NIS 2: Cybersicherheit ist Chefsache
In der NIS-2-Verordnung definiert die EU Mindestanforderungen an die Cybersicherheit von Unternehmen aus 18 Sektoren. In Deutschland werden schätzungsweise 30.000 Betriebe betroffen sein. Die Verordnung soll im Oktober 2024 in Kraft treten. Das ist bislang bekannt.
Was ist NIS-2?
NIS-2 ist eine europäische Richtlinie für Netzwerk- und Informationssicherheit, die die erste Version aus dem Jahr 2016 weiterentwickelt. Sie soll die Cyber-Resilienz in der EU stärken, bisherige Cybersicherheits-Regelungen der Länder durch EU-weite Standards harmonisieren und die Zusammenarbeit in Sachen IT-Sicherheit auf europäischer Ebene und innerhalb der Länder verbessern. NIS-2 wurde im Dezember 2022 beschlossen und muss bis zum 18. Oktober 2024 muss in nationales Recht umgesetzt werden.
Warum gibt es NIS-2?
Angesichts der zunehmenden Digitalisierung benötigt die EU-Wirtschaft nicht nur stabile physische- sondern auch resiliente digitale Infrastrukturen, um die Versorgungssicherheit der Gesellschaft zu garantieren. Laut Bitkom führten Cyberangriffe 2023 allein in Deutschland zu einem Schaden von 206 Milliarden Euro für die Wirtschaft und dem BSI zu Folge hat sich die IT-Sicherheitslage durch den russischen Angriffskrieg auf die Ukraine verschärft. Bisherige Regelungen zur Cybersicherheit reichen nicht mehr aus, um den zunehmenden, immer komplexeren Angriffen vorzubeugen und im Falle einer Cyberattacke handlungsfähig zu bleiben.
Welche zentralen Neuerungen bringt NIS-2?
Bislang konnten die EU-Mitgliedsstaaten selbst festlegen, welche Einrichtungen konkret unter die NIS-Richtlinie fallen. Mit NIS-2 gibt die EU Kriterien zur Bestimmung der Betroffenheit vor und ergänzt acht neue Sektoren. Zudem müssen nun auch Lieferketten berücksichtigt werden. NIS-2 legt strengere Meldepflichten fest und macht Cybersicherheit zur Chefsache: Management-Etagen sind für die NIS-2-Umsetzung verantwortlich und können bei Nicht-Compliance haftbar gemacht werden.
Welche Sektoren sind betroffen?
Besonders wichtige Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwässer, Digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum.
Wichtige Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von chemischen Stoffen, Lebensmittelproduktion,- verarbeitung und –vertrieb, Produktion und Herstellung von Medizinprodukten, Maschinen, Fahrzeugen und Elektronik, Digitale Dienstleister, Forschung.
Welche Unternehmen sind betroffen?
Unternehmen, die zu einem der 18 Sektoren gehören und mindestens 50 Mitarbeitende oder einem Jahresumsatz von mindestens zehn Millionen Euro sowie eine Jahresbilanzsumme von mindestens 10 Millionen Euro haben, fallen wahrscheinlich unter die NIS-2-Richtline und werden vermutlich als wichtige Unternehmen eingestuft.
Unternehmen, die zu einem der besonders wichtigen Sektoren gehören und mindestens 250 Mitarbeiter oder einen Jahresumsatz von 50 Millionen Euro sowie eine Jahresbilanzsumme von mindestens 43 Millionen Euro haben, gelten wahrscheinlich als besonders wichtige Einrichtungen.
KRITIS-Betreiber werden auch weiterhin unter die NIS-Richtlinie fallen und je nach Tätigkeitsbereich können auch kleinere Unternehmen von NIS-2 betroffen sein. Alle Unternehmen müssen ihre Betroffenheit selbstständig prüfen. Das BSI stellt Unternehmen ein digitales Tool zur Verfügung, das bei der Betroffenheitsprüfung helfen soll.
Welche Sicherheitsmaßnahmen sind verpflichtend?
Die Sicherheitsmaßnahmen sollen auf Gefahren unterschiedlicher Art ausgerichtet sein und dem Stand der Technik entsprechen. Sie müssen mindestens folgende Aspekte umfassen:
- Risikoanalyse
- Verfahren zur Bewältigung von Sicherheitsvorfällen
- Verfahren zur Aufrechterhaltung des Betriebs im Falle von Sicherheitsvorfällen.
- Absicherung der Lieferketten
- Sicherheitsmaßnahmen bei Anschaffung, Entwicklung und Wartung von IT-Systemen, -Geräten, und -Prozessen.
- Verfahren zur Bewertung der Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur IT-Sicherheit
- Einsatz von Kryptografie und Verschlüsselung
- Zugriffskontrollen
- Multi-Faktor-Authentifizierung
Welche sonstigen Pflichten gibt es?
Meldepflicht: Spätestens 24 Stunden nachdem ein erheblicher Sicherheitsvorfall aufgefallen ist, muss die betroffene Einrichtung eine Erstmeldung beim BSI einreichen. Nach spätestens 72 Stunden muss die Meldung mit einer konkreteren Bewertung des Vorfalls aktualisiert werden. Nach einem Monat ist eine ausführliche Abschlussmeldung vorzulegen.
Unterrichtungspflicht: Im Falle eines erheblichen Sicherheitsvorfalls kann das Bundesamt das betroffene Unternehmen dazu verpflichten, auch die Dienstleitungsempfänger über den Vorfall zu unterrichten.
Registrierungspflicht: Spätestens drei Monate nachdem ein Unternehmen unter die NIS-2-Richtlinie fällt, muss es sich beim BSI als solches registrieren. Anzugeben sind unter anderem der Name des Unternehmens, Anschrift und Kontaktdaten, der Sektor und die EU-Mitgliedsstaaten, in denen das Unternehmen tätig ist.
Nachweispflicht: Das Bundesamt kann von besonders wichtigen Einrichtungen einen Nachweis über die Erfüllung der Anforderungen verlangen – zum Beispiel durch die Vorlage von Sicherheitsaudits, Prüfungen oder Zertifizierungen. Bei wichtigen Unternehmen kann das BSI nur dann ein solcher Nachweis einfordern, wenn der Verdacht eines Verstoßes vorliegt.
Was passiert bei Nicht-Compliance?
Je nach Einrichtung und Art des Verstoßes können Ordnungswidrigkeiten unter anderem mit Geldbußen von bis zu sieben oder zehn Millionen Euro geahndet werden.
Was ist der Status Quo in Deutschland?
Das Bundeskabinett hat den Referentenentwurf über das nationale NIS-2-Umsetzungesgesetzes inzwischen beschlossen. Der jetzt vorliegende Regierungsentwurf muss als nächstes Bundesrat und Bundestag passieren, ehe er als Gesetz verabschiedet werden kann. Noch gelten also die Regelungen des IT-Sicherheitsgesetzes 2.0, das einen einheitlichen Rechtsrahmen zur Cybersicherheit bei KRITIS-Betreibern festlegt. Manche in der NIS-2-Richtlinie enthaltenen Regelungen werden dort bereits umgesetzt
Das BMI hält den aktuellen Status des NIS-2-Umsetzungsgesetzes auf seiner Website fest und ermöglicht dort auch eine Einsicht in die derzeitigen Entwürfe und Stellungnahmen.
Wo gibt es weitere Informationen?
Mehr Informationen zur NIS-2-Richtlinie gibt es auf der Website der Europäischen Komission. Über die Umsetzung der Richtlinie in deutsches Recht informiert das BSI. Betroffene Unternehmen finden dort auch eine Orientierungshilfe zur Umsetzung der Maßnahmen sowie ein allgemeines FAQ.
Stand 31.07.2024 - Kein Anspruch auf Vollständigkeit.