NIS2 - Neue Anforderungen und Herausforderungen:
Die NIS2-Richtlinie ist ein EU-weites Gesetz, um Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu erreichen. Unternehmen, die unter die NIS2-Richtlinie fallen, müssen weitreichende Anforderungen zur Cybersicherheit umsetzen.
NIS2 und NIS2UmsuCG
Die NIS2-Richtlinie trat am 16.1.2023 in Kraft und modernisiert den bestehenden Rechtsrahmen mit dem Ziel, die Gesellschaft auch bei zunehmender Digitalisierung vor Risiken zu schützen. Dazu werden neue Vorgaben zur Umsetzung von Sicherheitsmaßnahmen für Unternehmen und Institutionen erlassen.
Die EU-Mitgliedstaaten müssen die Vorgaben der NIS2-Richtlinie bis Oktober 2024 in nationales Recht überführen. Zu diesem Zweck wird noch in diesem Jahr das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) inkraft treten.
Bisher wirkte im Kontext der Informationssicherheit in Deutschland die Gesetzgebung insbesondere auf größere Unternehmen und Institutionen. Mit dem kommenden NIS2UmsuCG wird nunmehr auch die breite Masse der Unternehmen und Organisationen in Europa und somit auch in Deutschland betroffen sein.
Bei NIS2UmsuCG handelt es sich um ein so genanntes Änderungsgesetz, dass bestehende Gesetze anpassen wird. Besonders interessant sind dabei die Änderungen des BSI-Gesetzes (BSIG) sowie die Schaffung eines neuen KRITIS-Dachgesetzes.
NIS2UmsuCG wird die deutschen Regulierungen im Kontext der Informationssicherheit, die bisher vornehmlich sogenannte "Betreiber kritischer Infrastrukturen" kurz KRITIS-Betreiber betraf, massiv verändern. Zukünftig werden auch "besonders wichtige Einrichtungen" und "wichtige Einrichtungen" definiert, zu denen eine Vielzahl von weiteren Unternehmen und Organisationen gehören werden.
Wer wird betroffen sein?
Das NIS2UmsuCG sieht eine Unterscheidung in besonders wichtige Einrichtungen und wichtige Einrichtungen vor.
Besonders wichtige Einrichtungen
Bei besonders wichtigen Einrichtungen handelt es sich um
-
Betreiber sogenannter kritischer Anlagen, mit denen kritische Dienstleistungen zur Versorgung der Allgemeinheit in den Sektoren
- Energie,
- Transport und Verkehr,
- Finanz- und Versicherungswesen,
- Gesundheitswesen,
- Wasser,
- Ernährung,
- Informationstechnik und Telekommunikation,
- Weltraum oder
- Siedlungsabfallentsorgung
erbracht werden. Weitere Details dazu werden durch eine Rechtsverordnung festgelegt.
-
qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter jeweils unabhängig von der Unternehmensgröße
-
Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen
-
natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die entgeltlich Waren oder Dienstleistungen anbieten und folgenden Einrichtungsarten zuzuordnen sind
- Energie
- Stromversorgung
- Stromlieferanten
- Betreiber von Elektrizitätsverteilernetzen
- Betreiber von Übertragungsnetzen
- Betreiber von Erzeugungsanlagen
- Nominierte Strommarktbetreiber
- Aggregatoren
- Betreiber von Energiespeicheranlagen
- Anbieter von Ausgleichsleistungen
- Ladepunktbetreiber
- Fernwärme und -kälteversorgung
- Betreiber von Fernwärme- bzw. Fernkälteversorgung
- Kraftstoff- und Heizölversorgung
- Betreiber von Erdöl-Fernleitungen
- Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen
- Zentrale Bevorratungsstellen
- Gasversorgung
- Betreiber von Gasverteilernetzen
- Betreiber von Fernleitungsnetzen
- Betreiber von Gasspeicheranlagen
- Betreiber von LNG-Anlagen
- Gaslieferanten
- Betreiber von Anlagen zur Gewinnung von Erdgas
- Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas
- Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung
- Stromversorgung
- Transport und Verkehr
- Luftverkehr
- gewerbliche Luftfahrtunternehmen
- Flughafenleitungsorgane
- Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste bereitstellen
- Schienenverkehr
- Betreiber von Eisenbahninfrastruktur einschließlich zentraler Einrichtungen, die den Zugbetrieb vorausschauend und bei unerwartet eintretenden Ereignissen disponieren
- Eisenbahnverkehrsunternehmen
- Schifffahrt
- Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt
- Leitungsorgane von Häfen sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
- Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße
- Straßenverkehr
- Betreiber einer Anlage oder eines Systems zur Verkehrsbeeinflussung im Straßenverkehr
- Betreiber eines intelligenten Verkehrssystems
- Luftverkehr
- Finanzwesen
- Bankwesen
- Kreditinstitute bzw. Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rückzahlbare Gelder ihrer Kunden entgegenzunehmen und Kredite für eigene Rechnung zu gewähren
- Finanzmarktinfrastrukturen
- Handelsplätze
- Zentrale Gegenparteien
- Bankwesen
- Gesundheit
- Erbringer von Gesundheitsdienstleistungen
- EU-Referenzlaboratorien
- Unternehmen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben
- Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch eingestuft werden
- Wasser
- Betreiber von Trinkwasserversorgungsanlagen
- Unternehmen, die Abwasser sammeln, entsorgen oder behandeln
- Digitale Infrastruktur
- Betreiber von Internet Exchange Points
- DNS-Dienstanbieter
- Top Level Domain Name Registry
- Anbieter von Cloud-Computing-Diensten
- Anbieter von Rechenzentrumsdiensten
- Betreiber von Content Delivery Networks
- Vertrauensdienstanbieter
- Betreiber öffentlicher Telekommunikationsnetze
- Anbieter öffentlich zugänglicher Telekommunikationsdienste
- Managed Services Provider
- Managed Security Services Provider
- Weltraum
- Betreiber von Bodeninfrastrukturen, die Erbringung von weltraumgestützten Diensten unterstützen
- Energie
und die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
Wichtige Einrichtungen
Wichtige Einrichtungen sind
-
Vertrauensdiensteanbieter
-
Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen
-
natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die entgeltlich Waren oder Dienstleistungen anbieten und folgenden Einrichtungsarten zuzuordnen sind
- Energie
- Stromversorgung
- Stromlieferanten
- Betreiber von Elektrizitätsverteilernetzen
- Betreiber von Übertragungsnetzen
- Betreiber von Erzeugungsanlagen
- Nominierte Strommarktbetreiber
- Aggregatoren
- Betreiber von Energiespeicheranlagen
- Anbieter von Ausgleichsleistungen
- Ladepunktbetreiber
- Fernwärme und -kälteversorgung
- Betreiber von Fernwärme- bzw. Fernkälteversorgung
- Kraftstoff- und Heizölversorgung
- Betreiber von Erdöl-Fernleitungen
- Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen
- Zentrale Bevorratungsstellen
- Gasversorgung
- Betreiber von Gasverteilernetzen
- Betreiber von Fernleitungsnetzen
- Betreiber von Gasspeicheranlagen
- Betreiber von LNG-Anlagen
- Gaslieferanten
- Betreiber von Anlagen zur Gewinnung von Erdgas
- Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas
- Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung
- Stromversorgung
- Transport und Verkehr
- Luftverkehr
- gewerbliche Luftfahrtunternehmen
- Flughafenleitungsorgane
- Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste bereitstellen
- Schienenverkehr
- Betreiber von Eisenbahninfrastruktur einschließlich zentraler Einrichtungen, die den Zugbetrieb vorausschauend und bei unerwartet eintretenden Ereignissen disponieren
- Eisenbahnverkehrsunternehmen
- Schifffahrt
- Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt
- Leitungsorgane von Häfen sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
- Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße
- Straßenverkehr
- Betreiber einer Anlage oder eines Systems zur Verkehrsbeeinflussung im Straßenverkehr
- Betreiber eines intelligenten Verkehrssystems
- Post- und Kurierdienste
- Anbieter von Postdienstleistungen
- Luftverkehr
- Abfallbewirtschaftung
- Unternehmen der Abfallbewirtschaftung, ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Unternehmen, die in Kategorie 20 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) fallen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind
- Verarbeitendes Gewerbe/Herstellung von Waren
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
- Unternehmen, die eine der Wirtschaftstätigkeiten nach Abschnitt C Abteilung 26 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben
- Herstellung von elektrischen Ausrüstungen
- Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne des Abschnitts C Abteilung 27 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben
- Maschinenbau
- Unternehmen, die eine der Wirtschaftstätigkeiten nach Abschnitt C Abteilung 28 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben
- Herstellung von Kraftwagen und Kraftwagenteilen
- Unternehmen, die eine der Wirtschaftstätigkeiten nach Abschnitt C Abteilung 29 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben
- Sonstiger Fahrzeugbau
- Unternehmen, die eine der Wirtschaftstätigkeiten nach Abschnitt C Abteilung 30 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben
- Finanzwesen
- Bankwesen
- Kreditinstitute bzw. Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rückzahlbare Gelder ihrer Kunden entgegenzunehmen und Kredite für eigene Rechnung zu gewähren
- Finanzmarktinfrastrukturen
- Handelsplätze
- Zentrale Gegenparteien
- Bankwesen
- Gesundheit
- Erbringer von Gesundheitsdienstleistungen
- EU-Referenzlaboratorien
- Unternehmen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben
- Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch eingestuft werden
- Wasser
- Betreiber von Trinkwasserversorgungsanlagen
- Unternehmen, die Abwasser sammeln, entsorgen oder behandeln
- Digitale Infrastruktur
- Betreiber von Internet Exchange Points
- DNS-Dienstanbieter
- Top Level Domain Name Registry
- Anbieter von Cloud-Computing-Diensten
- Anbieter von Rechenzentrumsdiensten
- Betreiber von Content Delivery Networks
- Vertrauensdienstanbieter
- Betreiber öffentlicher Telekommunikationsnetze
- Anbieter öffentlich zugänglicher Telekommunikationsdienste
- Managed Services Provider
- Managed Security Services Provider
- Anbieter digitaler Dienste
- Anbieter von Online-Marktplätzen
- Anbieter von Online-Suchmaschinen
- Anbieter von Plattformen für Dienste sozialer Netzwerke
- Weltraum
- Betreiber von Bodeninfrastrukturen, die Erbringung von weltraumgestützten Diensten unterstützen
- Forschung
- Forschungseinrichtungen
- Energie
und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
Dabei sind die Daten von Partner- oder verbundenen Unternehmen nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, unabhängig von seinen Partner- oder verbundenen Unternehmen ist.
Was ist zu tun?
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten.
Konkret bedeutet dies die Umsetzung von weitreichenden Maßnahmen zur Informationssicherheit und ein zugehöriges Risikomanagement.
Dabei sollen die Maßnahmen den Stand der Technik einhalten. Einschlägige europäischen und internationalen Normen, wie z.B. der ISO/IEC 27001 sollen berücksichtigt werden.
Die Maßnahmen müssen dabei mindestens umfassen:
- Erstellung von Konzepten in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Dabei ist es wichtig, dass im Sinne der einschlägigen Normen die gewählten Vorgehensweisen und Prozesse dokumentiert werden müssen. Ferner muss die Wirksamkeit der Maßnahmen überwacht werden. Falls Maßnahmen nicht wirksam sind, müssen sie angepasst werden. Das Sicherheitsniveau muss kontinuierlich aufrechterhalten und bei Bedarf angepasst werden.
Das Bundesamt für Sicherheit in der Informationstechnik kann in einem ersten Schritt gegenüber einzelnen besonders wichtige Einrichtungen anordnen, Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Umsetzung der Maßnahmen durchführen zu lassen. Nach drei Jahren kann das Bundesamt unter Berücksichtigung der Risikoexposition von weiteren (und ggf. von allen) Betreibern besonders wichtiger Einrichtungen die Vorlage dieser Nachweise verlangen. Damit werden die Betreiber besonders wichtiger Einrichtungen in Bezug auf die Nachweispflichten den Betreibern von kritischen Infrastrukturen gleichgestellt, für die diese Anforderung bereits heute gilt.
Ferner kann das Bundesamt für Sicherheit in der Informationstechnik bei wichtigen und besonders wichtigen Einrichtungen die Einhaltung der Anforderungen überprüfen bzw. überprüfen lassen, falls Zweifel daran bestehen, dass der Betreiber die erforderlichen Maßnahmen umgesetzt hat. Die Kosten dafür trägt der Betreiber.
Registrier-, Melde- und Nachweis- und Unterrichtspflichten
Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut in eine dieser beiden Kategorien fallen, beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
Dabei ist zu beachten, dass es keine explizite Aufforderung einer öffentlichen Stelle zur Registrierung geben wird!
Ferner müssen sie zukünftig Sicherheitsvorfälle an das BSI melden:
- eine frühe Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall
- ggf. eine Bestätigung und erste Bewertung innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall einschließlich einer Beschreibung der Auswirkungen
Das Bundesamt für Sicherheit in der Informationstechnik kann Zwischenmeldung über relevante Statusaktualisierungen verlangen.
Darüber hinaus muss spätestens einen Monat nach der Übermittlung der Meldung des Sicherheitsvorfalls eine Abschlussmeldung oder eine ausführliche Fortschrittsmeldung übermittelt werden. Diese muss Folgendes enthalten:
- eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen
- Angaben zur Art der Bedrohung beziehungsweise der zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat
- Angaben zu den getroffenen und laufenden Abhilfemaßnahmen
- gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls
Das Bundesamt für Sicherheit in der Informationstechnik kann im Fall eines erheblichen Sicherheitsvorfalls anordnen, dass die Nutzer vom Betreiber der betroffenen Dienste unverzüglich über den Vorfall informiert werden müssen.
Pflichten und Haftung für Vorstände und Geschäftsführer
Im NIS2UmsuCG werden explizit Pflichten für Geschäftsleitungen (Vorstände, Geschäftsführer, etc.) festgelegt und in diesem Kontext die Haftung der Geschäftsleitungen erweitert:
- Geschäftsleitungen müssen Maßnahmen, die aus Risikoanalysen zur Cybersicherheit resultieren, prüfen, ggf. billigen und deren Umsetzung überwachen (analog zur Norm ISO/IEC 27001 und anderer Standards zur Informationssicherheit).
- Geschäftsleitungen haften gegenüber ihrer Einrichtung, falls sie ihre Pflichten verletzen, für einen schuldhaft verursachten Schaden gemäß den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts.
- Auch die regelmäßige Teilnahme der Geschäftsleitungen und der Mitarbeiter an Schulungs- bzw. Fortbildungsmaßnahmen im Kontext der Informationssicherheit wird in dem Gesetz verpflichtend geregelt.
Ferner kann das Bundesamt für Sicherheit in der Informationstechnik in Abstimmung mit ggf. weiteren zuständigen Aufsichtsbehörden, bei besonders wichtigen Einrichtungen, die Anordnungen des Bundesamtes nicht nachkommen, Geschäftsleitungen die Ausübung der Tätigkeit, zu der sie berufen sind, so lange untersagen, bis die Einrichtungen den Anordnungen des Bundesamtes nachkommen.
Zwangsgelder und Bußgelder
Bei Verstößen gegen die neuen Vorschriften werden hohe Bußgelder ausgelobt:
Betreiber wichtiger Einrichtungen können mit Bußgeldern in Höhe von 7 Millionen € oder mit einem Höchstbetrag von mindestens 1,4 % des weltweiten Jahresumsatzes und Betreiber besonders wichtiger Einrichtungen sogar mit bis zu 10 Millionen € oder mit einem Höchstbetrag von mindestens 2 % des weltweiten Jahresumsatzes belangt werden.
Einladung zu einem NIS2-Espresso-Gespräch
Ihr Unternehmen fällt möglicherweise unter die NIS2-Richtlinie und Sie möchten sich gerne zu dem Thema unverbindlich mit einem unserer Experten austauschen? Dann laden wir Sie zu einem Espresso-Gespräch telefonisch oder per Videokonferenz ein.