Vierter Referentenentwurf zum NIS 2-Umsetzungsgesetz: Cybersicherheit stärken
Das Bundesministerium für Inneres und Heimat hat Ende Juni den vierten Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vorgelegt und zur Konsultation gestellt. Hintergrund ist die NIS-2-Richtlinie (Richtlinie (EU 2022/2555), die bis 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Von der NIS-2-Regelungen sollen rund 29.500 Unternehmen aus insgesamt 18 Sektoren direkt betroffen sein.
Durch die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) werden die Regelungen zur Cybersicherheit von kritischen Infrastrukturen weiterentwickelt.
Zentrale Regelungen für die Wirtschaft
- organisatorische und technische Anforderungen
- Registrierungs-, Melde-, Berichts- und Nachweispflichten
- Pflicht der Rückmeldung und dem „Angebot“ der Unterstützung durch das BSI
- Billigungs-, Überwachungs- und Schulungspflichten der Leitung
- Sanktions- und Bußgeldvorschriften
Das NIS2UmsuCG ist ein Artikelgesetz, das vor allem darauf abzielt, kritische Anlagen ebenso wie wichtige Unternehmen besser vor Cyberangriffen zu schützen. Der Entwurf enthält neben einer Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) auch eine Anpassung diverser Fachgesetze.
Wer ist betroffen?
Von den Regelungen sollen fast 30.000 Unternehmen aus insgesamt 18 Sektoren betroffen sein:
Sektoren mit hoher Kritikalität
- Energieversorgung
- Verkehr
- Bankwesen
- Finanzmarktinfrastukturen
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasserbeseitigung
- Informationstechnik und Telekommunikation
- Verwaltung von IKT-Diensten (B2B)
- öffentliche Verwaltung
- Weltraum
sonstige kritische Sektoren
- Post- und Kurierdienste
- Siedlungsabfallentsorgung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Ernährung
- Verarbeitendes Gewerbe (Herstellung von Medizinprodukten und In-vitro-Diagnostik, von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, von elektrischen Ausrüstungen, von Kraftwagen und Kraftwagenteilen, Maschinenbau, Sonstiger Fahrzeugbau)
- Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Plattformen für Dienste sozialer Netzwerke)
- Forschungseinrichtungen
Sie werden unterschieden in „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.
Als „besonders wichtige Einrichtung“ gelten
- Betreiber kritischer Anlagen (nach § 28 Absatz 7),
- qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
- Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentliche Telekommunikationsnetze, die
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen;
- natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 250 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
Als „wichtige Einrichtungen“ gelten
1. Vertrauensdiensteanbieter
2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) weniger als 50 Beschäftigte haben und
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.
3. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
Sind alle anderen Unternehmen nicht betroffen?
Die NIS 2-Richtlinie gilt für alle übrigen Unternehmen nicht unmittelbar. Von NIS2 betroffene Einrichtungen müssen allerdings die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten. Sie müssen die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen.
Damit müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen treffen und einhalten. Das Bundesamt für Sicherheit in der Informationstechnik informiert in Broschüren und Standards über sinnvolle Maßnahmen des Basisschutzes, um für eine höhere Cybersicherheit im Unternehmen zu sorgen.
Betroffenheitsprüfung
In der NIS-2-Betroffenheitsprüfung des BSI werden konkrete, an der Richtlinie orientierte Fragen gestellt, um das eigene Unternehmen einzuordnen. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf eingehender erläutert. Nachdem der Fragenkatalog durchlaufen ist, erhalten Anfragende ein auf den eigenen Angaben basierendes Ergebnis. Dieses gibt eine automatisierte Ersteinschätzung, ob das eigene Unternehmen von der NIS-2-Richtlinie betroffen ist und erläutert, was dieser Status bedeutet und welche Pflichten durch den EU-Gesetzgeber vorgezeichnet sind.
Das Ergebnis ist rechtlich nicht verbindlich. Die NIS-2-Betroffenheitsprüfung ersetzt die Prüfung zur Selbst-Identifizierung nicht und hat für eventuelle Verfahren keine Indizwirkung.
Die Betroffenheitsprüfung basiert auf dem Entscheidungsbaum des BSI:
Technische und organisatorische Anforderungen
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen künftig einen umfassenden Katalog von Mindestanforderungen erfüllen und unter anderem dazu in der Lage sein, Risiken zu analysieren, Sicherheitsvorfälle zu bewältigen, ihren Betrieb etwa durch Backup-Management aufrechtzuerhalten oder wiederherzustellen, die Lieferkette zu sichern und Schwachstellen offenzulegen.
Sie müssen gemäß Artikel 21 “geeignete” und “verhältnismäßige” technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der genutzten Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, einschlägiger Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Die Maßnahmen umfassen mindestens
- Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme;
- Bewältigung von Sicherheitsvorfällen;
- Aufrechterhaltung des Betriebs und Krisenmanagement;
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen;
- grundlegende Verfahren der Cyberhygiene und Schulungen zur Cybersicherheit;
- Einsatz von Kryptografie und ggf. Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle;
- Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation
Obwohl nicht direkter Adressat dürften sich die Verpflichtungen auch auf kleinere Zulieferer auswirken, wenn möglicherweise Cybersicherheitsvorgaben vertraglich weitergeben werden.
Meldepflichten im Notfall (§ 32)
Zudem soll ein dreistufiges Meldesystem eingeführt werden. Danach müsste unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis von einem "erheblichen Sicherheitsvorfall" eine "frühe Erstmeldung" an ein Online-Portal des BSI und des BBK erfolgen. Spätestens nach 72 Stunden müsste die Meldung bestätigt oder aktualisiert und eine erste Bewertung inklusive des "Schweregrads und seiner Auswirkungen" abgegeben werden. Spätestens einen Monat nach der Meldung des Sicherheitsvorfalls soll eine "Abschlussmeldung" mit einer ausführlichen Beschreibung des Vorfalls und der ihm zugrundeliegenden Ursache erfolgen. Falls der Sicherheitsvorfall noch andauert, legt die betroffene Einrichtung einen Monat nach der Meldung eine “Fortschrittsmeldung” und innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls eine Abschlussmeldung vor.
Registrierungspflicht (§§ 33, 34)
„Besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und Domain-Name-Registry-Diensteanbieter sind verpflichtet, sich spätestens nach drei Monaten bei der gemeinsamen Registrierungsstelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu registrieren.
Bußgeldrahmen
Der Gesetzesentwurf sieht in Abhängigkeit von der Art der Ordnungswidrigkeit, der Bedeutung des Unternehmens und des Jahresumsatzes maximale Bußgelder zwischen 100.000 Euro und 10 Millionen Euro vor. Abweichend davon können Einrichtungen mit einem Jahresumsatz von mehr als 500 Millionen Euro mit einem Bußgeld von bis zu 2 Prozent des weltweit getätigten Jahresumsatzes des Unternehmens belegt werden.
Wesentliche Änderungen des Referentenentwurfs
- § 38 BSIG-E (Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen)
Das BMI hat die sogenannte Managerhaftung entschärft (Art. 1 § 38). Die bisherige Formulierung zur Unabdingbarkeit von Schadenersatzansprüchen gegen Geschäftsleitungen wurde auch auf das Bestreben der DIHK gestrichen. Im letzten Referentenentwurf sollte explizit ausgeschlossen werden, dass Einrichtungen auf Ersatzansprüche verzichten können, wenn Geschäftsleitungen ihre Pflichten nach dem NIS2UmsuCG verletzt haben.
Stattdessen soll die Haftung nun entsprechend dem geltenden Gesellschaftsrecht geregelt werden. Gibt es für die betreffende Einrichtung keine entsprechenden Bestimmungen, so ergibt sich die Haftung zukünftig aus dem NIS2UmsuCG (Auffangregel). Während die früheren Entwürfe von Geschäftsleitungen unter anderem die „Billigung“ von Risikomanagementmaßnahmen forderten, ist nun explizit von der „Umsetzung“ die Rede. Daraus könnte sich mehr Verantwortung ableiten lassen als mit der früheren Formulierung. - § 28 BSIG-E (Abgrenzung der Anwendungsbereiche BSIG, TKG und EnWG)
- § 28 Absatz 9 BSIG-E (Öffnungsklausel für Dienstleister der Länder)
Dabei geht es um Ausnahmen für Landesunternehmen. Diese wurden nun konkretisiert. Nach dem neuen Entwurf können die Länder nun per Öffnungsklausel jede Art von öffentlich-rechtlichen Unternehmen vom NIS2UmsuCG ausnehmen, wenn sie ausschließlich im Eigentum von Ländern oder Kommunen stehen und zu dem Zweck errichtet wurden, Leistungen für Verwaltungen zu erbringen. Die Länder müssen dann selbst angemessene landesrechtliche Cybersicherheitsauflagen schaffen. (Art. 1 § 28 Abs. 9). - Teil 4 BSIG-E (Datenbanken der Domain- Name-Registrierungsdaten)
Die „berechtigten Zugangsnachfrager“ sind nunmehr in § 2 Nr. 2 BSIG-E legaldefiniert. - Art. 1 § 36 Abs. 2 (Neue Befugnis für das BSI im Umgang mit Cybersicherheitsinformationen)
Bislang durfte es lediglich die betroffene Einrichtung dazu verpflichten, die Öffentlichkeit zu informieren. Immer vorausgesetzt, dass diese Information im öffentlichen Interesse liegt, vor allem um weitere Vorfälle zu verhindern. Mit dem neuen Entwurf darf das BSI auch selbst die Öffentlichkeit über den Vorfall informieren.
Wichtige Schritte zur Umsetzung
- Betroffenheit klären
- Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
- Verantwortlichkeiten festlegen
- Verantwortung der Leitungsorgane: Maßnahmen entscheiden, Umsetzung überwachen, persönliche Haftung
- Operativ für die Umsetzung der Anforderungen hauptverantwortliche Person im Unternehmen benennen
- Externe Partner einbeziehen, die bei der Umsetzung unterstützen
- Risikoanalyse und Gap-Analyse im Vergleich zu den Anforderungen der NIS 2-Richtlinie
- Notwendige Maßnahmen ermitteln
- Maßnahmen umsetzen
- Business-Continuity gewährleisten
- kontinuierliche Überprüfung und Verbesserung
- NIS-2: Was tun? (BSI)
- FAQ (BSI)
Einschätzung der DIHK
Die DIHK hatte im Oktober letzten Jahres eine erste Abschätzung zum Diskussionspapier des BMI abgegeben. Positiv hervorzuheben sei demnach, dass der Anwendungsbereich direkt im Gesetz präzisiert werde und die Begrifflichkeiten aus der NIS2-Richtlinie übernommen werden.
Angesichts des Fachkräftemangels auch bei Dienstleistern stehe zu befürchten, dass viele, aber gerade kleinere Unternehmen die Anforderungen nur schwer stemmen könnten. Die Unternehmen sollten bei ihren Sicherheitsvorkehrungen aktiv vom BSI und angegliederten Einrichtungen wie z. B. der Allianz für Cybersicherheit oder der Transferstelle für Cybersicherheit im Mittelstand unterstützt werden. Das BSI sollte praxisnahe Umsetzungshilfen, Vorlagen, Muster und Leitfäden sowie eine Anlaufstelle zur Verfügung stellen.
Anpassungsbedarf hatte die DIHK unter anderem in den folgenden Bereichen gesehen:
- Registrierungs- und Meldepflichten sollten durchgängig digital abgewickelt werden, und ohne Doppelerfassungen erfolgen.
- Lageinformationen und unterstützende Handlungsempfehlungen zu analogen und digitalen Bedrohungen sollten den betroffenen Unternehmen aus einer Hand zielgerichtet zugänglich gemacht werden.
- Effektive Zusammenarbeitsprozesse der Behörden sollten von Beginn an klar definiert und umgesetzt werden.
- Es ist nicht nachvollziehbar, dass kommunale Eigenbetriebe den Verpflichtungen unterliegen, die Kommunen und Länder selbst aber nicht. Es sollte ein umfassender Ansatz verfolgt werden, der die öffentliche Hand insgesamt einbezieht.
- Die Unternehmen erwarten eine effektive Ausgestaltung des Meldeverfahrens, die Doppelmeldungen und unnötige Statusaktualisierungen vermeidet. Alle Meldepflichten zu Cybersicherheitsvorfällen auch im Rahmen anderer Gesetze sollten harmonisiert werden und möglichst einfach, digital und im Idealfall nur einmal erfolgen.
(Quelle DIHK)