Gesetzliche Anforderungen zur IT-Sicherheit
NIS-2-Richtlinie
NIS-2-Richtlinie ab 18. Oktober 2024 bindend
Mit der 2023 auf europäischer Ebene verabschiedeten NIS-2-Richtlinie werden die darin benannten Unternehmen verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen und strengere Sicherheitsstandards zu etablieren. Mit der Einführung der sogenannten “size-cap-Regel“ werden mittlere und große Unternehmen in achtzehn verschiedenen Sektoren entsprechend ihrer Größe reguliert. Damit erhöht sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, erheblich. In Deutschland werden nach Schätzungen etwa 30.000 Unternehmen von NIS-2 betroffen sein.
Deutschland muss die NIS-2 Richtlinie bis zum 17. Oktober 2024 umsetzen. Dazu liegt ein Referentenentwurf des Bundesinnenministeriums für das “NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (“NIS2UmsuCG“) vor.
Bereits die NIS-1 Richtlinie verpflichtete die EU-Mitgliedsstaaten Betreiber “kritischer Dienste“ zu ermitteln und für diese bestimmte Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle einzuführen. Mit der Neufassung 2023 erfolgte eine Gliederung in Branchen und Größen, sodass nun auch kleinere Unternehmen dazugehören sowie unter Umständen auch deren Dienstleister und Auftragnehmer.
Geltungsbereich der betroffenen Unternehmen und Schwellenwerte (NIS2-Size-Cap)
Der Geltungsbereich der neuen NIS-Richtlinie geht über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus.
Konkret wird bei NIS-2 zwischen ”wesentlichen Einrichtungen“ und ”wichtigen Einrichtungen“ unterschieden.
Die Zugehörigkeit basiert auf der Unternehmensgröße und der Zugehörigkeit zu 18 Sektoren und bestimmt den Umfang der staatlichen Aufsicht und mögliche Sanktionen.
Ein Unternehmen ist betroffen, wenn es
- Schwellwerte für die Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme überschreitet und
- in einem bestimmten Sektor tätig ist
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
- Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
- Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Zudem werden unabhängig von ihrer Größe weitere Betreiber – Teile der digitalen Infrastruktur und der öffentlichen Verwaltung – reguliert.
Als "besonders wichtige Einrichtungen" gelten:
- Betreiber kritischer Anlagen ("KRITIS-Betreiber")
- Spezielle Einrichtungen zum Beispiel für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationsanbieter
- Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 genannten Sektoren tätig sind.
Als "wichtige Einrichtungen" gelten:
- Spezielle Einrichtungen zum Beispiel für Vertrauensdienste, kleinere Telekommunikationsanbieter
- Einrichtungen ab 50 Mitarbeitende ODER mehr als zehn Millionen Euro Jahresumsatz und zehn Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 genannten Sektoren tätig sind.
Sektoren
In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind. Im Entwurf des NIS2UmsuCG ist diese Systematik in sehr ähnlicher und etwas konkreterer Form enthalten.
Die alleinige Nennung der 18 im NIS2UmsuCG vorhandenen Sektoren reicht nicht aus, um betroffene Dienste eindeutig zu identifizieren. Das BMI (Bundesministerium des Innern und für Heimat) wird noch eine weitere Rechtsverordnung erlassen, die festlegt, welche Anlagen bzw. Einrichtungen im Detail erfasst sind (§57 NIS2 UmsuCG). Der Annex I und II der NIS2-Richtlinie ermöglicht aber bereits einen recht genauen Ausblick auf die kommende Verordnung. Auch finden sich erste Definitionen im Referentenentwurf des Umsetzungsgesetzes.
Sektoren mit hoher Kritikalität (Annex I):
- Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
- Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
- Wasser – Trink- und Abwasserversorgungsunternehmen
- Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
- Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
- Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
- Öffentliche Verwaltung
- Raumfahrt
Sonstige kritische Sektoren (Annex II):
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse – Produktion und Vertrieb
- Lebensmittel – Produktion und Vertrieb
- Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
- Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
- Forschungseinrichtungen
Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind! Prüfen Sie daher, ob Sie bezüglich Ihrer Größe und Branche dazuzählen. In diesem Fall liegt die Verantwortlichkeit bei der Geschäftsführung.Im Unternehmen müssen Personen festgelegt werden, die die Vorgaben operativ umsetzen. Für die fachkundige Unterstützung der Umsetzung, sprechen Sie zudem Ihren bestehenden IT-Dienstleister an!Gegebenenfalls kann auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.Indirekt werden sich die Vorgaben auch auf Dienstleister und Lieferanten der Unternehmen und Einrichtungen aus den betroffenen Sektoren auswirken.
Verschärfung der Meldepflichten
Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI). Vorgesehen ist dafür ein dreistufiger Prozess.
Von NIS-2 betroffene Unternehmen müssen sich ab dem 18. Oktober 2024 beim Bundesamt für Informationssicherheit (BSI) registrieren lassen. Die Details sind noch nicht festgelegt.
Verschärfung von Sanktionen
Außer der Meldepflicht für Vorfälle verschärft NIS-2 auch die Sanktionen für die Missachtung der Vorgaben.
Die NIS-2 Richtlinie sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der IT-Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal zwei Prozent des weltweiten Jahresumsatzes betragen.
Notwendige Maßnahmen
Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten.
- Digitalzentrum Handel - Infoblatt (Link: https://digitalzentrumhandel.de/infoblatt-neue-anforderungen-fuer-kmu-nis-2-richtlinie/)
- DIHK-Stellungnahme (Link: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/stellungnahmen/CI1/NIS-2-umsetzungs-cybersicherheit/NIS2UmsuCG070524_DIHK_pdf.pdf;jsessionid=D5F7C574410EAA42574AC6C1B03571C6.live872?__blob=publicationFile&v=1)
- NIS2UmsuCG (Link: https://nis2-navigator.de/nis2-sektordefinitionen/)