NIS-2 Zusammenfassung: Das kommt ab 2024 auf Dein Unternehmen zu

NIS-2-Richtlinie

Bildnachweis: Tierney/stock.adobe.com

Die Cybersicherheit kritischer Infrastrukturen wurde EU-weit über mehrere Richtlinien neu definiert, allem voran die NIS-2-Richtlinie. In Oktober 2024 müssen die neuen Regelungen in nationales Recht umgesetzt worden sein.

Die NIS-2-Richtlinie stellt Mindeststandards für die Informationssicherheit und Resillienz von betroffenen Unternehmen auf. Dabei sind Risikomanagementmaßnahmen, Meldepflichten und Registrierungspflichten zu erfüllen.

Die Inhalte des Beitrags beziehen sich auf ein Diskussionspapier zur deutschen Umsetzung der NIS-2-Richtlinie aus September 2023. Daher sind noch nicht alle Themen abschließend zu betrachten.

Was durch NIS-2 nun genau auf Dein Unternehmen zukommt, erfährst Du in diesem Beitrag.

Solltest Du noch nicht wissen, ob Du von der Neufassung der NIS betroffen bist, dann erfährst Du hier die wie Du Deine eigene Betroffenheit anhand des Diskussionspapiers überprüfen kannst. Dabei spielen vor allem Unternehmensgröße und der Sektor eine wichtige Rolle.

Gesetzliche Einordnung der NIS-2 Richtlinie

Richtlinien und Ziele der EU

Grundlage für die neuen Cybersicherheitsstandards sind die EU Richtlinien NIS-2 (EU 2022/2555) und die EU RCE (EU 2022/2557), auch CER Richtlinie genannt.

Die NIS-2-Richtlinie hat das Ziel, ein einheitlich hohes gemeinsames Niveau der Informationssicherheit in der Union im Bereich der kritischen Infrastrukturen zu gewährleisten.

Die CER-Richtlinie zielt darauf ab, die Resilienz wesentlicher KRITIS-Unternehmen zu verbessern. Dadurch sollen die Auswirkungen von disruptiven Störungen bei KRITIS-Betreibern auf die Versorgung minimiert werden.

Dabei sollen nicht nur Cyberangriffe, sondern alle natürlichen (z.B. Naturkatastrophen oder Klimawandel) und anthropogenen (z.B. Einbrüche, Unfälle) Störungen berücksichtigt werden.

Beide Richtlinien sind im Dezember 2022 veröffentlicht worden. Die Umsetzung in nationales Recht muss bis Oktober 2024 erfolgen.

Deutsche Umsetzung der Richtlinie

Die nationale Umsetzung der NIS-2 soll mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland erfolgen. Hierzu liegt derzeit ein Referentenentwurf (Stand: 03.07.2023) und ein Diskussionspapier (Stand: 27.09.2023) vor.

Das NIS2UmsuCG ist ein Artikelgesetz mit Auswirkungen auf zahlreiche Gesetze. Der größte Teil des NIS2UmsuCG bezieht sich auf das BSI-Gesetz (BSIG).

Die Umsetzung der CER-Richtlinie soll über das KRITIS-Dachgesetz (KRITIS-DachG) in die nationale Gesetzgebung integriert werden. Derzeit liegt ein Referentenentwurf vor (Stand: 25.07.2023). Die Festlegung, welche Unternehmen nach dem KRITIS-DachG handeln müssen, erfolgt über die KRITIS-Rechtsverordnung (BSI-KritisV).

Im weiteren Verlauf beziehen wir uns hauptsächlich auf das Diskussionspapier der NIS-2-Richtlinie. Es enthält die aktuellste Fassung für wirtschaftsbezogene Regelungen der NIS-2-Richtlinie in Deutschland.

Von NIS-2 betroffene Unternehmen

Das Diskussionspapier unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Die Definition findest Du in Artikel 1 § 28 des Papiers.

Die Zuordnung zu einer der beiden Kategorien erfolgt im Wesentlichen nach der Unternehmensgröße und dem Sektor, in dem das Unternehmen tätig ist.

Greifen diese Kriterien nicht, gibt es weitere, mit denen Du Dein Unternehmen als besonders wichtig oder wichtig qualifizieren kannst.

Einordnung nach Unternehmensgröße

Kriterien Besonders wichtige Einrichtungen Wichtige Einrichtungen
Anzahl der Mitarbeiter >= 250 oder >= 50 und
Jahresumsatz in Euro > 50 Millionen oder > 10 Millionen und
Jahresbilanzsumme in Euro > 43 Millionen > 10 Millionen
Tabelle 1: Größenkriterium für besonders wichtige Einrichtungen und wichtige Einrichtungen

Die Größenkriterien kommen Dir bestimmt bekannt vor. Sie entsprechen der KMU-Definition der Europäischen Kommission 2003/361/EG.

Einordnung nach Sektoren

Das Größenkriterium allein reicht nicht aus, um als Besonders wichtige Einrichtung oder Wichtige Einrichtung qualifiziert zu werden.

Ist Dein Unternehmen der Größe nach eine Wichtige Einrichtung, dann muss es zusätzlich einem der unten aufgeführten Sektoren oder Teilsektoren angehören.

Fällt Dein Unternehmen der Größe nach unter die Besonders wichtigen Einrichtungen, muss es zusätzlich einem Sektor mit hoher Kritikalität angehören, um zu den betroffenen Unternehmen zu zählen.

Sektoren mit hoher Kritikalität

Besonders wichtige Einrichtungen gehören einen dieser Sektoren oder Teilsektoren an.

Sektoren Teilsektoren
Energie Stromversorgung
Fernwärme- und Kälteversorgung
Kraftstoff- und Heizölversorgung
Gasversorgung
Transport und Verkehr Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr
Finanz- und Versicherungswesen Bankwesen
Finanzmarktinfrastruktur
Gesundheit
Wasser und Abwasser Trinkwasserversorung
Abwasserversorgung
Informationstechnik und Telekommuikation
Weltraum
Tabelle 2: Sektoren mit hoher Kritikalität (Diskussionspapier Bearbeitungsstand: 27.09.2023)

Zu jedem Sektor oder Teilsektor werden die zugehörigen Einrichtungsarten weiter beschrieben. Du findest die ausführliche Darstellung in Artikel 1, Anlage 1 des Diskussionspapiers zum NIS2UmsuG.

Sonstige kritische Sektoren

Wichtige Einrichtungen gehören den Sektoren mit hoher Kritikalität oder den sonstigen kritischen Sektoren an.

Sektoren Teilsektoren
Transport und Verkehr Post- und Kurierdienste
Siedlungsabfallentsorgung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln Herstellung von Medizinprodukten und In-vitro-Diagnostika
Herstellung von Datenverarbeitungsgeräten,
elektronischen und optischen Erzeugnissen
Maschinenbau
Herstellung von Kraftwagen und Kraftwagenteilen
Sonstiger Fahrzeugbau
Verarbeitendes Gewerbe / Herstellung von Waren
Anbieter digitaler Dienste
Forschung
Tabelle 3: Sonstige kritische Sektoren (Diskussionspapier Bearbeitungsstand: 27.09.2023)

Auch hier werden die zugehörigen Einrichtungsarten weiter beschrieben. Die ausführliche Darstellung findest Du in Artikel 1, Anlage 2 des Referentenentwurfs zum NIS2UmsuG.

Einordnung nach weiteren Kriterien

Treffen diese Kriterien auf Dein Unternehmen nicht zu, gibt es weitere Kriterien, nach denen Du prüfen kannst, ob Dein Unternehmen betroffen ist.

Kriterien Besonders wichtige Einrichtung Wichtige Einrichtung
Qualifizierter Vertrauensdiensteanbieter
Vertrauensdiensteanbieter
Top Level Domain Name Registries
DNS-Diensteanbieter
Anbieter von Telekommunikationsdiensten wenn Größenkriterium der wichtigen Einrichtungen erfüllt (s.o)
Anbieter von öffentlich zugänglichen Telekommunikationsnetzen wenn Größenkriterium der wichtigen Einrichtungen erfüllt (s.o)
Betreiber kritischer Anlagen
Einrichtung, die dem Teilsektor Zentralregierung angehört
Tabelle 4: Sonderregelungen (Diskussionspapier Bearbeitungsstand: 27.09.2023)

Betreiber kritischer Anlagen

Betreiber kritischer Anlagen fallen ebenfalls unter die Besonders wichtigen Einrichtungen. Das zeigt auch die obige Tabelle 4.

Die Festlegung, was eine kritische Anlage ist, wird nach Artikel 2 des Dikussionpapiers zum NIS2UmsuCG durch das Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen, besser bekannt als KRITIS-Dachgesetz (KRITIS-DachG), umgesetzt.

Es handelt sich dabei um Anlagen, die bereits heute nach der BSI KRITIS Verordnung (BSI-KRITIS-V) zur kritischen Infrastruktur zählen.

Die BSI-KRITIS-V wurde in den letzten Jahren mehrfach angepasst. Im Jahr 2024 werden weitere Anpassungen erwartet.

Ausnahmen von der Regel für Finanzunternehmen

Finanzunternehmen können aus der Definition der Besonders wichtigen Einrichtungen und Wichtigen Einrichtungen ausgenommen werden, wenn für sie Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten.

Pflichten der betroffenen Unternehmen

Die Unterscheidung zwischen Besonders wichtigen Einrichtungen und Wichtigen Einrichtungen wirkt sich kaum auf die zu ergreifenden Maßnahmen aus. Der größte Unterschied liegt in der staatlichen Aufsicht und den Sanktionsmöglichkeiten.

Das Diskussionspapier zum NIS2UmsuG definiert verschiedene Pflichten für die betroffenen Unternehmen:

  • Risikomanagementmaßnahmen §30,
  • Meldepflichten §32, Unterrichtungspflichten §35 und Rückmeldungen BSI §36,
  • Registrierung §33 und §34,
  • Pflichten der Geschäftsführung §38.

Für Betreiber kritischer Anlagen ergeben sich weitere Pflichten:

  • besondere Maßnahmen (Systeme zur Angriffserkennung SzA) §31 und
  • Nachweispflichten §39.

Auch im Bereich der Maßnahmen gibt es Ausnahmen von der Regel. Darauf gehen wir nachfolgend ein.

Ausnahmeregelungen für betroffene Unternehmen

Die §§ 30 und 31 des Papiers gelten ggf. nicht für betroffene Unternehmen, die

  • öffentliche Telekommunikationsnetze oder -dienste betreiben,
  • Energieversorgungsnetze oder Energieanlagen betreiben,
  • Telematikinfrastruktur oder zugehörige Dienste betreiben.

Für sie gelten stattdessen die Regelungen der speziellen Rechtsnormen des Telekommunikationsgesetzes, des Energiewirtschaftsgesetzes und des Bundessozialgesetzbuches.

Detailliertere Ausführungen zu den Ausnahmeregelungen findest Du in Artikel 1 § 28 Abs. (4).

Sanktionen bei Pflichtverletzung

Ein Verstoß gegen die Regelungen des NIS2UmsuCG wird gemäß dem Diskussionspapier als Ordnungswidrigkeit geahndet. Der Katalog der Bußgeldtatbestände ist dabei sehr umfangreich.

Je nach Einordung als Wichtige Einrichtung, Besonders wichtige Einrichtung oder Betreiber kritischer Anlagen sind Strafen von bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes vorgesehen.

Damit sind die Bußgelder und somit Sanktionen erheblich.

Anforderungen an das Informationssicherheitsniveau

Es gibt derzeit keine konkreten Angaben zum Anwendungsbereich der Maßnahmen innerhalb des betroffenen Unternehmens.

Daher solltest Du davon ausgehen, dass das gesamte Unternehmen bei der Umsetzung der Maßnahmen zu berücksichtigen ist.

Sollten lediglich Unternehmensteile zu den Sektoren gehören, wäre unserer Ansicht nach zu untersuchen, ob eine Eingrenzung der Maßnahmen auf diese Teile sinnvoll ist.

Mindestanforderungen

Risikomanagementmaßnahmen

In § 30 des Dikussionspapiers sind 10 verpflichtende Maßnahmen beschrieben, die von allen betroffenen Unternehmen umgesetzt werden müssen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Die 10 Punkte bilden die Grundlagen eines ISMS ab. Die Themen sind beispielsweise in den Anforderungen der DIN ISO/IEC 27001 oder den Bausteinen des IT-Grundschutz Kompendiums enthalten.

Für die Verwendung von IKT-Komponenten muss zukünftig eine Cybersicherheitszertifizierung vorliegen. Näheres erfährst Du in §30 Absatz 6 des Papiers.

Meldepflichten, Unterrichtungspflichten und Rückmeldungen

Die Meldepflichten (§ 32) umfassen die unverzügliche Meldung erheblicher Sicherheitsvorfälle an das BSI.

Erhebliche Sicherheitsvorfälle sind Störungen, die zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit des betroffenen Unternehmens führen können.

Das BSI geht von einer erheblichen Beeinträchtigung aus, wenn

  • schwerwiegende Betriebsstörungen der Dienste vorliegt oder,
  • finanzielle Verluste für die betreffende Einrichtung verursacht wurden oder werden können oder,
  • Andere durch erhebliche Schäden beeinträchtigt wurden oder werden können.

Eine konkrete Orientierung, z.B. ab welcher Anzahl betroffener Kunden eine erhebliche Beeinträchtigung vorliegt, gibt es jedoch nicht.

Wurde eine Erstmeldung innerhalb von 24 Stunden vorgenommen, folgt eine bestätigende Meldung innerhalb von 72 Stunden nach Kenntniserlangung, eine Fortschrittsmeldung spätestens einen Monat nach der Erstmeldung und schließlich eine Abschlussmeldung.

Registrierungspflicht

Für betroffene Unternehmen gilt eine Registrierungspflicht. Wird diese Pflicht von den betroffenen Unternehmen nicht erfüllt, kann das BSI die Registrierung vornehmen.

Die Registrierung ist innerhalb der ersten drei Monate, nachdem ein Unternehmen die Kriterien erfüllt, vorzunehmen.

Pflichten der Geschäftsführung

Nach §38 des Diskussionspapiers hat die Geschäftsführung die Maßnahmen des §30 umzusetzen und die Umsetzung zu überwachen. Dabei ist die Geschäftsführung verpflichtet, Schulungen nachzuweisen, die eine Kontrolle ermöglichen. Bei der Umsetzung kann sich die Geschäftsführung eines Dritten bedienen.

Bei Pflichtverletzungen haftet der Geschäftsführer im Innenverhältnis (“Binnenhaftung”).

Zusätzliche Anforderungen für Betreiber kritischer Anlagen

Besondere Maßnahmen

Für Betreiber kritischer Anlagen, zu denen auch die großen Telekommunikationsanbieter und Energieversorger gehören, fordert §31 ergänzend den Einsatz von Systemen zur Angriffserkennung, die Anzeichen von Angriffen erkennen und alarmieren.

Organisatorisch wird zudem gefordert, auf entsprechende Alarme angemessen zu reagieren. In diesen spezifischen Normen sind in der Regel höhere Standards einzuhalten, wie z.B. der IT-Sicherheitskatalog der Energieversorger.

Nachweispflichten

Die Betreiber kritischer Anlagen sind verpflichtet, die Umsetzung der Maßnahmen nach §§ 30 und 31 gegenüber dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nachzuweisen. Die Nachweise sind 3 Jahre nach Inkrafttreten des Gesetzes im Jahr 2027 und danach alle 3 Jahre zu erbringen.

Zur genauen Ausgestaltung der Prüfung kann das Bundesamt entsprechende Vorgaben machen.

Das BSI hat darüber hinaus bei allen Unternehmen das Recht, Informationen zur Umsetzung der Maßnahmen einzufordern und Prüfungen bei den Betreibern kritischer Anlagen durchzuführen.

Fazit

Die NIS-2-Richtlinie mit der NIS2UmsuCG wird viele Unternehmen dazu zwingen, ihre IT-Sicherheitsprozesse insbesondere im Hinblick auf das Risikomanagement zu überarbeiten. Ebenso muss die Dokumentation der Managementprozesse, des Vorfallmanagements, des Business Continuity Managements und der Notfallplanung angepasst werden.

Auch wenn nach derzeitigem Stand nur Betreiber kritischer Anlagen eine Zertifizierung für ein Informationssicherheitsmanagementsystem (ISMS) vorweisen müssen, werden angesichts der hohen Bußgelder alle betroffenen Unternehmen einen systematischen Informationssicherheitsprozess einführen müssen.

Hat Dein Unternehmen noch kein ISMS eingeführt, sollte der Prozess zeitnah beginnen. Die Einführung eines Informationssicherheitsmanagementsystems kann je nach verfügbaren Ressourcen und bereits bestehenden Maßnahmen bis zu zwei Jahre andauern.

Die große Herausforderung dabei wird sein, den Bedarf an ISMS-Expertise zu decken. Bereits zum aktuellen Zeitpunkt fehlt in diesem Bereich das Fachpersonal.

Bernd Hampe

ISMS-Praktiker

Bernd Hampe ist OT-Verantwortlicher in einem KRITIS Unternehmen, Informationssicherheitsbeauftragter, Risikoverantwortlicher, Administrator und Anwender. Durch diese vielen Rollen konnte er das ISMS in vielen Facetten erleben. Seine Erfahrungen teilt er gern – in Gesprächen und in der ISMS-Softwareentwicklung.

Weiterführende Informationen