Die NIS2-Richtlinie und ihre Umsetzung in Deutschland
NIS2-Richtlinie
Die 2. Richtlinie zur Netzwerk- und Informationssicherheit (NIS2-Richtlinie) ist ein zentraler Baustein der europäischen Cybersicherheitsstrategie und dient dazu, in bestimmten bedeutsamen Sektoren das Cybersicherheitsniveau zu erhöhen. Die betroffenen Unternehmen und Organisationen müssen umfangreiche Vorgaben zum Schutz ihrer Netzwerk- und IT-Infrastruktur umsetzen. Dazu gehört insbesondere die Umsetzung von Maßnahmen im Bereich des IT-Risikomanagements sowie die Einhaltung von gesetzlichen Meldepflichten.
Key Facts:
- Gegenstand und Ziel: Die NIS2-Richtlinieenthält weitreichende Vorgaben zum Schutz von informationstechnischen Systemen. Ziel ist die Schaffung eines hohen gemeinsamen Cybersicherheitsniveau innerhalb der gesamten EU. Die NIS2-Richtlinie wurde im Dezember 2022 verabschiedet und ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen.
- Umsetzung in Deutschland: Die Umsetzung der NIS2-Richtlinie in Deutschland erfolgt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2-Umsetzungsgesetz, für weitere Informationen siehe hier) und führt zu einer umfangreichen Überarbeitung unterschiedlicher Gesetze, u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telekommunikationsgesetz (TKG). Das NIS2-Umsetzungsgesetz befindet sich aktuell noch im Gesetzgebungsverfahren. Mit einer Verabschiedung ist aktuell erst im März 2025 zu rechnen.
- Adressaten: Betroffen sind Unternehmen und Organisationen, deren Geschäftstätigkeit in die gesetzlich erfassten Sektoren fällt und die die vorgegebenen Kennzahlen in Bezug auf Mitarbeiterzahl oder Jahresumsatz und Jahresbilanz erfüllen. Erfasst werden unterschiedliche Einrichtungsarten in bestimmten wichtigen und besonders wichtigen Sektoren, u.a. Energie, Transport und Verkehr, Gesundheit, Wasserversorgung, digitale Infrastruktur und digitale Dienste, Weltraum, Abfallbewirtschaftung, Lebensmittelproduktion und -verarbeitung sowie Forschung. Ebenfalls erfasst werden verschiedene Unternehmen im Bereich des verarbeitenden Gewerbes (z.B. Maschinenbau). Daneben werden bestimmte Einrichtungsarten unabhängig von ihrer Größe erfasst (z.B. qualifizierte Vertrauensdiensteanbieter, DNS-Diensteanbieter, Top Level Domain Name Registries).
- IT-Risikomanagement: Die erfassten Adressaten müssen verschiedene Maßnahmen zum IT-Risikomanagement umsetzen. Hierzu sehen die gesetzlichen Vorgaben einen Katalog mit Mindestmaßnahmen vor, die eingehalten werden müssen. Dies umfasst etwa Maßnahmen in den folgenden Bereichen: Backup-Management, Notfallmanagement, Verschlüsselung, gesicherte Kommunikation, Zugriffsverwaltung, Umgang mit Schwachstellen sowie Schulungen. Für bestimmte Anbieter digitaler Infrastruktur und digitaler Dienste (u.a. DNS-Diensteanbieter, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsleistungen, Managed Services Provider und Managed Security Services Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und sozialen Netzwerken) gelten besondere Vorgaben zum IKT-Risikomanagement, die in einer eigenen detaillierten Durchführungsverordnung geregelt werden (für weitere Informationen siehe hier).
- Sicherheit in der Lieferkette: Eine zentrale Anforderung beim IT-Risikomanagement ist die Sicherheit in der Lieferkette. Hintergrund sind häufig auftretende Angriffe auf Unternehmen und Organisationen aufgrund von Schwachstellen in bestehenden Lieferketten (sog. Supply Chain Attacks). Ein wesentliches Element zur Gewährleistung der Sicherheit in der Lieferkette sind vertragliche Vereinbarungen, in der sicherheitsbezogene Aspekte der Beziehungen mit den jeweiligen Dienstleistern geregelt werden.
- Bewältigung und Meldung von Vorfällen: Die betroffenen Adressaten müssen Maßnahmen zur Bewältigung von erheblichen Sicherheitsfällen treffen. Sie unterliegen zudem strengen gesetzlichen Vorgaben zur Meldung an die zuständigen Aufsichtsbehörden. Es gilt dabei eine gestufte Melderegime: Eine erste Statusmeldung muss innerhalb von 24 Stunden; die Hauptmeldung innerhalb von 72 Stunden; und die Abschlussmeldung nach einem Monat oder nach Abschluss erfolgen.
- KRITIS-Regulierung: Das neu vorgesehene BSIG wird ebenfalls die Betreiber sog. kritischer Anlagen regulieren. Der Begriff der kritischen Anlagen löst dabei die bis dato verwendete Terminologie der „Kritischen Infrastrukturen“ ab. Betreiber kritischer Anlagen unterliegen noch einmal gesteigerten Vorgaben, u.a. zur Umsetzung von Systemen zur Angriffserkennung. Komplementärzum neuen BSIG reguliert das neue KRITIS-Dachgesetz (für weitere Informationen siehe hier), das auf der parallel zur NIS2-Richtlinie verabschiedeten CER-Richtlinie beruht, den physischen Schutz von bestimmten kritischen Anlagen .
- Verantwortlichkeit der Geschäftsleitung: Die Geschäftsleitung der betroffenen Unternehmen und Organisationen ist verantwortlich für die Einhaltung der gesetzlichen Vorgaben, d.h. insbesondere die Umsetzung von Maßnahmen zum IT-Risikomanagement. Bei Verletzung dieser Pflicht droht eine persönliche Haftung gegenüber dem eigenen Unternehmen. Ebenfalls muss die Geschäftsleitung regelmäßig an Schulungen zur Cybersicherheit teilnehmen.
- Aufsicht und Sanktionen: Die zuständigen Aufsichtsbehörden können bei Verstößen weitreichende Aufsichts- und Durchsetzungsmaßnahmen einleiten, wie etwa die Durchführung von Audits und Vor-Ort-Inspektionen. Ebenfalls können diese Bußgelder verhängen, deren Höhe bis zu EUR 10 Mio. bzw. 2% des weltweiten Vorjahresumsatzes betragen können.
Unser Beratungsangebot umfasst:
- die Prüfung, ob Ihr Unternehmen in den Anwendungsbereich der neuen Rechtsakte zur NIS2-Richtlinie, wie etwa dem neuen BSIG oder den sonstigen sektorspezifischen Rechtsakten fällt (Betroffenheitsanalyse).
- die Ermittlung des Umsetzungsbedarfs durch Abgleich der anwendbaren Anforderungen mit bereits bestehenden Konzepten, Maßnahmen, Prozessen und Verantwortlichkeiten innerhalb Ihres Unternehmens (GAP-Analyse).
- die Unterstützung bei der Umsetzung der bestehenden gesetzlichen Anforderungen, insbesondere Umsetzung von Konzepten, Maßnahmen, Prozessen und Verantwortlichkeiten,
- die Beratung und Unterstützung bei der Durchführung von Risikoanalyse und der Umsetzung von IT-Risikomanagementmaßnahmen, einschließlich der Implementierung von Informationssicherheitsmanagementsystemen (ISMS).
- die Beratung und Schulung der Geschäftsleitung und IT-Sicherheitsverantwortlichen (z.B. ISB, CISOs) im Umgang mit den neuen gesetzlichen Anforderungen der NIS2-Richtlinie und deren Umsetzung
- die Beratung bei der Erstellung und Verhandlung von Vereinbarungen mit Dienstleistern und Lieferanten zur Gewährleistung der IT-Sicherheit innerhalb der Lieferkette