NIS-2, KRITIS: Neue gesetzliche Anforderungen zur IT-Sicherheit für bestimmte Unternehmen

Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt. Geschätzt sind bundesweit zirka 30.000 Unternehmen davon betroffen. Ab spätestens 18.Oktober 2024 müssen betroffene Unternehmen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.

Was ist NIS2 und KRITIS?

"NIS" steht hierbei für "Network and Information Security". Die NIS2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union steht vor der Umsetzung in nationales Recht zum „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“.
Unternehmen können anhand ihrer Zugehörigkeit zu bestimmten Branchen und anhand von Schwellwerten feststellen, ob sie als „KRITIS-Betreiber“ gelten und somit diverse Pflichten erfüllen müssen.
Achtung: Unternehmen werden nicht automatisch informiert, ob sie betroffen sind; sie sind verpflichtet, dies eigenständig zu prüfen.
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.

Welche Unternehmen sind vom NIS2UmsuCG betroffen?

Ein Unternehmen ist betroffen, wenn es
  • Schwellwerte für die Anzahl Mitarbeiter und Jahresumsatz / Jahresbilanzsumme überschreitet und
  • in einem bestimmten Sektor tätig ist.
In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" beziehungsweise "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.
Das NIS2UmsuCG wird diese Systematik sehr wahrscheinlich in ganz ähnlicher und konkreterer Form übernehmen, allerdings entwickelt sich diese Umsetzung noch.

Was müssen betroffene Unternehmen tun?

Das NIS2UmsuCG listet erforderliche Maßnahmen unter den Abschnitten “Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten” auf.
Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als “Betreiber kritischer Anlagen”, “besonders wichtige Einrichtung” oder “wichtige Einrichtung” eingestuft wird.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
  • Risikomanagementmaßnahmen
  • Business Continuity Management
  • Meldepflichten
  • Registrierungspflicht
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
  • Einsatz technischer Maßnahmen wie zum Beispiel Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
Für “Betreiber kritischer Anlagen” gelten zusätzliche spezifische Anforderungen.

Am 20. Juni findet in der IHK Bodensee-Oberschwaben der jährliche IT-Sicherheitskongress statt, in welchem neben vielen IT-Sicherheitsanforderungen auch die NIS2-Richtlinie thematisiert wird.