NIS 2-Umsetzungsgesetz noch nicht verabschiedet: Cybersicherheit stärken

Das Bundesministerium für Inneres und Heimat hatte Ende Juni 2024 den vierten Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) vorgelegt und zur Konsultation gestellt. Hintergrund ist die NIS-2-Richtlinie (Richtlinie (EU 2022/2555), die bis 17. Oktober 2024 in nationales Recht umgesetzt werden musste. Von der NIS-2-Regelungen sollen rund 29.500 Unternehmen aus insgesamt 18 Sektoren direkt betroffen sein. Das NIS-2UmsuCG ist noch nicht verabschiedet. Dies muss in der neuen Legislaturperiode erfolgen.
Durch die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) werden die Regelungen zur Cybersicherheit von kritischen Infrastrukturen weiterentwickelt.
Zentrale Regelungen für die Wirtschaft
  • organisatorische und technische Anforderungen
  • Registrierungs-, Melde-, Berichts- und Nachweispflichten
  • Pflicht der Rückmeldung und dem „Angebot“ der Unterstützung durch das BSI
  • Billigungs-, Überwachungs- und Schulungspflichten der Leitung
  • Sanktions- und Bußgeldvorschriften
Das NIS2UmsuCG ist ein Artikelgesetz, das vor allem darauf abzielt, kritische Anlagen ebenso wie wichtige Unternehmen besser vor Cyberangriffen zu schützen. Der Entwurf enthält neben einer Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) auch eine Anpassung diverser Fachgesetze.

Wer ist betroffen?

Von den Regelungen sollen fast 30.000 Unternehmen aus insgesamt 18 Sektoren betroffen sein:

Sektoren mit hoher Kritikalität

  1. Energieversorgung
  2. Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastukturen
  5. Gesundheitswesen
  6. Trinkwasserversorgung
  7. Abwasserbeseitigung
  8. Informationstechnik und Telekommunikation
  9. Verwaltung von IKT-Diensten (B2B)
  10. öffentliche Verwaltung
  11. Weltraum

sonstige kritische Sektoren

  1. Post- und Kurierdienste
  2. Siedlungsabfallentsorgung
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Ernährung
  5. Verarbeitendes Gewerbe (Herstellung von Medizinprodukten und In-vitro-Diagnostik, von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, von elektrischen Ausrüstungen, von Kraftwagen und Kraftwagenteilen, Maschinenbau, Sonstiger Fahrzeugbau)
  6. Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Plattformen für Dienste sozialer Netzwerke)
  7. Forschungseinrichtungen
Sie werden unterschieden in „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.

Als „besonders wichtige Einrichtung“ gelten

  1. Betreiber kritischer Anlagen (nach § 28 Absatz 7),
  2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
  3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentliche Telekommunikationsnetze, die
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen;
  1. natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 250 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Als „wichtige Einrichtungen“ gelten

1. Vertrauensdiensteanbieter
2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) weniger als 50 Beschäftigte haben und
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.
3. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

Sind alle anderen Unternehmen nicht betroffen?

Die NIS 2-Richtlinie gilt für alle übrigen Unternehmen nicht unmittelbar. Von NIS2 betroffene Einrichtungen müssen allerdings die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten. Sie müssen die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen.
Damit müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen treffen und einhalten. Das Bundesamt für Sicherheit in der Informationstechnik informiert in Broschüren und Standards über sinnvolle Maßnahmen des Basisschutzes, um für eine höhere Cybersicherheit im Unternehmen zu sorgen.

Betroffenheitsprüfung

In der NIS-2-Betroffenheitsprüfung des BSI werden konkrete, an der Richtlinie orientierte Fragen gestellt, um das eigene Unternehmen einzuordnen. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf eingehender erläutert. Nachdem der Fragenkatalog durchlaufen ist, erhalten Anfragende ein auf den eigenen Angaben basierendes Ergebnis. Dieses gibt eine automatisierte Ersteinschätzung, ob das eigene Unternehmen von der NIS-2-Richtlinie betroffen ist und erläutert, was dieser Status bedeutet und welche Pflichten durch den EU-Gesetzgeber vorgezeichnet sind.
Das Ergebnis ist rechtlich nicht verbindlich. Die NIS-2-Betroffenheitsprüfung ersetzt die Prüfung zur Selbst-Identifizierung nicht und hat für eventuelle Verfahren keine Indizwirkung.
Die Betroffenheitsprüfung basiert auf dem Entscheidungsbaum des BSI:

Technische und organisatorische Anforderungen

Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen künftig einen umfassenden Katalog von Mindestanforderungen erfüllen und unter anderem dazu in der Lage sein, Risiken zu analysieren, Sicherheitsvorfälle zu bewältigen, ihren Betrieb etwa durch Backup-Management aufrechtzuerhalten oder wiederherzustellen, die Lieferkette zu sichern und Schwachstellen offenzulegen.
Sie müssen gemäß Artikel 21 “geeignete” und “verhältnismäßige” technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der genutzten Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, einschlägiger Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Die Maßnahmen umfassen mindestens
  • Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme;
  • Bewältigung von Sicherheitsvorfällen;
  • Aufrechterhaltung des Betriebs und Krisenmanagement;
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen;
  • grundlegende Verfahren der Cyberhygiene und Schulungen zur Cybersicherheit;
  • Einsatz von Kryptografie und ggf. Verschlüsselung;
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle;
  • Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation
Obwohl nicht direkter Adressat dürften sich die Verpflichtungen auch auf kleinere Zulieferer auswirken, wenn möglicherweise Cybersicherheitsvorgaben vertraglich weitergeben werden.

Meldepflichten im Notfall (§ 32)

Zudem soll ein dreistufiges Meldesystem eingeführt werden. Danach müsste unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis von einem "erheblichen Sicherheitsvorfall" eine "frühe Erstmeldung" an ein Online-Portal des BSI und des BBK erfolgen. Spätestens nach 72 Stunden müsste die Meldung bestätigt oder aktualisiert und eine erste Bewertung inklusive des "Schweregrads und seiner Auswirkungen" abgegeben werden. Spätestens einen Monat nach der Meldung des Sicherheitsvorfalls soll eine "Abschlussmeldung" mit einer ausführlichen Beschreibung des Vorfalls und der ihm zugrundeliegenden Ursache erfolgen. Falls der Sicherheitsvorfall noch andauert, legt die betroffene Einrichtung einen Monat nach der Meldung eine “Fortschrittsmeldung” und innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls eine Abschlussmeldung vor.

Registrierungspflicht (§§ 33, 34)

„Besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und Domain-Name-Registry-Diensteanbieter sind verpflichtet, sich spätestens nach drei Monaten bei der gemeinsamen Registrierungsstelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu registrieren.

Bußgeldrahmen

Der Gesetzesentwurf sieht in Abhängigkeit von der Art der Ordnungswidrigkeit, der Bedeutung des Unternehmens und des Jahresumsatzes maximale Bußgelder zwischen 100.000 Euro und 10 Millionen Euro vor. Abweichend davon können Einrichtungen mit einem Jahresumsatz von mehr als 500 Millionen Euro mit einem Bußgeld von bis zu 2 Prozent des weltweit getätigten Jahresumsatzes des Unternehmens belegt werden.

Wesentliche Änderungen des Referentenentwurfs

  • § 38 BSIG-E (Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen)
    Das BMI hat die sogenannte Managerhaftung entschärft (Art. 1 § 38). Die bisherige Formulierung zur Unabdingbarkeit von Schadenersatzansprüchen gegen Geschäftsleitungen wurde auch auf das Bestreben der DIHK gestrichen. Im letzten Referentenentwurf sollte explizit ausgeschlossen werden, dass Einrichtungen auf Ersatzansprüche verzichten können, wenn Geschäftsleitungen ihre Pflichten nach dem NIS2UmsuCG verletzt haben.
    Stattdessen soll die Haftung nun entsprechend dem geltenden Gesellschaftsrecht geregelt werden. Gibt es für die betreffende Einrichtung keine entsprechenden Bestimmungen, so ergibt sich die Haftung zukünftig aus dem NIS2UmsuCG (Auffangregel). Während die früheren Entwürfe von Geschäftsleitungen unter anderem die „Billigung“ von Risikomanagementmaßnahmen forderten, ist nun explizit von der „Umsetzung“ die Rede. Daraus könnte sich mehr Verantwortung ableiten lassen als mit der früheren Formulierung.
  • § 28 BSIG-E (Abgrenzung der Anwendungsbereiche BSIG, TKG und EnWG)
  • § 28 Absatz 9 BSIG-E (Öffnungsklausel für Dienstleister der Länder)
    Dabei geht es um Ausnahmen für Landesunternehmen. Diese wurden nun konkretisiert. Nach dem neuen Entwurf können die Länder nun per Öffnungsklausel jede Art von öffentlich-rechtlichen Unternehmen vom NIS2UmsuCG ausnehmen, wenn sie ausschließlich im Eigentum von Ländern oder Kommunen stehen und zu dem Zweck errichtet wurden, Leistungen für Verwaltungen zu erbringen. Die Länder müssen dann selbst angemessene landesrechtliche Cybersicherheitsauflagen schaffen. (Art. 1 § 28 Abs. 9).
  • Teil 4 BSIG-E (Datenbanken der Domain- Name-Registrierungsdaten)
    Die „berechtigten Zugangsnachfrager“ sind nunmehr in § 2 Nr. 2 BSIG-E legaldefiniert.
  • Art. 1 § 36 Abs. 2 (Neue Befugnis für das BSI im Umgang mit Cybersicherheitsinformationen)
    Bislang durfte es lediglich die betroffene Einrichtung dazu verpflichten, die Öffentlichkeit zu informieren. Immer vorausgesetzt, dass diese Information im öffentlichen Interesse liegt, vor allem um weitere Vorfälle zu verhindern. Mit dem neuen Entwurf darf das BSI auch selbst die Öffentlichkeit über den Vorfall informieren.

Wichtige Schritte zur Umsetzung

  1. Betroffenheit klären
  2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
  3. Verantwortlichkeiten festlegen
    • Verantwortung der Leitungsorgane: Maßnahmen entscheiden, Umsetzung überwachen, persönliche Haftung
    • Operativ für die Umsetzung der Anforderungen hauptverantwortliche Person im Unternehmen benennen
    • Externe Partner einbeziehen, die bei der Umsetzung unterstützen
  4. Risikoanalyse und Gap-Analyse im Vergleich zu den Anforderungen der NIS 2-Richtlinie
  5. Notwendige Maßnahmen ermitteln
  6. Maßnahmen umsetzen
  7. Business-Continuity gewährleisten
  8. kontinuierliche Überprüfung und Verbesserung

NIS 2-Anlaufstelle NRW

Im Rahmen eines durch das Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie des Landes Nordrhein-Westfalen (MWIKE NRW) geförderten Projektes, betreibt der Verein eurobits e.V. in Bochum eine Anlaufstelle für kleine und mittlere Unternehmen, die von der NIS2-Richtlinie betroffen sind. Die NIS 2-Anlaufstelle bietet Unternehmen mit 50 bis 250 Mitarbeitenden die Möglichkeit, sich umfassend auf die Anforderungen der NIS 2-Richtlinie vorzubereiten. Das Angebot umfasst eine kostenfreie Erstanalyse und Erstberatung mit Erstellung eines individuellen Maßnahmenplans.
(Quelle DIHK)