Gesetzentwürfe: Cybersicherheit in wichtigen Einrichtungen und Unternehmen

Durch die Umsetzung der NIS-2-Richtlinie mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) werden die Regelungen zum Cyberschutz von kritischen Infrastrukturen weiterentwickelt. Das KRITIS-DachG wird neben diese Regelungen treten.

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (PDF-Datei · 1095 KB) (NIS2UmsuCG) ist ein Artikelgesetz, das vor allem darauf abzielt, kritische Anlagen ebenso wie wichtige Unternehmen besser vor Cyberangriffen zu schützen. Der Entwurf enthält neben einer Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) auch eine Anpassung diverser Fachgesetze.

Von den Regelungen sollen schätzungsweise ca. 30.000 Unternehmen aus insgesamt 18 Sektoren betroffen sein wie Energie, Transport und Verkehr, Finanz-, Versicherungs-, Gesundheitswesen, Trink- oder Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten oder Weltraum (Sektoren mit hoher Kritikalität) sowie Post- und Kurierdienste, Siedlungsabfallentsorgung, Produktion, Herstellung und Handel mit chemischen Stoffen, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung (sonstige kritische Sektoren).

Ob Unternehmen den entsprechenden Pflichten bzw. Sanktionen unterliegen, orientiert sich zudem an ihrer Größe (Nicht KMU sowie mittlere Unternehmen: 50 bis 249 Beschäftigte) und ihrer wirtschaftlichen Leistungsfähigkeit, an der Art der Leistung (qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter) und/oder der Art der Anlage.

Die betroffenen Unternehmen müssen künftig einen Katalog von Mindestanforderungen erfüllen und unter anderem dazu in der Lage sein, Risiken zu analysieren, Sicherheitsvorfälle zu bewältigen, ihren Betrieb etwa durch Backup-Management aufrechtzuerhalten oder wiederherzustellen, die Lieferkette zu sichern und Schwachstellen offenzulegen. Obwohl nicht direkter Adressat dürften sich die Verpflichtungen auch auf kleinere Zulieferer auswirken, wenn möglicherweise Cybersicherheitsvorgaben vertraglich weitergeben werden.

Zudem soll ein dreistufiges Meldesystem eingeführt werden. Danach müsste unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis von einem "erheblichen Sicherheitsvorfall" eine "frühe Erstmeldung" an das Online-Portal von BSI und BBK erfolgen. Spätestens nach 72 Stunden müsste die Meldung bestätigt oder aktualisiert und eine erste Bewertung inklusive des "Schweregrads und seiner Auswirkungen" abgegeben werden. Spätestens einen Monat nach der Meldung des Sicherheitsvorfalls soll eine "Abschlussmeldung" mit einer ausführlichen Beschreibung des Vorfalls und der ihm zugrundeliegenden Ursache erfolgen. Falls der Sicherheitsvorfall noch andauert, legt die betroffene Einrichtung einen Monat nach der Meldung eine “Fortschrittsmeldung” und innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls eine Abschlussmeldung vor.

Auch die „Zentralregierung“ der Verwaltung ist mit von der EU-Richtlinie erfasst. Die Bundesländer müssen eigene Regelungen erlassen, sofern es um die IT-Sicherheit der Behörden in Länder und Kommunen geht.

Zudem sollen mit dem Gesetz die Instrumentarien des Bundesamt für Sicherheit in der Informationstechnik (BSI) erweitert werden. Demnach könnte das BSI bei besonders wichtigen Einrichtungen, die seinen Anforderungen trotz Fristvorgaben nicht nachkommen, die zuständige Aufsichtsbehörde des Bundes auffordern, die Genehmigung vorübergehend auszusetzen und der Geschäftsführung die Wahrnehmung ihrer Leitungsaufgaben vorübergehend zu untersagen. Darüber hinaus soll ein der Datenschutz-Grundverordnung (DSGVO) nachempfundener Bußgeldrahmen geschaffen werden (bis 10 Millionen Euro oder mit einem Mindestbetrag von mindestens 2 Prozent des gesamten weltweiten Umsatzes des Unternehmens)

Um kritische Infrastrukturen (KRITIS) gegen Sabotageakte, Terroranschläge, Naturkatastrophen, Extremwetterereignisse und andere vergleichbare Gefahren zu wappnen, sollen für Betreiber entsprechender Anlagen künftig bundeseinheitliche und sektorenübergreifende Vorgaben für deren "physischen Schutz" gelten. Damit soll der sektorübergreifende Ansatz aus dem Bereich der Cybersicherheit auch auf den Bereich der physischen Maßnahmen übertragen werden.

Die neuen Vorschriften betreffen elf Sektoren, darunter die Bereiche Energie, Transport und Verkehr, Gesundheit, Ernährung, Versicherungswesen sowie Informationstechnik und Telekommunikation.

Das KRITIS-DachG enthält Vorgaben zur Definition kritischer Anlagen. Dazu zählen Anlagen "die eine oder mehrere kritische Dienstleistungen erbringen, die für das Funktionieren der Gesamtwirtschaft des Gemeinwesens von hoher Bedeutung sind und ein Vorfall eine erhebliche Störung bei der Erbringung [...] bewirken würde" und einen Schwellenwert von 500.000 versorgten Personen überschreiten. Welche Anlagen konkret als kritisch eingestuft werden, will das BMI gemeinsam mit den jeweils für die Sektoren zuständigen Ressorts in einer Rechtsverordnung regeln – Vorbild ist die BSI-Kritisverordnung. 

Der Entwurf sieht Auflagen für die Betreiber vor. So müssen als kritisch eingestufte Anlagen bei einer vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) noch einzurichtenden Stelle registriert werden und dem BBK eine jederzeit erreichbare Kontaktstelle beziehungsweise Ansprechperson genannt werden. Das BBK als "nationale zuständige Behörde" soll eine Liste aller Betreiber kritischer Anlagen erstellen und alle vier Jahre aktualisieren. Betreibern müssen Störungen unverzüglich, spätestens aber 24 Stunden nach Kenntnisnahme des Vorfalls über das bereits bestehende Online-Meldeportal des BSI melden, das entsprechend erweitert werden soll.

Grundlage für die Resilienzmaßnahmen der Betreiber sollen Risikoanalysen- und bewertungen der jeweils zuständigen Ministerien sein. Die Betreiber sollen auf dieser Basis erstmals neun Monate nach Registrierung ihrer Anlage und dann mindestens alle vier Jahre eigene Analysen und Bewertungen durchführen. Auf dieser Basis sind die betroffenen Betreiber verpflichtet, "geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen" und in einem alle zwei Jahre neu nachzuweisenden "Resilienzplan" darzulegen.

Anhang 1 des Entwurfs enthält eine Auflistung möglicher Maßnahmen. Hierzu gehören beispielsweise das Aufstellen von Zäunen und Sperren zum Schutz des Objektes, Instrumente und Verfahren zur Überwachung der Umgebung, Zugangskontrollen, vorgegebene Abläufe im Alarmfall, aber auch Maßnahmen zur Notfallvorsorge, zur Aufrechterhaltung des Betriebs zum Beispiel durch die Versorgung mit Notstrom und zur Anpassung an den Klimawandel. Zugleich wird Betreibern und deren Branchenverbänden die Option eingeräumt, dem BBK "branchenspezifische Resilienzstandards" vorzuschlagen. Ob sie geeignet sind, soll das BBK im Benehmen mit dem BSI sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes entscheiden.

Für eine bessere Übersichtlichkeit soll es eine gemeinsame Rechtsverordnung zur Bestimmung kritischer Anlagen sowie wichtiger und besonders wichtiger Einrichtungen nach dem KRITIS-DachG und dem BSIG geben.

Darüber hinaus wird für die Registrierung der Betreiber sowie für die Meldung von Störungen eine gemeinsame technische Lösung angestrebt. Die enge Zusammenarbeit der beteiligten Behörden ist überdies im KRITIS-DachG und im BSIG geregelt. Weitere Angleichungen zwischen den Regelungen dieses Gesetzes und den Regelungen des Cyberschutzes werden nach der Evaluierung (in 5 Jahren nach Inkrafttreten) geprüft.

(Quelle DIHK)