NIS-2 wird deutsches Recht

Solche Vorfälle machen deutlich, wie schnell selbst kleine ­technische Probleme oder Sicherheitslücken erhebliche Auswirkungen auf Wirtschaft und Gesellschaft haben können. Das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungs­gesetz“ (NIS2UmsuCG) soll das zukünftig verhindern. Es richtet sich vor allem an Organisationen und Unternehmen, deren Ausfall zu erheblichen Versorgungsengpässen, Störungen der öffentlichen Sicherheit oder anderen gravierenden Problemen führen könnte.

Derzeit wird die zugrunde liegende EU-NIS-2-Richtlinie in deutsches Recht umgesetzt. Voraussichtlich im März soll das neue Gesetz in Kraft treten. Dann ­müssen diese Organisationen und ­Unternehmen Registrierungs-, Nachweis- und Meldepflichten erfüllen. Zentrale Stelle dafür wird das BSI sein.

Schon bisher gab es für circa 2.000 Unternehmen die Pflicht, IT-­Sicherheitsmaßnahmen umzusetzen und Cybervorfälle zu melden, um die Resilienz kritischer Infrastrukturen zu erhöhen. Nun werden es 30.000 Unternehmen sein.

Ob Ihr Unternehmen betroffen ist, können Sie über den Entscheidungsbaum des BSI ermitteln. Sie finden ihn hier.

Bei den betroffenen Unternehmen wird noch einmal unterschieden, und zwar zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Letztere sind vor allem Betreiber kritischer Infrastrukturen aus den Sektoren Energie, Telekommunikation, Wasser, Ernährung und Transport.

Die Umsetzung der EU-Richtlinie in nationales Recht verpflichtet
die betroffenen Unternehmen unter anderem dazu, ein Risikomanagementsystem und ein Business Continuity Management umzusetzen, einschließlich technischer ­Sicherheitsvorkehrungen wie Kryptografie, Verschlüsselung und Multi-Faktor-Authentifizierung. Außerdem müssen sie zahlreiche Nachweise zur internen IT-Sicherheit erbringen und ihre Geschäftsleitung schulen. Für Betreiber kritischer ­Anlagen gibt es noch zusätzliche Anforderungen.

Zudem sind alle betroffenen Unternehmen künftig verpflichtet, „erhebliche Sicherheitsvorfälle“ innerhalb von 24 Stunden dem BSI sowie dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu melden. Neu ist auch, dass die Geschäftsleitung für Vorfälle haftet, wenn sie nicht alle Pflichten aus dem Gesetz umgesetzt hat.

Zusätzlich zu den Änderungen durch das NIS2UmsuCG sind ­weitere Rechtsverordnungen geplant. Diese sollen unter anderem Regelungen zu Sicherheitszerti­fikaten und deren Anerkennung, IT-Sicherheitskennzeichen, Zertifizierungspflichten für bestimmte Produkte, Dienste oder Prozesse sowie die Definition von kritischen Dienstleistungen und Anlagen enthalten.

Auch eine Durchführungsverordnung der EU zu Cybersicherheitsrisikomanagement und Berichtspflichten für digitale Infrastrukturen und Anbieter wird erwartet, um grenzüberschreitend tätige Betreiber zu berücksichtigen.

Es ist entscheidend, dass die Wirtschaft sehr bald Klarheit über das nationale Umsetzungsgesetz der NIS-2-Richtlinie erhält, um shnell planen zu können. Dabei sollte der Fokus auf einer ­bürokratiearmen Umsetzung sowie auf umfassender Unterstützung für Unternehmen liegen.

Für die Betriebe ist es zudem wichtig, dass die neuen Sicherheitsstandards auch auf die öffentliche Verwaltung angewendet werden – auf allen Ebenen. Denn deren reibungslose Funktion ist für die Wirtschaft unverzichtbar und darf nicht durch Cybersicherheitsvorfälle gefährdet werden.

Die alleinige Umsetzung der NIS-2-Richtlinie reicht ohnehin nicht aus, um Unternehmen in Deutschland vor Cyberangriffen zu ­schützen: Ohne eine enge Zusammenarbeit zwischen Sicherheitsbehörden, europäischen und nationalen Institutionen sowie den Betrieben wird das nicht gelingen.