Um in der Union ein hohes gemeinsames Cybersicherheitsniveau zu gewährleisten, veröffentlichte die EU am 14.12.2022 die Richtlinie (EU) 2022/2555 über entsprechende Maßnahmen. Nun haben die Mitgliedsstaaten 21 Monate Zeit, die sogenannte EU NIS-2-Richtlinie in nationales Recht zu überführen. Welche Konsequenzen sich daraus für die Betreiber von kritischen Anlagen, wichtigen und sehr wichtigen Einrichtungen sowie Bundeseinrichtungen ergeben, zeigt der Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: NIS2UmsuCG (Stand Juli 2023).

Kritische Anlagen und betroffene Einrichtungen

Die bisherigen Gesetze und Verordnungen zielten auf die Betreiber kritischer Infrastrukturen ab. Zukünftig wird zwischen den Betreibern „besonders wichtiger und wichtiger Einrichtungen” unterschieden. Zu den Betreibern besonders wichtiger Einrichtungen zählen dann:

  • Großunternehmen1 in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste und Weltraum
  • Qualifizierte Vertrauensdienste, TLD-Registrare und TK-Dienste
  • Mittlere Unternehmen2, wenn sie Anbieter öffentlicher TK-Netze und TK-Dienste sind
  • Betreiber kritischer Anlagen (KRITIS)
  • Teile der öffentlichen Verwaltung

Die Betreiber wichtiger Einrichtungen werden sich so untergliedern:

  • Mittlere Unternehmen in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste und Weltraum
  • Großunternehmen und mittlere Unternehmen in den Sektoren Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste und Forschung
  • Vertrauensdienste
  • Hersteller von Rüstungsgütern und Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen
  • Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung
     

Pflichten der betroffenen Einrichtungen

Um die Informationssicherheit in den betroffenen Einrichtungen zu erhöhen, werden Risikomanagement-, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten eingeführt. Die Einrichtungen werden dazu verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, mit denen sie die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Systeme, Komponenten und Prozesse erhöhen und die Auswirkungen von Sicherheitsvorfällen minimieren. Dabei kommt es vor allem darauf an, dass die Maßnahmen geeignet und verhältnismäßig sind und den Stand der Technik widerspiegeln. An die Betreiber kritischer Anlagen werden höhere Anforderungen in Bezug auf das Sicherheitsniveau gestellt. Die besonders wichtigen Einrichtungen müssen künftig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert werden und ihre Risikomanagementmaßnahmen nachweisen.

Alle betroffenen Einrichtungen werden dazu verpflichtet, dem BSI über erhebliche Sicherheitsvorfälle Erstmeldungen, Zwischenmeldungen und Abschlussmeldungen zu übermitteln. Das BSI kann die Einrichtungen anweisen, die Empfänger ihrer Dienste über erhebliche Sicherheitsvorfälle zu informieren.

Für die Betreiber kritischer Infrastrukturen sollen weitere Pflichten wie der Betrieb von Systemen zur Angriffserkennung gelten.

Informationssicherheit ist und bleibt weiterhin Chefsache. Die Geschäftsleitenden der Einrichtungen werden verpflichtet, die getroffenen Risikomanagementmaßnahmen zu billigen, zu überwachen und an geeigneten Schulungsmaßnahmen teilzunehmen. Bei Pflichtverletzungen haften sie zukünftig persönlich.

Sanktionen

Neben der persönlichen Haftung der Geschäftsleitenden sieht das NIS2UmsuCG bei Pflichtverstößen auch Sanktionsmaßnahmen vor. Zwangsgelder bis zu 100.000 € und Geldbußen bis zu 10 Mio. € oder 2 % des gesamten weltweiten Umsatzes sind dabei angedacht. Darüber hinaus kann das BSI der Geschäftsführung in besonders wichtigen Einrichtungen die Wahrnehmung der Leitungsfunktion untersagen, wenn die Einrichtungen den Pflichten und Anordnungen trotz Fristsetzung nicht nachkommen.

Was ist nun zu tun?

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz bringt für schätzungsweise 8.100 als besonders wichtig und 20.900 als wichtig einzustufende Unternehmen in Deutschland neue Pflichten zur Erhöhung ihres Niveaus der Informationssicherheit auf den Weg.

Davon betroffene Unternehmen und Einrichtungen sollten den Aufwand nicht unterschätzen und jetzt tätig werden:

  • Hinterfragen Sie Ihre Risikomanagement-Methoden.
  • Überprüfen Sie Ihre Informationssicherheit.
  • Führen Sie ein Informationssicherheitsmanagementsystem nach gängigen Standards ein.
  • Beobachten Sie die weiteren Entwicklungen in Bezug auf das NIS2UmsuCG.

1 Unternehmen ab 250 Mitarbeitende oder 50 Mio. € Umsatz oder 43 Mio. € Bilanz

2 Unternehmen ab 50 und höchstens 249 Mitarbeitende und weniger als 50 Mio. € Umsatz oder 43 Mio. € Bilanz sowie Unternehmen weniger als 50 Mitarbeitende und Umsatz zwischen 10 Mio. € und 50 Mio. € und höchstens 43 Mio. € Bilanz