NIS-2 und KRITIS - Neue gesetzliche Vorschriften für die IT-Sicherheit in Unternehmen
Zur Stärkung und Widerstandsfähigkeit der Unternehmen gegen Cyberangriffe hat die Europäische Union die NIS-2 Richtlinie eingeführt. Deren Vorgaben müssen betroffene deutsche Unternehmen frühestens ab dem 18.10.2024 umsetzen. Die Frist richtet sich nach dem noch ausstehenden Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in Deutschland. Mit NIS-2 vergrößert sich die Anzahl der mit der ersten Richtlinie und der KRITIS-Verordnung betroffenen Unternehmen und Organisationen deutlich. Werden die Vorgaben zur IT-Sicherheit nicht eingehalten, drohen empfindliche Strafen – Unternehmen sollten jetzt eigenständig die Betroffenheit prüfen und mit der Umsetzung beginnen.
Was bedeutet KRITIS und NIS-2?
Laut dem Bundesamt für Sicherheit in der Informationstechnik sind Kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Der Grundstein der Rahmenbedingungen, Pflichten und Aufgaben Kritischer Infrastrukturen in Sachen Cybersicherheit ist das BSI-Gesetz (BSIG). Dieses wurde in den vergangenen Jahren sukzessiv mit den IT-Sicherheitsgesetzen, der KRITIS-Verordnung und dem Entwurf zum KRITIS-Dachgesetz deutlich erweitert und konkretisiert.
Mit der kürzlich von der Europäischen Union beschlossenen NIS-2-Richtlinie soll der Kreis der Unternehmen, die aufgrund ihres Schwellenwertes und ihren Tätigkeiten von höherer Bedeutung sind, deutlich erweitert werden. “NIS” steht hierbei für “Network and Information Security”. Deutschland muss die NIS-2 Richtlinie bis zum 17.10.2024 umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“. Mit Stand vom 07.05.2024 gibt es einen Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – Mit dem Referentenentwurf wurde der erste Schritt im Gesetzgebungsverfahren getätigt. Das Inkrafttreten des Gesetzes wird frühestens ab dem 18.10.2024 erwartet.
Für die frühestens ab 18.10.2024 betroffenen Unternehmen gelten dann verpflichtende Mindeststandards für die interne IT-Sicherheit.
Welche Unternehmen sind betroffen?
Unternehmen müssen eigenständig Ihren Umfang der Betroffenheit prüfen. Sie werden dazu nicht automatisch informiert!
Welche Unternehmen sind von der KRITIS-Verordnung betroffen?
Dafür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betroffenheit nach Sektoren eingeteilt. Unternehmen können die Bestimmung in einer kurzen Auflistung und in der detaillierten Auflistung der BSI-KRITIS-Verordnung nachlesen. Werden die in der BSI-KRITIS-Verordnung definierten Schwellenwerte erreicht oder überschritten, gelten gesetzliche Melde- und Nachweispflichten.
Welche Unternehmen werden jetzt durch das neue NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz betroffen sein?
Ein Unternehmen ist betroffen, wenn es
- Schwellwerte für die Anzahl Mitarbeiter oder Jahresumsatz / Jahresbilanzsumme überschreitet und
- in einem bestimmten Sektor tätig ist
Die Schwellenwerte werden im Teil 3, Kapitel 1, ab §28 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes geregelt.
Die Sektoren werden im Teil 7, Anlage 1 und 2 präzisiert.
Handlungsempfehlungen für betroffene Unternehmen
Was können KRITIS-Betreiber tun?
KRITIS Betreiber können sich auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über die Pflichten und Informationen zur Umsetzung informieren und intern entsprechende Schritte einleiten.
Was können Unternehmen, die unter der neuen NIS-2 Gesetzgebung fallen, tun?
Der Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sieht im Teil 3, Kapitel 2, ab §30 erforderliche Maßnahmen zu “Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten” vor. Mit diesem Paragrafen können Unternehmen mit der internen Prüfung der Vorgaben beginnen.
Es ist allgemein sehr zu empfehlen, sich intensiv mit den gesetzlichen Bestimmungen auseinanderzusetzen und sich bei der Umsetzung fachkundige Unterstützung einzuholen.
Sanktionen
Werden die geforderten Maßnahmen nicht eingehalten, drohen empfindliche Strafen. Die Bedingungen werden im Teil 7: Bußgeldvorschriften ab §61 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes geregelt.
Handlungsempfehlungen für jedes Unternehmen
Die Anzahl der Cyberangriffe nimmt stetig zu und der Schaden kann schwer wiegen. Aus diesem Grunde ist jedem Unternehmen angeraten, die aktuellen IT-Sicherheitsstandards zu erfüllen. Hier stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hilfreiche Anleitungen und Empfehlungen zur Verfügung.