IHK-Ratgeber
NIS-2 und KRITIS: Pflichten für Unternehmen
Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt. Sie setzt einen Mindeststandard, der bis Oktober 2024 in nationales Recht überführt werden muss. Bundesweit werden rund 30.000 Unternehmen IT-Sicherheitsmaßnamen umsetzen und Vorfälle melden müssen.
- Aktueller Stand: Referentenentwurf liegt vor
- Was bedeutet KRITIS?
- NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- Welche Unternehmen sind vom NIS2UmsuCG betroffen?
- Was müssen betroffene Unternehmen tun?
- Welche Folgen drohen bei Nichtbeachtung?
- Fristen für die Maßnahmen-Umsetzung
- Fristen für die Registrierungspflicht
Aktueller Stand: Referentenentwurf liegt vor
Am 07.05.2024 hat das Bundesministerium des Inneren und für Heimat einen Referentenentwurf für das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes" vorgelegt.
Er unterscheidet sich von früheren Entwürfen in Details:
- §28 (2) fügt kleine "Anbieter öffentlicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze" als Betroffene hinzu.
- §28 (9) betrifft staatliche IT-Anbieter, für die ein Bezug zum Bund fehlt.
- In §55 "Konformitätsbewertung und Konformitätserklärung" geht es darum, wie mit Sicherheits-Selbsteinschätzungen (Konformität zu technischen Richtlinien des BSI) von IKT-Anbietern für deren IKT-Produkte umgegangen werden soll.
- Im der Anlage 1 wird für 4.1.1 "Erbringer von Gesundheitsdienstleistungen" die Richtlinie EU 2011/24 zusätzlich genannt.
Was bedeutet KRITIS?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden", als kritische Infrastruktur (KRITIS-Unternehmen).
Was müssen KRITIS-Betreiber tun?Unternehmen können anhand ihrer Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten feststellen, ob sie als „KRITIS-Betreiber“ gelten und somit diverse Pflichten erfüllen müssen:
- eine Kontaktstelle für die betriebene Kritische Infrastruktur benennen,
- IT-Störungen oder erhebliche Beeinträchtigungen melden,
- IT-Sicherheit auf dem "Stand der Technik" gewährleisten,
- und dies alle zwei Jahre gegenüber dem BSI nachweisen.
NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
Mit der von der EU im Jahr 2023 beschlossenen NIS-2-Richtlinie wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (davon ca. 2.000 KRITIS-Unternehmen). "NIS" steht für "Network and Information Security".
Deutschland muss die NIS-2 Richtlinie bis zum 17.10.2024 umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“.
Welche Unternehmen sind vom NIS2UmsuCG betroffen?
Ob Unternehmen gemäß §28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.
Ein Unternehmen ist betroffen, wenn es
- Schwellwerte für die Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme überschreitet und
- in einem bestimmten Sektor tätig ist.
Schwellwerte
- Als "besonders wichtige Einrichtungen" gelten:
- Betreiber kritischer Anlagen ("KRITIS-Betreiber")
- Spezielle Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationanbieter
- Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 genannten Sektoren tätig sind.
- Als "wichtige Einrichtungen" gelten:
- Spezielle Einrichtungen z. B. für Vertrauensdienste, kleinere Telekommunikationanbieter
- Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 genannten Sektoren tätig sind.
SektorenIn den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.Im Entwurf des NIS2UmsuCG ist diese Systemtik in sehr ähnlicher und etwas konkreterer Form enthalten.
Was müssen betroffene Unternehmen tun?
Der Entwurf des NIS2UmsuCG listet in Kapitel 2 ab §30 erforderliche Maßnahmen zu ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf. Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird. Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
- Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung - Meldepflichten (§32)
- Registrierungspflicht (§§ 34, 34)
- Unterrichtungspflichten (§35)
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)
Für ‚Betreiber kritischer Anlagen‘ gelten zusätzliche spezifische Anforderungen.
Zusätzlich zu den Gesetzesänderungen des NIS2UmsuCG soll es Rechtsverordnungen geben (siehe §57 "Ermächtigung zum Erlass von Rechtsverordnungen"), für die bisher (Stand 08.05.2024) keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:
- Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§57 Abs. 4).
- Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§57 Abs. 1).
- IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§57 Abs. 2).
- Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§57).
Welche Folgen drohen bei Nichtbeachtung?
Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen. Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsleiter.
Fristen für die Maßnahmen-Umsetzung
§65 (3) regelt die "Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen":
- "Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfüllung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 anordnen."
- Unabhängig davon kann aber das Bundesamt Maßnahmen anordnen, insbesondere wenn Gefahr im Verzug ist (§65 (6)).
§66 regelt die "Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen":
- "Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforderungen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnahmen nach § 65 treffen."
Fristen für die Registrierungspflicht
§33 regelt die "Registrierungspflicht", für bestimmte Einrichtungsarten gelten "Besondere Registrierungspflichten" (§ 34):
- §33 (1): Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der genannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit Angaben zu übermitteln."
- Achtung, §33 (3): "Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einvernehmen mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird."
- §34: Bis zum 17. Januar 2025 müssen spezielle Einrichtungen dem Bundesamt Angaben übermitteln.
Hinweis:
Die Informationen und Auskünfte der IHK Nord Westfalen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.
Die Informationen und Auskünfte der IHK Nord Westfalen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.