Abs. 4).
Seitens der EU gibt es hierzu den Entwurf einer "Durchführungsverordnung Cybersicherheitsrisikomanagement und Berichtspflichten für digitale Infrastrukturen, Anbieter und IKT-Servicemanager", da "einige Betreiber aus den digitalen Sektoren grenzüberschreitend tätig sind".
Welche Folgen drohen bei Nichtbeachtung?
- Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen (§65).
- Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung.
- Zudem existiert eine persönliche Haftung der Geschäftsleiter (§38, §61).
Aufsichts- und Durchsetzungsmaßnahmen
§61 regelt die "Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen", §62 regelt die "Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen":
- §61 (3): "Das Bundesamt kann auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfüllung einzelner oder aller der in Absatz 1 genannten Verpflichtungen anordnen."
- Unabhängig davon kann aber das Bundesamt Maßnahmen anordnen, insbesondere wenn Gefahr im Verzug ist (§61 (6)).
Fristen für die Registrierungspflicht § 33
§33 regelt die "Registrierungspflicht", für bestimmte Einrichtungsarten gelten "Besondere Registrierungspflichten" (§ 34):
- §33 (1): "Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der genannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit Angaben zu übermitteln."
- Achtung, §33 (3): "Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einvernehmen mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird."