Im Oktober 2024 tritt die neue Cybersecurity Regelung in Deutschland in Form des NIS2UmsuCG (Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit), oder auch NIS2-Umsetzungsgesetz, in Kraft.
Es überträgt die EU-weiten Mindeststandards für Cybersicherheit aus der EU-Richtlinie NIS2 in deutsche Vorschriften. Die NIS2-Umsetzung wird nahezu 30.000 Unternehmen in der deutschen Wirtschaft betreffen.
Für die nun betroffene 30.000 Unternehmen in Deutschland (die KRITIS Verordnung betraf nur rund 3000 Unternehmen) steigen die Sicherheitsanforderungen und der damit verbundene Umsetzungsaufwand erheblich an.
Einen ersten Überblick dazu hatten wir hier gegeben. In diesem Artikel schauen wir etwas tiefer in die Details des NIS2-Umsetzungsgesetz.
Betroffene Unternehmen in Deutschland
Unternehmen in Deutschland, die vom NIS2-Umsetzungsgestz betroffen sind, lassen sich in drei (oder vier) Gruppen einteilen: Erstens die bestehenden Betreiber kritischer Anlagen (KRITIS), zweitens die besonders wichtigen Einrichtungen und die wichtigen Einrichtungen sowie einige Bundeseinrichtungen. Die Kriterien für diese Gruppen sind in §28 festgelegt:
Besonders wichtige Einrichtungen
- Unternehmen mit mindestens 250 Mitarbeitern oder
- Unternehmen mit einem Umsatz von über 50 Millionen EUR und einer Bilanzsumme von mehr als 43 Millionen EUR.
- Sonderfälle wie qTSP, TLD, DNS, TK-Anbieter und kritische Anlagen fallen ebenfalls darunter
Wichtige Einrichtungen
- Unternehmen mit mindestens 50 Mitarbeitern oder
- Unternehmen mit einem Umsatz von über 10 Millionen EUR und einer Bilanzsumme von mehr als 10 Millionen EUR.
- Vertrauensdienste gehören ebenfalls zu dieser Gruppe.
Betreiber kritischer Anlagen
- Diese Unternehmen verwenden die KRITIS-Methodik, um die Betroffenheit einzelner Anlagen festzustellen, auch im Rahmen des KRITIS-Dachgesetzes.
- Eine KRITIS-Anlage wird als solche betrachtet, wenn sie den Schwellenwert erreicht oder überschreitet, der in der Regel bei mindestens 500.000 versorgten Personen liegt.
Neben den Einrichtungen unterliegen auch Bundeseinrichtungen entsprechenden Pflichten gemäß §29.
Unternehmensgröße
In Bezug auf die Unternehmensgröße variieren die Einrichtungen: Sie richten sich nach der Anzahl der Mitarbeiter, dem Umsatz und der Bilanz. Besonders relevante Einrichtungen sind in §28 (1) des NIS2-Umsetzungsgesetz festgelegt, während §28 (2) wichtige Einrichtungen beschreibt.
Einrichtung | Sektoren | Größe | Mitarbeiter | Umsatz und Bilanz |
Besonders wichtig | Anlage 1 | Großunternehmen | >= 250 | |
Anlage 1 | Großunternehmen | > 50 Mio. + > 43 Mio. € | ||
Wichtig | Anlage 1 und 2 | ab mittlere Unternehmen | >= 50 | |
Anlage 1 und 2 | ab mittlere Unternehmen | > 10 Mio. + > 10 Mio. € |
Die bisherigen Betreiber kritischer Infrastrukturen (KRITIS) werden zu Betreibern kritischer Anlagen. Gemäß §28 (6) bleibt die KRITIS-Logik für KRITIS-Sektoren, kritische Dienstleistungen und Anlagen mit Schwellenwerten erhalten. Diese Betreiber werden gleichzeitig als besonders wichtige Einrichtungen gemäß §28 (1) Nr. 1 eingestuft.
NIS2 Sektoren
Im Rahmen des NIS2-Umsetzungsgesetz werden zwei Sektorengruppen unterschieden: Die Sektoren der Einrichtungen sind in Anlage 1 und 2 definiert, während die KRITIS-Sektoren für kritische Anlagen separat in §28 (7) aufgeführt sind. Innerhalb der Einrichtungen gibt es zum einen Sektoren hoher Kritikalität und zum anderen sonstige kritische Sektoren.
KRITIS | Sektoren hoher Kritikalität | Sonstige kritische Sektoren |
Energie | Energie: Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas | |
Transport/Verkehr | Transport/Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr | Transport/Verkehr: Post und Kurier |
Finanzen/Versicherung | Finanzen/Versicherung: Banken, Finanzmarkt-Infrastruktur | Chemie: Herstellung, Importeure (NACE 20) |
Gesundheit | Gesundheit: Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C 21), Medizinprodukte, | Forschung: Forschungseinrichtungen |
Wasser/Abwasser | Wasser/Abwasser: Trinkwasser, Abwasser | Verarbeitendes Gewerbe: Medizin/Diagnostika; DV, Elektro, Optik (NACE C 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30) |
IT und TK | IT und TK: IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services | Digitale Dienste: Marktplätze, Suchmaschinen, soziale Netzwerke |
Weltraum | Weltraum: Bodeninfrastrukturen | |
Ernährung | Lebensmittel: Großhandel, Produktion, Verarbeitung | |
Entsorgung | Entsorgung: Abfallbewirtschaftung |
Was müssen betroffene Unternehmen beachten?
Sicherheit und Risikomanagement
Besonders wichtige und wichtige Einrichtungen müssen angemessene, verhältnismäßige und effektive technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und Geschäftsprozesse zu schützen. Ziel ist es, Störungen in der Verfügbarkeit, Integrität und Vertraulichkeit zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren. §30 (1)
Betreiber sollten dabei Faktoren wie das Risikoexpositionsmaß, die Unternehmensgröße, Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie die gesellschaftlichen und wirtschaftlichen Folgen berücksichtigen. §30 (1)
Geltungsbereich
Die Einführung von NIS2 erweitert den Geltungsbereich für betroffene Unternehmen erheblich. Im Rahmen der NIS2-Umsetzung unterliegen große Teile innerhalb von Unternehmen der Regulierung. Einrichtungen müssen dort Risikomanagement und Maßnahmen gemäß §30ff umsetzen.
Maßnahmen des NIS2-Umsetzungsgesetz
Die Maßnahmen, die von Betreibern und Einrichtungen umgesetzt werden müssen, sollten auf einem ganzheitlichen Ansatz basieren und europäische sowie internationale Normen berücksichtigen. Diese Maßnahmen sollten den aktuellen Stand der Technik einhalten und mindestens die in §30 (2) genannten Themen abdecken.
Dokumentation
Die Betreiber sind verpflichtet, die Durchführung der Maßnahmen zu dokumentieren.
Sektorregelungen
Bestimmte Sektoren sind teilweise von den Bestimmungen des Risikomanagements gemäß §30 und §31 ausgenommen.
Zertifizierte Produkte
Wenn bestimmte, noch zu benennende IKT-Produkte, Dienste oder Prozesse von besonders wichtigen oder wichtigen Einrichtungen verwendet werden, müssen diese gemäß Artikel 49 EU 2019/881 § 30 (6) über eine Cybersicherheitszertifizierung verfügen.
Kritische Komponenten
Vor Beginn des Einsatzes müssen die Betreiber kritischer Anlagen dem Innenministerium gemäß §41 (1) über den Einsatz solcher kritischer Komponenten berichten. Kritische Bestandteile und Funktionalitäten müssen in getrennten Rechtsvorschriften definiert werden. Der Einsatz kritischer Bestandteile kann vom Innenministerium untersagt werden.
Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. Die Erklärung muss durch den Hersteller gegenüber dem Betreiber abgegeben werden. §41 (3)
Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6), §41 (7)
Registrierung und Kontaktstelle
Einrichtungen und Betreiber müssen selber prüfen, ob sie zu den Einrichtungen zählen und sich selber beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln gemäß §33 und §34. Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren. Es kann also sein, dass ein Unternehmen, dass die Kriterien Mitarbeiter und Umsatz nicht erfüllt, trotzdem ein Betreiber gemäß NIS-2 ist.
Meldung von Sicherheitsvorfällen
Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen (§32). Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden („Empfänger ihrer Dienste“) zu unterrichten. §35 (1).
Nachweise und Prüfungen
Die Betreiber von kritischen Anlagen müssen Nachweise für die Maßnahmen nach §30 (1), §31 und §31 (2) Angriffserkennung durch „Audits, Prüfungen oder Zertifizierungen“ nach §39 (1) alle drei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.
Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1). Sie müssen dem BSI die Umsetzung der §30 Maßnahmen und §32 Meldepflichten nicht regelmäßig nachweisen. Das BSI kann Einrichtungen aber zu „Audits, Prüfungen oder Zertifizierungen“ verpflichten, Nachweise verlangen und selbst prüfen (lassen). §65 (1), §65 (3), §65 (5)
Sanktionen des NIS2-Umsetzungsgesetz
Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände mit erhöhten Geldbußen zwischen 100.000 und 20 Millionen Euro, teilweise abhängig vom weltweiten Umsatz
Geschäftsleitungen von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cybersecurity „billigen“ und die Umsetzung in der Einrichtung überwachen. §38 (1) Werden diese Pflichten verletzt, ergibt sich aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung.
Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3)
Fristen für das NIS2-Umsetzungsgesetz
Das Gesetz NIS2UmsuCG soll, nach dem aktuellen Entwurf, am 1. Oktober 2024 in Kraft treten. Die NIS2-Pflichten für Unternehmen (Einrichtungen) gelten ab dann. Es gibt keine Übergangsfristen zur Umsetzung der Pflichten.
Startseite » Blog » Das NIS2-Umsetzungsgesetz