NIS2 - Neue Anforderungen und Herausforderungen:

Die NIS2-Richtlinie ist ein EU-weites Gesetz, um Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu erreichen. Unternehmen, die unter die NIS2-Richtlinie fallen, müssen weitreichende Anforderungen zur Cybersicherheit umsetzen.

NIS2 und NIS2UmsuCG

Die Richtlinie trat am 16.1.2023 in Kraft und modernisiert den bestehenden Rechtsrahmen mit dem Ziel, die Gesellschaft auch bei zunehmender Digitalisierung vor Risiken zu schützen. Dazu werden neue Vorgaben zur Umsetzung von Sicherheitsmaßnahmen für Unternehmen und Institutionen erlassen.

20240202%20Euro-Recht%20dreamstime_s_21313871

Die EU-Mitgliedstaaten müssen die Vorgaben der NIS2-Richtlinie bis Oktober 2024 in nationales Recht überführen. Zu diesem Zweck wird noch in diesem Jahr das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) inkraft treten.

Bisher wirkte im Kontext der Informationssicherheit in Deutschland die Gesetzgebung insbesondere auf größere Unternehmen und Institutionen. Mit dem kommenden NIS-2UmsuCG wird nunmehr auch die breite Masse der Unternehmen und Organisationen in Europa und somit auch in Deutschland betroffen sein.

Bei NIS2UmsuCG handelt es sich um ein so genanntes Änderungsgesetz, dass bestehende Gesetze anpassen wird. Besonders interessant sind dabei die Änderungen des BSI-Gesetzes (BSIG) sowie die Schaffung eines neuen KRITIS-Dachgesetzes.

NIS-2UmsuCG wird die deutschen Regulierungen im Kontext der Informationssicherheit, die bisher vornehmlich sogenannte "Betreiber kritischer Infrastrukturen" kurz KRITIS-Betreiber betraf, massiv verändert. Zukünftig werden auch "besonders wichtige Einrichtungen" und "wichtige Einrichtungen" definiert.

20240223%20Ma%CC%88nnchen%20mit%20Fragezeichen%20dreamstime_s_25200307

Wer wird betroffen sein?

Bei besonders wichtigen Einrichtungen handelt es sich um

  1. Großunternehmen, in den Sektoren
    • Energie
    • Transport und Verkehr
    • Finanz- und Versicherungswesen
    • Gesundheitswesen
    • Trinkwasser
    • Abwasser
    • Informationstechnik und Telekommunikation
    • Verwaltung von IKT-Diensten (Business-to-Business) oder
    • Weltraum tätig ist, oder
  2. DNS-Diensteanbieter jeweils unabhängig von der Unternehmensgröße oder
  3. ein mittleres Unternehmen, das Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen ist, oder
  4. ein Betreiber kritischer Anlagen oder
  5. eine Einrichtung, die gemäß einer Rechtsverordnung der öffentlichen Verwaltung angehört.

Wichtige Einrichtungen sind

  1. mittlere Unternehmen in den Sektoren
    • Energie
    • Transport und Verkehr
    • Finanz- und Versicherungswesen
    • Gesundheitswesen
    • Trinkwasser
    • Abwasser
    • Informationstechnik und Telekommunikation
    • Verwaltung von IKT-Diensten (Business-to-Business) oder
    • Weltraum
  2. mittlere Unternehmen oder Großunternehmen in den Sektoren
    • Logistik
    • Siedlungsabfallentsorgung
    • Produktion
    • Chemie
    • Ernährung
    • verarbeitendes Gewerbe
    • Anbieter digitaler Dienste oder
    • Forschung
  3. Vertrauensdiensteanbieter
  4. Rüstungshersteller oder Hersteller von IT-Sicherheitstechnik zur Verarbeitung staatlicher Verschlusssachen oder wesentliche Komponenten davon
  5. Betreiber im Sinne der Störfall-Verordnung

Dabei werden Großunternehmen definiert als ein Unternehmen oder eine rechtlich unselbständige Gebietskörperschaft, das oder die

  • mindestens 250 Mitarbeiter beschäftigt, ode
  • einen Jahresumsatz von mindestens 50 Millionen Euro und zudem eine Jahresbilanzsumme von mindestens 43 Millionen Euro aufweist.

Ein mittleres Unternehmen wird definiert als ein Unternehmen oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, das oder die

  • mindestens 50 und höchstens 249 Mitarbeiter beschäftigt und zudem einen Jahresumsatz von weniger als 50 Millionen Euro oder eine Jahresbilanzsumme von weniger als 43 Millionen Euro aufweist, oder
  • weniger als 50 Mitarbeiter beschäftigt und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mindestens 10 Millionen Euro und einen Jahresumsatz von höchstens 50 Millionen Euro sowie eine Bilanzsumme von höchstens 43 Millionen Euro aufweist.

Weitere Details dazu werden noch in einer Rechtsverordnung geregelt werden.

20240223%20Checklist%20dreamstime_xs_11281139

Was ist zu tun?

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten.

Konkret bedeutet dies die Umsetzung von weitreichenden Maßnahmen zur Informationssicherheit und ein zugehöriges Risikomanagement.

Dabei sollen die Maßnahmen den Stand der Technik einhalten. Einschlägige europäischen und internationalen Normen, wie z.B. der ISO/IEC 27001 sollen berücksichtigt werden.

Die Maßnahmen müssen dabei mindestens umfassen:

  1. Erstellung von Konzepten in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Dabei ist es wichtig, dass im Sinne der einschlägigen Normen die gewählten Vorgehensweisen und Prozesse dokumentiert werden müssen. Ferner muss die Wirksamkeit der Maßnahmen überwacht werden. Falls Maßnahmen nicht wirksam sind, müssen sie angepasst werden. Das Sicherheitsniveau muss kontinuierlich aufrechterhalten und bei Bedarf angepasst werden.

Registrier-, Melde- und Nachweis- und Unterrichtspflichten

20240223%20Interview%20dreamstime_xs_13842173

Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen sich spätestens drei Monate nachdem sie erstmals oder erneut in eine dieser beiden Kategorien fallen, beim Bundesamt für Sicherheit in der Informationstechnik registrieren.

Dabei ist zu beachten, dass es keine explizite Aufforderung einer öffentlichen Stelle zur Registrierung geben wird!

Ferner müssen sie zukünftig Sicherheitsvorfälle an das BSI melden:

  1. eine frühe Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall
  2. ggf. eine Bestätigung und erste Bewertung innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall einschließlich einer Beschreibung der Auswirkungen

Besonders wichtige Einrichtungen werden die Umsetzung der Informationssicherheitsmaßnahmen im obigen Sinne gegenüber dem BSI alle zwei Jahre nachweisen müssen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Einrichtungen übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel.

Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich darüber zu unterrichten. Dies kann auch durch eine Veröffentlichung im Internet einschließen.

20240223%20Haftung%20dreamstime_xs_281921165

Pflichten und Haftung für Vorstände und Geschäftsführer

Im NIS2UmsuCG werden explizit Pflichten für Geschäftsleitungen (Vorstände, Geschäftsführer, etc.) festgelegt und in diesem Kontext die Haftung der Geschäftsleitungen erweitert:

  • Geschäftsleitungen müssen Maßnahmen, die aus Risikoanalysen zur Cybersicherheit resultieren, prüfen, ggf. billigen und deren Umsetzung überwachen (analog zur Norm ISO/IEC 27001 und anderer Standards zur Informationssicherheit).
  • Geschäftsleitungen haften, falls sie diese Pflicht verletzen. Es wird in dem Gesetz sogar festgelegt, dass ein Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitungen in diesem Kontext unwirksam ist!
  • Auch die regelmäßige Teilnahme der Geschäftsleitungen und der Mitarbeiter an Schulungs- bzw. Fortbildungsmaßnahmen im Kontext der Informationssicherheit wird in dem Gesetz verpflichtend geregelt.

20240223%20Rote%20Karte%20dreamstime_xs_10947986

Haftung und Bußgelder

Bei Verstößen gegen die neuen Vorschriften werden hohe Bußgelder ausgelobt: Abhängig vom jeweiligen Verstoß können Bußgelder zwischen 100.000 € bis zu 2 Millionen € anfallen. Betreiber wichtiger Einrichtungen können mit Bußgeldern in Höhe 7 Millionen € oder mit einem Höchstbetrag von mindestens 1,4 % des weltweiten Jahresumsatzes und Betreiber kritischer Anlagen oder eine besonders wichtige Einrichtung sogar mit bis zu 10 Millionen € oder mit einem Höchstbetrag von mindestens 2 % des weltweiten Jahresumsatzes belangt werden.

Espresso

Einladung zu einem NIS2-Espresso-Gespräch

Ihr Unternehmen fällt möglicherweise unter die NIS2-Richtlinie und Sie möchten sich gerne zu dem Thema unverbindlich mit einem unserer Experten austauschen? Dann laden wir Sie zu einem Espresso-Gespräch telefonisch oder per Videokonferenz ein.