NIS-2, Kritis: Pflichten für wichtige und besonders wichtige Unternehmen

Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt. Geschätzt bundesweit ca. 30.000 Unternehmen sind davon ab spätestens 18.10.2024 betroffen und müssen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.

Was ist NIS-2 und Kritis?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden" als kritische Infrastruktur (KRITIS-Unternehmen).

Was müssen KRITIS-Betreiber tun?

Unternehmen können anhand ihrer Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten feststellen, ob sie als „KRITIS-Betreiber“ gelten und somit diverse Pflichten erfüllen müssen:
  • eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
  • IT-Störungen oder erhebliche Beeinträchtigungen zu melden,
  • IT-Sicherheit auf dem "Stand der Technik" zu gewährleisten,
  • und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.
Mit der von der EU im Jahr 2023 beschlossenen NIS-2-Richtlinie wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (davon ca. 2.000 KRITIS-Unternehmen).
"NIS" steht hierbei für "Network and Information Security".
Deutschland muss die NIS-2 Richtlinie bis zum 17.10.2024 umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“.

NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das NIS2UmsuCG ist ein Änderungsgesetz, welches diverse Gesetze ändert.
Mit Stand 19.03.2024 gibt es noch keinen finalen Entwurf. Es liegen mehrere Referentenentwürfe, sowie ein Diskussionspapier vor.

Welche Unternehmen sind vom NIS2UmsuCG betroffen?

Unternehmen werden nicht automatisch informiert, ob sie betroffen sind; sie sind verpflichtet, dies eigenständig zu prüfen.
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.
Daher: Prüfen Sie, ob Ihr Unternehmen von der NIS-2 Umsetzung betroffen ist.
Ein Unternehmen ist betroffen, wenn es
  • Schwellwerte für die Anzahl Mitarbeiter und Jahresumsatz / Jahresbilanzsumme überschreitet und
  • in einem bestimmten Sektor tätig ist.
Schwellwerte
  • "Besonders wichtig", relevant für Unternehmen in den "Sektoren mit hoher Kritikalität":
    • ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz ODER 43 Millionen Euro Jahresbilanzsumme
    • Betreiber kritischer Anlagen ("KRITIS-Betreiber")
  • "Wichtig", relevant für Unternehmen in "Sonstigen kritischen Sektoren":
    • ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz ODER 10 Millionen Euro Jahresbilanzsumme
Sektoren
In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.
Das NIS2UmsuCG wird diese Systemtik sehr wahrscheinlich in ganz ähnlicher und konkreterer Form übernehmen, allerdings entwickelt sich diese Umsetzung noch.
NIS2UmsuCG hierzu:
  • "wichtige Einrichtungen":
    • Große und Mittlere Unternehmen aus Post / Kurier, Siedlungsabfallentsorgung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
    • Vertrauensdienste
  • "besonders wichtige Einrichtungen":
    • Großunternehmen aus Energie, Transport / Verkehr, Finanzen / Versicherungen, Gesundheit, Wasser / Abwasser, IT und TK, Weltraum
    • Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
    • Anbieter öffentlicher TK-Netze und TK-Dienste
    • Betreiber kritischer Anlagen (KRITIS-Betreiber)

Was müssen betroffene Unternehmen tun?

Das NIS2UmsuCG listet erforderliche Maßnahmen unter den Abschnitten ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf.
Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird.
Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
  • Risikomanagementmaßnahmen
  • Business Continuity Management
  • Meldepflichten
  • Registrierungspflicht
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
  • Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
Für ‚Betreiber kritischer Anlagen‘ gelten zusätzliche spezifische Anforderungen.
Zusätzlich zu den Gesetzesänderungen des NIS2UmsuCG soll es Rechtsverordnungen geben (siehe §57 "Ermächtigung zum Erlass von Rechtsverordnungen"), für die bisher (Stand 19.03.2024) keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:
  • Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§57 Abs. 4).
  • Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§57 Abs. 1).
  • IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§57 Abs. 2).
  • Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§57).

Welche Folgen drohen bei Nichtbeachtung?

Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen.
Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung.
Zudem existiert eine persönliche Haftung der Geschäftsleiter.