DIGITALISIERUNG

NIS-2, Kritis: Pflichten für wichtige und besonders wichtige Unternehmen

Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt. Geschätzt bundesweit ca. 30.000 Unternehmen sind davon ab spätestens 18.10.2024 betroffen und müssen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.

Aktueller Stand, 13.05.2024: Referentenentwurf liegt vor

Am 07.05.2024 hat das Bundesministerium des Inneren und für Heimat einen Referentenentwurf für das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes" vorgelegt.
Er unterscheidet sich von früheren Entwürfen in Details:
  • §28 (2) fügt kleine "Anbieter öffentlicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze" als Betroffene hinzu.
  • §28 (9) betrifft staatliche IT-Anbieter, für die ein Bezug zum Bund fehlt.
  • In §55 "Konformitätsbewertung und Konformitätserklärung" geht es darum, wie mit Sicherheits-Selbsteinschätzungen (Konformität zu technischen Richtlinien des BSI) von IKT-Anbietern für deren IKT-Produkte umgegangen werden soll.
  • In der Anlage 1 wird für 4.1.1 "Erbringer von Gesundheitsdienstleistungen" die Richtlinie EU 2011/24 zusätzlich genannt.

Was ist NIS-2 und Kritis?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden" als kritische Infrastruktur (KRITIS-Unternehmen).

Was müssen KRITIS-Betreiber tun?

Unternehmen können anhand ihrer Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten feststellen, ob sie als „KRITIS-Betreiber“ gelten und somit diverse Pflichten erfüllen müssen:
  • eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
  • IT-Störungen oder erhebliche Beeinträchtigungen zu melden,
  • IT-Sicherheit auf dem "Stand der Technik" zu gewährleisten,
  • und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.
Mit der von der EU im Jahr 2023 beschlossenen NIS-2-Richtlinie wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (davon ca. 2.000 KRITIS-Unternehmen).
"NIS" steht hierbei für "Network and Information Security".
Deutschland muss die NIS-2 Richtlinie bis zum 17.10.2024 umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“.

NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das NIS2UmsuCG ist ein Änderungsgesetz, welches diverse Gesetze ändert.
Das Ziel des Gesetzes, ein hohes gemeinsames Sicherheitsniveau sicherzustellen, unterstützt die DIHK und die IHK für München und Oberbayern ausdrücklich. Das Ziel kann aber nur erreicht werden, wenn die Maßnahmen angemessen sind und den Unternehmen nicht zusätzliche bürokratische Pflichten auferlegt werden. Dies bindet unnötig Kapazitäten, die stattdessen gezielter für Cybersicherheitsmaßnahmen in den Unternehmen genutzt werden könnten.
Zudem sollte das Miteinander von Staat und Wirtschaft, insbesondere der Informationsrückfluss aus den zusätzlichen Meldepflichten einer größeren Anzahl von Unternehmen konkretisiert und gemeinsam an den Bedarfen der Unternehmen ausgerichtet werden.

Welche Unternehmen sind vom NIS2UmsuCG betroffen?

Ob Unternehmen gemäß §28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.
Daher: Prüfen Sie, ob Ihr Unternehmen von der NIS-2 Umsetzung betroffen ist.
Ein Unternehmen ist betroffen, wenn es
  • Schwellwerte für die Anzahl Mitarbeiter oder Jahresumsatz / Jahresbilanzsumme überschreitet und
  • in einem bestimmten Sektor tätig ist.
Schwellwerte
  • Als "besonders wichtige Einrichtungen" gelten:
    • Betreiber kritischer Anlagen ("KRITIS-Betreiber")
    • Spezielle Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationanbieter
    • Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 genannten Sektoren tätig sind.
  • Als "wichtige Einrichtungen" gelten:
    • Spezielle Einrichtungen z. B. für Vertrauensdienste, kleinere Telekommunikationanbieter
    • Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 genannten Sektoren tätig sind.
Sektoren
In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.
NIS2UmsuCG hierzu:
"Sektoren besonders wichtiger und wichtiger Einrichtungen" (Anlage 1): Großunternehmen aus Energie, Transport / Verkehr, Finanzen / Versicherungen, Gesundheit, Wasser, IT und TK, Weltraum
"Sektoren wichtige Einrichtungen" (Anlage 2): Große und Mittlere Unternehmen aus Post / Kurier, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Herstellung von Waren, Anbieter digitaler Dienste, Forschung

Was müssen betroffene Unternehmen tun?

Der Entwurf des NIS2UmsuCG listet in Kapitel 2 ab §30 erforderliche Maßnahmen zu ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf.
Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird.
Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
  • Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
  • Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
  • Meldepflichten (§32)
  • Registrierungspflicht (§§ 34, 34)
  • Unterrichtungspflichten (§35)
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)
Für ‚Betreiber kritischer Anlagen‘ gelten zusätzliche spezifische Anforderungen.
Zusätzlich zu den Gesetzesänderungen des NIS2UmsuCG soll es Rechtsverordnungen geben (siehe §57 "Ermächtigung zum Erlass von Rechtsverordnungen"), für die bisher (Stand 08.05.2024) keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:
  • Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§57 Abs. 4).
  • Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§57 Abs. 1).
  • IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§57 Abs. 2).
  • Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§57).

Welche Folgen drohen bei Nichteinhaltung?

Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen.
Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung.
Zudem existiert eine persönliche Haftung der Geschäftsleiter.

Fristen für die Maßnahmen-Umsetzung §§ 30, 31, 32

§65 (3) regelt die "Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen":
  • "Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfüllung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 anordnen."
  • Unabhängig davon kann aber das Bundesamt Maßnahmen anordnen, insbesondere wenn Gefahr im Verzug ist (§65 (6)).
§66 regelt die "Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen":
  • "Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforderungen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnahmen nach § 65 treffen."

Fristen für die Registrierungspflicht § 33

§33 regelt die "Registrierungspflicht", für bestimmte Einrichtungsarten gelten "Besondere Registrierungspflichten" (§ 34):
  • §33 (1): Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der genannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit Angaben zu übermitteln."
  • Achtung, §33 (3): "Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einvernehmen mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird."
  • §34: Bis zum 17. Januar 2025 müssen spezielle Einrichtungen dem Bundesamt Angaben übermitteln.
Quelle: IHK München