Ran an die Cybersicherheit

Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Zu diesem ernüchternden Fazit kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Die EU hat mit der NIS2-Richtlinie die bestehende Richtlinie über Netz und IT-Sicherheit (NIS1) überarbeitet und aktualisiert. Der deutsche Gesetzgeber soll diese Richtlinie bis zum 18. Oktober in deutsches Recht umsetzen. Die wichtigsten Fragen und Antworten dazu:

Was genau regelt NIS2?

Die bereits am 16. Januar 2023 in Kraft getretene EU-Richtlinie regelt und harmonisiert die Cyber- und Informationssicherheit von Unternehmen in der EU. Im Vergleich zu ihrer Vorgängerregelung erweitert sie die Cybersicherheitsanforderungen und vergrößert den Kreis der Unternehmen, die in den Anwendungsbereich fallen.

Wie weit ist die Umsetzung in Deutschland?

Mittlerweile gibt es einen Regierungsentwurf des Bundesinnenministeriums für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Nach aktuellen Einschätzungen der Deutschen Industrie- und Handelskammer (DIHK) könnte es dennoch knapp werden mit der Umsetzungsfrist bis Oktober. Die DIHK geht vielmehr davon aus, dass sich das Gesetzgebungsverfahren bis ins nächste Jahr hineinziehen wird.

Welche Unternehmen sind betroffen?

Unternehmen, deren Dienstleistung oder Produktion für die Versorgung einer Gesellschaft notwendig sind. Dazu definiert die Richtlinie in zwei Anhängen insgesamt 18 Sektoren. Anhang I betrifft Sektoren mit „hoher Kritikalität“. Dazu zählen unter anderem Energie, Gesundheitswesen, digitale Infrastruktur oder Trinkwasser. Anhang II ergänzt „sonstige kritische Sektoren“. Das sind zum Beispiel Post- und Kurierdienste, Produktion und Vertrieb von Lebensmitteln oder die Abfallbewirtschaftung. In Deutschland geht der Gesetzgeber von insgesamt etwa 30.000 Unternehmen aus, die von NIS betroffen sind.

Der Gesetzgeber klassifiziert die betroffenen Unternehmen außerdem nach Unternehmensgröße in besonders wichtige Einrichtungen oder wichtige Einrichtungen. Zu den „wichtigen“ zählen alle Unternehmen aus Anhang I oder Anhang II mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro. Unternehmen aus Anhang I mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von mehr als 50 Millionen Euro zählen zu den „besonders wichtigen“ Unternehmen.

Ausnahme sind Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze. Diese gelten generell als wichtig, als besonders wichtig einzustufen sind sie bei mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro.

Ebenfalls als besonders wichtig sind Betreiber kritischer Infrastrukturen eingeordnet. Gemeint sind Unternehmen oder Organisationen, die einen bestimmenden Einfluss etwa auf Energie, Trinkwasser, Verkehrs- oder Gesundheitseinrichtungen haben. Hier gelten noch die Schwellenwerte aus der bereits geltenden BSI Kritisverordnung: So gelten beispielsweise Trinkwasserversorger als besonders wichtig, die mehr als 500.000 Personen versorgen.
Die Unterscheidung in besonders wichtige und wichtige Einrichtungen ist insbesondere für die Aufsicht und die mit dem Gesetz verbundenen Sanktionen wichtig (siehe unten).

Welche Maßnahmen müssen betroffene Unternehmen nun ergreifen?

Alle wichtigen und besonders wichtigen Unternehmen werden verpflichtet, grundlegende Maßnahmen zum Risikomanagement für Cybersicherheit umzusetzen. Welche einzelnen Ziele dabei erfüllt sein müssen, regelt Artikel 21 der NIS-2-Richtlinie. Beispiele: Erstellen eines Konzepts für Risikoanalyse und Sicherheit für Informationssysteme, Maßnahmen zur Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen, Maßnahmen für die Sicherheit in der Lieferkette, Umsetzung von Cyberhygiene und Schulungen in Cybersicherheit, Zugriffskontrolle, Kryptgrafie und Verschlüsselung.

„Letztlich verlangt das Gesetz also, dass sich Unternehmen ganz grundlegend konzeptionell mit IT-Sicherheit auseinandersetzen und entsprechende Strukturen implementieren“, sagt Kerstin Weidner, Teamleiterin Smart Industry der IHK Nord Westfalen.

Gibt es weitere Pflichten?

Das BSI wird Aufsichtsbehörde sowie Dreh- und Angelpunkt der Informationssicherheit beim Bund werden. Es soll auch eine Online-Plattform zum Informationsaustausch mit den betroffenen Unternehmen betreiben. Zu diesem Zweck sind die Unternehmen aus den betroffenen Sektoren verpflichtet, sich spätestens drei Monate nach Inkrafttreten des Gesetzes bei einem entsprechenden Meldeportal zu registrieren. Der genaue Prozess wird noch festgelegt.

Über dieses Portal sind künftig auch erhebliche Sicherheitsvorfälle binnen 24 Stunden zu melden. Als erheblicher Sicherheitsvorfall gilt ein Vorfall, wenn er schwerwiegende Betriebsstörungen der Dienste, finanzielle Verluste für die Einrichtung verursacht beziehungsweise verursachen kann oder andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. „Ob das der Fall ist, ist nicht ganz einfach zu beurteilen“, sagt Weidner. Experten fordern daher, dass die Definition im Zuge der Gesetzgebung noch konkreter wird.

Sind Sanktionen oder spezielle Haftungen mit der Richtlinie verbunden?

Zum einen regeln Richtlinie und Gesetz erstmals, dass die Geschäftsführung der Unternehmen die Maßnahmen selbst überwachen muss und für Verstöße mit ihrem Privatvermögen haftet. Hinzu können Geldbußen kommen, wenn Pflichten nach dem Gesetz nicht erfüllt werden. Bei besonders wichtigen Einrichtungen können das bis zu zehn Millionen Euro sein, bei wichtigen bis zu sieben Millionen Euro.

Werden die ergriffenen Maßnahmen überprüft?

Für besonders wichtige Unternehmen kann das BSI generell umfassenden Audits über Überprüfungen der getroffenen Sicherheitsmaßnahmen anordnen. Bei den wichtigen sind lediglich gezielte Prüfungen möglich, wenn sich Hinweise auf Verstöße ergeben.

Wann sollten Unternehmen mit der Vorbereitung starten?

Sofort. Der wichtigste erste Schritt ist dabei, zu analysieren, ob man selbst zu den betroffenen Sektoren gehört. Sinnvoll ist, parallel dazu bereits die Sicherheitsmaßnahmen in Angriff zu nehmen. In vielen Fällen wird die Hilfe von externen Dienstleistern erforderlich sein. Wenn das Gesetz erst einmal da ist, könnten diese knapp und Preise für Dienstleistungen teurer werden.