Bildnachweis: Tierney/stock.adobe.com
Neue Mindeststandards für die Informationssicherheit
Die Cybersicherheit kritischer Infrastrukturen wurde EU-weit über mehrere Richtlinien neu definiert, allem voran die NIS-2-Richtlinie. In Oktober 2024 müssen die neuen Regelungen in nationales Recht umgesetzt worden sein.
Die NIS-2-Richtlinie stellt Mindeststandards für die Informationssicherheit und Resillienz von betroffenen Unternehmen auf. Dabei sind Risikomanagementmaßnahmen, Meldepflichten und Registrierungspflichten zu erfüllen.
Die Inhalte des Beitrags beziehen sich auf ein Diskussionspapier zur deutschen Umsetzung der NIS-2-Richtlinie aus September 2023. Daher sind noch nicht alle Themen abschließend zu betrachten.
Was durch NIS-2 nun genau auf Dein Unternehmen zukommt, erfährst Du in diesem Beitrag.
Solltest Du noch nicht wissen, ob Du von der Neufassung der NIS betroffen bist, dann erfährst Du hier wie Du Deine eigene Betroffenheit anhand des Diskussionspapiers überprüfen kannst. Dabei spielen vor allem Unternehmensgröße und der Sektor eine wichtige Rolle.
Gesetzliche Einordnung der NIS-2 Richtlinie
Richtlinien und Ziele der EU
Grundlage für die neuen Cybersicherheitsstandards sind die EU Richtlinien NIS-2 (EU 2022/2555) und die EU RCE (EU 2022/2557), auch CER Richtlinie genannt.
Die NIS-2-Richtlinie hat das Ziel, ein einheitlich hohes gemeinsames Niveau der Informationssicherheit in der Union im Bereich der kritischen Infrastrukturen zu gewährleisten.
Die CER-Richtlinie zielt darauf ab, die Resilienz wesentlicher KRITIS-Unternehmen zu verbessern. Dadurch sollen die Auswirkungen von disruptiven Störungen bei KRITIS-Betreibern auf die Versorgung minimiert werden.
Dabei sollen nicht nur Cyberangriffe, sondern alle natürlichen (z.B. Naturkatastrophen oder Klimawandel) und anthropogenen (z.B. Einbrüche, Unfälle) Störungen berücksichtigt werden.
Beide Richtlinien sind im Dezember 2022 veröffentlicht worden. Die Umsetzung in nationales Recht muss bis Oktober 2024 erfolgen.
Deutsche Umsetzung der Richtlinie
Die nationale Umsetzung der NIS-2 soll mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland erfolgen. Hierzu liegt derzeit ein Referentenentwurf (Stand: 03.07.2023) und ein Diskussionspapier (Stand: 27.09.2023) vor.
Das NIS2UmsuCG ist ein Artikelgesetz mit Auswirkungen auf zahlreiche Gesetze. Der größte Teil des NIS2UmsuCG bezieht sich auf das BSI-Gesetz (BSIG).
Die Umsetzung der CER-Richtlinie soll über das KRITIS-Dachgesetz (KRITIS-DachG) in die nationale Gesetzgebung integriert werden. Derzeit liegt ein Referentenentwurf vor (Stand: 25.07.2023). Die Festlegung, welche Unternehmen nach dem KRITIS-DachG handeln müssen, erfolgt über die KRITIS-Rechtsverordnung (BSI-KritisV).
Im weiteren Verlauf beziehen wir uns hauptsächlich auf das Diskussionspapier der NIS-2-Richtlinie. Es enthält die aktuellste Fassung für wirtschaftsbezogene Regelungen der NIS-2-Richtlinie in Deutschland.
TIPP
Lade Dir das Diskussionspapier herunter, um Details vertiefen zu können:
Diskussionspapier zur Umsetzung der NIS-2-Richtlinie (27.09.2023)
Von NIS-2 betroffene Unternehmen
Das Diskussionspapier unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Die Definition findest Du in Artikel 1 § 28 des Papiers.
Die Zuordnung zu einer der beiden Kategorien erfolgt im Wesentlichen nach der Unternehmensgröße und dem Sektor, in dem das Unternehmen tätig ist.
Greifen diese Kriterien nicht, gibt es weitere, mit denen Du Dein Unternehmen als besonders wichtig oder wichtig qualifizieren kannst.
Einordnung nach Unternehmensgröße
| Kriterien | Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Anzahl der Mitarbeiter | >= 250 oder | >= 50 und |
| Jahresumsatz in Euro | > 50 Millionen oder | > 10 Millionen und |
| Jahresbilanzsumme in Euro | > 43 Millionen | > 10 Millionen |
Die Größenkriterien kommen Dir bestimmt bekannt vor. Sie entsprechen der KMU-Definition der Europäischen Kommission 2003/361/EG.
Hinweis
Die Bestimmung der Mitarbeiterzahlen richtet sich nach den Geschäftstätigkeiten, die auf einen oder mehreren Sektoren zutreffen. Mitarbeitende, die Querschnittsaufgaben ausführen, werden anteilig erfasst. Weiteres findest Du in der Begründung zum Artikel 1 § 28 Abs. (3) des Diskussionspapiers.
Einordnung nach Sektoren
Das Größenkriterium allein reicht nicht aus, um als Besonders wichtige Einrichtung oder Wichtige Einrichtung qualifiziert zu werden.
Ist Dein Unternehmen der Größe nach eine Wichtige Einrichtung, dann muss es zusätzlich einem der unten aufgeführten Sektoren oder Teilsektoren angehören.
Fällt Dein Unternehmen der Größe nach unter die Besonders wichtigen Einrichtungen, muss es zusätzlich einem Sektor mit hoher Kritikalität angehören, um zu den betroffenen Unternehmen zu zählen.
Sektoren mit hoher Kritikalität
Besonders wichtige Einrichtungen gehören einen dieser Sektoren oder Teilsektoren an.
| Sektoren | Teilsektoren |
|---|---|
| Energie | Stromversorgung Fernwärme- und Kälteversorgung Kraftstoff- und Heizölversorgung Gasversorgung |
| Transport und Verkehr | Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
| Finanz- und Versicherungswesen | Bankwesen Finanzmarktinfrastruktur |
| Gesundheit | |
| Wasser und Abwasser | Trinkwasserversorung Abwasserversorgung |
| Informationstechnik und Telekommuikation | |
| Weltraum |
Zu jedem Sektor oder Teilsektor werden die zugehörigen Einrichtungsarten weiter beschrieben. Du findest die ausführliche Darstellung in Artikel 1, Anlage 1 des Diskussionspapiers zum NIS2UmsuG.
Sonstige kritische Sektoren
Wichtige Einrichtungen gehören den Sektoren mit hoher Kritikalität oder den sonstigen kritischen Sektoren an.
| Sektoren | Teilsektoren |
|---|---|
| Transport und Verkehr | Post- und Kurierdienste |
| Siedlungsabfallentsorgung | |
| Produktion, Herstellung und Handel mit chemischen Stoffen | |
| Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Herstellung von Medizinprodukten und In-vitro-Diagnostika Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen Maschinenbau Herstellung von Kraftwagen und Kraftwagenteilen Sonstiger Fahrzeugbau |
| Verarbeitendes Gewerbe / Herstellung von Waren | |
| Anbieter digitaler Dienste | |
| Forschung |
Auch hier werden die zugehörigen Einrichtungsarten weiter beschrieben. Die ausführliche Darstellung findest Du in Artikel 1, Anlage 2 des Referentenentwurfs zum NIS2UmsuG.
Einordnung nach weiteren Kriterien
Treffen diese Kriterien auf Dein Unternehmen nicht zu, gibt es weitere Kriterien, nach denen Du prüfen kannst, ob Dein Unternehmen betroffen ist.
| Kriterien | Besonders wichtige Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Qualifizierter Vertrauensdiensteanbieter | ✔ | |
| Vertrauensdiensteanbieter | ✔ | |
| Top Level Domain Name Registries | ✔ | |
| DNS-Diensteanbieter | ✔ | |
| Anbieter von Telekommunikationsdiensten | wenn Größenkriterium der wichtigen Einrichtungen erfüllt (s.o) | |
| Anbieter von öffentlich zugänglichen Telekommunikationsnetzen | wenn Größenkriterium der wichtigen Einrichtungen erfüllt (s.o) | |
| Betreiber kritischer Anlagen | ✔ | |
| Einrichtung, die dem Teilsektor Zentralregierung angehört | ✔ |
Betreiber kritischer Anlagen
Betreiber kritischer Anlagen fallen ebenfalls unter die Besonders wichtigen Einrichtungen. Das zeigt auch die obige Tabelle 4.
Die Festlegung, was eine kritische Anlage ist, wird nach Artikel 2 des Dikussionpapiers zum NIS2UmsuCG durch das Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen, besser bekannt als KRITIS-Dachgesetz (KRITIS-DachG), umgesetzt.
Es handelt sich dabei um Anlagen, die bereits heute nach der BSI KRITIS Verordnung (BSI-KRITIS-V) zur kritischen Infrastruktur zählen.
Die BSI-KRITIS-V wurde in den letzten Jahren mehrfach angepasst. Im Jahr 2024 werden weitere Anpassungen erwartet.
Ausnahmen von der Regel für Finanzunternehmen
Finanzunternehmen können aus der Definition der Besonders wichtigen Einrichtungen und Wichtigen Einrichtungen ausgenommen werden, wenn für sie Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten.
Pflichten der betroffenen Unternehmen
Die Unterscheidung zwischen Besonders wichtigen Einrichtungen und Wichtigen Einrichtungen wirkt sich kaum auf die zu ergreifenden Maßnahmen aus. Der größte Unterschied liegt in der staatlichen Aufsicht und den Sanktionsmöglichkeiten.
Das Diskussionspapier zum NIS2UmsuG definiert verschiedene Pflichten für die betroffenen Unternehmen:
- Risikomanagementmaßnahmen §30,
- Meldepflichten §32, Unterrichtungspflichten §35 und Rückmeldungen BSI §36,
- Registrierung §33 und §34,
- Pflichten der Geschäftsführung §38.
Für Betreiber kritischer Anlagen ergeben sich weitere Pflichten:
- besondere Maßnahmen (Systeme zur Angriffserkennung SzA) §31 und
- Nachweispflichten §39.
Auch im Bereich der Maßnahmen gibt es Ausnahmen von der Regel. Darauf gehen wir nachfolgend ein.
Ausnahmeregelungen für betroffene Unternehmen
Die §§ 30 und 31 des Papiers gelten ggf. nicht für betroffene Unternehmen, die
- öffentliche Telekommunikationsnetze oder -dienste betreiben,
- Energieversorgungsnetze oder Energieanlagen betreiben,
- Telematikinfrastruktur oder zugehörige Dienste betreiben.
Für sie gelten stattdessen die Regelungen der speziellen Rechtsnormen des Telekommunikationsgesetzes, des Energiewirtschaftsgesetzes und des Bundessozialgesetzbuches.
Detailliertere Ausführungen zu den Ausnahmeregelungen findest Du in Artikel 1 § 28 Abs. (4).
Sanktionen bei Pflichtverletzung
Ein Verstoß gegen die Regelungen des NIS2UmsuCG wird gemäß dem Diskussionspapier als Ordnungswidrigkeit geahndet. Der Katalog der Bußgeldtatbestände ist dabei sehr umfangreich.
Je nach Einordung als Wichtige Einrichtung, Besonders wichtige Einrichtung oder Betreiber kritischer Anlagen sind Strafen von bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes vorgesehen.
Damit sind die Bußgelder und somit Sanktionen erheblich.
Anforderungen an das Informationssicherheitsniveau
Es gibt derzeit keine konkreten Angaben zum Anwendungsbereich der Maßnahmen innerhalb des betroffenen Unternehmens.
Daher solltest Du davon ausgehen, dass das gesamte Unternehmen bei der Umsetzung der Maßnahmen zu berücksichtigen ist.
Sollten lediglich Unternehmensteile zu den Sektoren gehören, wäre unserer Ansicht nach zu untersuchen, ob eine Eingrenzung der Maßnahmen auf diese Teile sinnvoll ist.
Mindestanforderungen
Risikomanagementmaßnahmen
In § 30 des Dikussionspapiers sind 10 verpflichtende Maßnahmen beschrieben, die von allen betroffenen Unternehmen umgesetzt werden müssen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Die 10 Punkte bilden die Grundlagen eines ISMS ab. Die Themen sind beispielsweise in den Anforderungen der DIN ISO/IEC 27001 oder den Bausteinen des IT-Grundschutz Kompendiums enthalten.
Für die Verwendung von IKT-Komponenten muss zukünftig eine Cybersicherheitszertifizierung vorliegen. Näheres erfährst Du in §30 Absatz 6 des Papiers.
Meldepflichten, Unterrichtungspflichten und Rückmeldungen
Die Meldepflichten (§ 32) umfassen die unverzügliche Meldung erheblicher Sicherheitsvorfälle an das BSI.
Erhebliche Sicherheitsvorfälle sind Störungen, die zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit des betroffenen Unternehmens führen können.
Das BSI geht von einer erheblichen Beeinträchtigung aus, wenn
- schwerwiegende Betriebsstörungen der Dienste vorliegt oder,
- finanzielle Verluste für die betreffende Einrichtung verursacht wurden oder werden können oder,
- Andere durch erhebliche Schäden beeinträchtigt wurden oder werden können.
Eine konkrete Orientierung, z.B. ab welcher Anzahl betroffener Kunden eine erhebliche Beeinträchtigung vorliegt, gibt es jedoch nicht.
Wurde eine Erstmeldung innerhalb von 24 Stunden vorgenommen, folgt eine bestätigende Meldung innerhalb von 72 Stunden nach Kenntniserlangung, eine Fortschrittsmeldung spätestens einen Monat nach der Erstmeldung und schließlich eine Abschlussmeldung.
Registrierungspflicht
Für betroffene Unternehmen gilt eine Registrierungspflicht. Wird diese Pflicht von den betroffenen Unternehmen nicht erfüllt, kann das BSI die Registrierung vornehmen.
Die Registrierung ist innerhalb der ersten drei Monate, nachdem ein Unternehmen die Kriterien erfüllt, vorzunehmen.
Pflichten der Geschäftsführung
Nach §38 des Diskussionspapiers hat die Geschäftsführung die Maßnahmen des §30 umzusetzen und die Umsetzung zu überwachen. Dabei ist die Geschäftsführung verpflichtet, Schulungen nachzuweisen, die eine Kontrolle ermöglichen. Bei der Umsetzung kann sich die Geschäftsführung eines Dritten bedienen.
Bei Pflichtverletzungen haftet der Geschäftsführer im Innenverhältnis (“Binnenhaftung”).
Zusätzliche Anforderungen für Betreiber kritischer Anlagen
Besondere Maßnahmen
Für Betreiber kritischer Anlagen, zu denen auch die großen Telekommunikationsanbieter und Energieversorger gehören, fordert §31 ergänzend den Einsatz von Systemen zur Angriffserkennung, die Anzeichen von Angriffen erkennen und alarmieren.
Organisatorisch wird zudem gefordert, auf entsprechende Alarme angemessen zu reagieren. In diesen spezifischen Normen sind in der Regel höhere Standards einzuhalten, wie z.B. der IT-Sicherheitskatalog der Energieversorger.
Nachweispflichten
Die Betreiber kritischer Anlagen sind verpflichtet, die Umsetzung der Maßnahmen nach §§ 30 und 31 gegenüber dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nachzuweisen. Die Nachweise sind 3 Jahre nach Inkrafttreten des Gesetzes im Jahr 2027 und danach alle 3 Jahre zu erbringen.
Zur genauen Ausgestaltung der Prüfung kann das Bundesamt entsprechende Vorgaben machen.
Das BSI hat darüber hinaus bei allen Unternehmen das Recht, Informationen zur Umsetzung der Maßnahmen einzufordern und Prüfungen bei den Betreibern kritischer Anlagen durchzuführen.
Fazit
Die NIS-2-Richtlinie mit der NIS2UmsuCG wird viele Unternehmen dazu zwingen, ihre IT-Sicherheitsprozesse insbesondere im Hinblick auf das Risikomanagement zu überarbeiten. Ebenso muss die Dokumentation der Managementprozesse, des Vorfallmanagements, des Business Continuity Managements und der Notfallplanung angepasst werden.
Auch wenn nach derzeitigem Stand nur Betreiber kritischer Anlagen eine Zertifizierung für ein Informationssicherheitsmanagementsystem (ISMS) vorweisen müssen, werden angesichts der hohen Bußgelder alle betroffenen Unternehmen einen systematischen Informationssicherheitsprozess einführen müssen.
Hat Dein Unternehmen noch kein ISMS eingeführt, sollte der Prozess zeitnah beginnen. Die Einführung eines Informationssicherheitsmanagementsystems kann je nach verfügbaren Ressourcen und bereits bestehenden Maßnahmen bis zu zwei Jahre andauern.
Die große Herausforderung dabei wird sein, den Bedarf an ISMS-Expertise zu decken. Bereits zum aktuellen Zeitpunkt fehlt in diesem Bereich das Fachpersonal.
Bernd Hampe
ISMS-Praktiker
Bernd Hampe ist OT-Verantwortlicher in einem KRITIS Unternehmen, Informationssicherheitsbeauftragter, Risikoverantwortlicher, Administrator und Anwender. Durch diese vielen Rollen konnte er das ISMS in vielen Facetten erleben. Seine Erfahrungen teilt er gern – in Gesprächen und in der ISMS-Softwareentwicklung.
Weiterführende Informationen
- NIS Richtlinie (14.12.2022)
- Referentenentwurf NIS2 Umsetzungsgesetz (03.07.2023) <- Nicht mehr beim BMI verfügbar!
- Diskussionspapier zur Umsetzung der NIS-2-Richtlinie (27.09.2023)
- Werkstattgespräch zum Diskussionspapier NIS-2 (26.10.2023)
- CER Richtlinie (14.12.2022)
- Referentenentwurf CER-Richtlinie (25.07.2023) <- Nicht mehr beim BMI verfügbar!
- Referentenentwurf NIS2 Umsetzungsgesetz (24.06.2024) – Vergleichsfassung