Im Oktober 2024 tritt die neue Cybersecurity Regelung in Deutschland in Form des NIS2UmsuCG (Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit), oder auch NIS2-Umsetzungsgesetz, in Kraft.

Es überträgt die EU-weiten Mindeststandards für Cybersicherheit aus der EU-Richtlinie NIS2 in deutsche Vorschriften. Die NIS2-Umsetzung wird nahezu 30.000 Unternehmen in der deutschen Wirtschaft betreffen.

Für die nun betroffene 30.000 Unternehmen in Deutschland (die KRITIS Verordnung betraf nur rund 3000 Unternehmen) steigen die Sicherheitsanforderungen und der damit verbundene Umsetzungsaufwand erheblich an.

Einen ersten Überblick dazu hatten wir hier gegeben. In diesem Artikel schauen wir etwas tiefer in die Details des NIS2-Umsetzungsgesetz.

Betroffene Unternehmen in Deutschland

Unternehmen in Deutschland, die vom NIS2-Umsetzungsgestz betroffen sind, lassen sich in drei (oder vier) Gruppen einteilen: Erstens die bestehenden Betreiber kritischer Anlagen (KRITIS), zweitens die besonders wichtigen Einrichtungen und die wichtigen Einrichtungen sowie einige Bundeseinrichtungen. Die Kriterien für diese Gruppen sind in §28 festgelegt:

Besonders wichtige Einrichtungen

  • Unternehmen mit mindestens 250 Mitarbeitern oder
  • Unternehmen mit einem Umsatz von über 50 Millionen EUR und einer Bilanzsumme von mehr als 43 Millionen EUR.
  • Sonderfälle wie qTSP, TLD, DNS, TK-Anbieter und kritische Anlagen fallen ebenfalls darunter

Wichtige Einrichtungen

  •  Unternehmen mit mindestens 50 Mitarbeitern oder
  • Unternehmen mit einem Umsatz von über 10 Millionen EUR und einer Bilanzsumme von mehr als 10 Millionen EUR.
  • Vertrauensdienste gehören ebenfalls zu dieser Gruppe.

Betreiber kritischer Anlagen

  • Diese Unternehmen verwenden die KRITIS-Methodik, um die Betroffenheit einzelner Anlagen festzustellen, auch im Rahmen des KRITIS-Dachgesetzes.
  • Eine KRITIS-Anlage wird als solche betrachtet, wenn sie den Schwellenwert erreicht oder überschreitet, der in der Regel bei mindestens 500.000 versorgten Personen liegt.

Neben den Einrichtungen unterliegen auch Bundeseinrichtungen entsprechenden Pflichten gemäß §29.

Unternehmensgröße

In Bezug auf die Unternehmensgröße variieren die Einrichtungen: Sie richten sich nach der Anzahl der Mitarbeiter, dem Umsatz und der Bilanz. Besonders relevante Einrichtungen sind in §28 (1) des NIS2-Umsetzungsgesetz festgelegt, während §28 (2) wichtige Einrichtungen beschreibt.

Einrichtung

Sektoren

Größe

Mitarbeiter

Umsatz und Bilanz

Besonders wichtig

Anlage 1

Großunternehmen

>= 250

 
 

Anlage 1

Großunternehmen

 

> 50 Mio. + > 43 Mio. €

Wichtig

Anlage 1 und 2

ab mittlere Unternehmen

>= 50

 
 

Anlage 1 und 2

ab mittlere Unternehmen

 

> 10 Mio. + > 10 Mio. €

Die bisherigen Betreiber kritischer Infrastrukturen (KRITIS) werden zu Betreibern kritischer Anlagen. Gemäß §28 (6) bleibt die KRITIS-Logik für KRITIS-Sektoren, kritische Dienstleistungen und Anlagen mit Schwellenwerten erhalten. Diese Betreiber werden gleichzeitig als besonders wichtige Einrichtungen gemäß §28 (1) Nr. 1 eingestuft.

NIS2 Sektoren

Im Rahmen des NIS2-Umsetzungsgesetz werden zwei Sektorengruppen unterschieden: Die Sektoren der Einrichtungen sind in Anlage 1 und 2 definiert, während die KRITIS-Sektoren für kritische Anlagen separat in §28 (7) aufgeführt sind. Innerhalb der Einrichtungen gibt es zum einen Sektoren hoher Kritikalität und zum anderen sonstige kritische Sektoren.

KRITIS

Sektoren hoher Kritikalität

Sonstige kritische Sektoren

Energie

Energie: Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas

 

Transport/Verkehr

Transport/Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr

Transport/Verkehr:

Post und Kurier

Finanzen/Versicherung

Finanzen/Versicherung:

Banken, Finanzmarkt-Infrastruktur

Chemie:

Herstellung, Importeure (NACE 20)

Gesundheit

Gesundheit:

Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C 21), Medizinprodukte,

Forschung:

Forschungseinrichtungen

Wasser/Abwasser

Wasser/Abwasser:

Trinkwasser, Abwasser

Verarbeitendes Gewerbe:

Medizin/Diagnostika; DV, Elektro, Optik (NACE C 26 und 27); Maschinen­bau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)

IT und TK

IT und TK:

IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services

Digitale Dienste:

Marktplätze, Suchmaschinen, soziale Netzwerke

Weltraum

Weltraum:

Bodeninfrastrukturen

 

Ernährung

 

Lebensmittel:

Großhandel, Produktion, Verarbeitung

Entsorgung

 

Entsorgung:

Abfallbewirtschaftung

Was müssen betroffene Unternehmen beachten?

Sicherheit und Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen angemessene, verhältnismäßige und effektive technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und Geschäftsprozesse zu schützen. Ziel ist es, Störungen in der Verfügbarkeit, Integrität und Vertraulichkeit zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren. §30 (1)

Betreiber sollten dabei Faktoren wie das Risikoexpositionsmaß, die Unternehmensgröße, Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie die gesellschaftlichen und wirtschaftlichen Folgen berücksichtigen. §30 (1)

Geltungsbereich

Die Einführung von NIS2 erweitert den Geltungsbereich für betroffene Unternehmen erheblich. Im Rahmen der NIS2-Umsetzung unterliegen große Teile innerhalb von Unternehmen der Regulierung. Einrichtungen müssen dort Risikomanagement und Maßnahmen gemäß §30ff umsetzen.

Maßnahmen des NIS2-Umsetzungsgesetz

Die Maßnahmen, die von Betreibern und Einrichtungen umgesetzt werden müssen, sollten auf einem ganzheitlichen Ansatz basieren und europäische sowie internationale Normen berücksichtigen. Diese Maßnahmen sollten den aktuellen Stand der Technik einhalten und mindestens die in §30 (2) genannten Themen abdecken.

Dokumentation

Die Betreiber sind verpflichtet, die Durchführung der Maßnahmen zu dokumentieren.

Sektorregelungen

Bestimmte Sektoren sind teilweise von den Bestimmungen des Risikomanagements gemäß §30 und §31 ausgenommen.

Zertifizierte Produkte

Wenn bestimmte, noch zu benennende IKT-Produkte, Dienste oder Prozesse von besonders wichtigen oder wichtigen Einrichtungen verwendet werden, müssen diese gemäß Artikel 49 EU 2019/881 § 30 (6) über eine Cybersicherheitszertifizierung verfügen.

Kritische Komponenten

Vor Beginn des Einsatzes müssen die Betreiber kritischer Anlagen dem Innenministerium gemäß §41 (1) über den Einsatz solcher kritischer Komponenten berichten. Kritische Bestandteile und Funktionalitäten müssen in getrennten Rechtsvorschriften definiert werden. Der Einsatz kritischer Bestandteile kann vom Innenministerium untersagt werden.

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innen­ministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. Die Erklärung muss durch den Hersteller gegenüber dem Betreiber abgegeben werden. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6),  §41 (7)

Registrierung und Kontaktstelle

Einrichtungen und Betreiber müssen selber prüfen, ob sie zu den Einrichtungen zählen und sich selber beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln gemäß §33 und §34. Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren. Es kann also sein, dass ein Unternehmen, dass die Kriterien Mitarbeiter und Umsatz nicht erfüllt, trotzdem ein Betreiber gemäß NIS-2 ist.

Meldung von Sicherheitsvorfällen

Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen (§32). Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden („Empfänger ihrer Dienste“) zu unterrichten. §35 (1).

Nachweise und Prüfungen

Die Betreiber von kritischen Anlagen müssen Nachweise für die Maßnahmen nach §30 (1), §31 und §31 (2) Angriffserkennung durch „Audits, Prüfungen oder Zertifizierungen“ nach §39 (1) alle drei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.

Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1). Sie müssen dem BSI die Umsetzung der §30 Maßnahmen und §32 Meldepflichten nicht regelmäßig nachweisen. Das BSI kann Einrichtungen aber zu „Audits, Prüfungen oder Zertifizierungen“ verpflichten, Nachweise verlangen und selbst prüfen (lassen). §65 (1), §65 (3), §65 (5)

Sanktionen des NIS2-Umsetzungsgesetz

Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände mit erhöhten Geldbußen zwischen 100.000 und 20 Millionen Euro, teilweise abhängig vom weltweiten Umsatz

Geschäftsleitungen von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cyber­security „billigen“ und die Umsetzung in der Einrichtung überwachen. §38 (1) Werden diese Pflichten verletzt, ergibt sich aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung.

Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3)

Fristen für das NIS2-Umsetzungsgesetz

Das Gesetz NIS2UmsuCG soll, nach dem aktuellen Entwurf, am 1. Oktober 2024 in Kraft treten. Die NIS2-Pflichten für Unternehmen (Einrichtungen) gelten ab dann. Es gibt keine Übergangsfristen zur Umsetzung der Pflichten.

oder senden Sie eine E-Mail an Karsten Zygowski,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie eine E-Mail an Matthias Grund,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie eine E-Mail an Stefan Schleising,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie eine E-Mail an Sandra Weidlich,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie jetzt eine E-Mail an die cas_data GmbH,


oder senden Sie über das Formular eine Rückrufbitte: