NIS2 einfach erklärt
Wer davon betroffen ist und wer was zu tun hat
letztes Update: 18.04.2024
Ursprünglich sollte das NIS2UmsuCG (NIS2-Gesetz) in Deutschland, nach etlichen Verzögerungen, nun zum 1. April 2024 vorgestellt werden. Dieser Termin konnte erneut nicht eingehalten werden, sodass aktuell auch der Stichtag 17. Oktober 2024 zum Inkraftreten des Gesetz in Deutschland und einigen anderen europäischen Ländern in Frage gestellt wird. Nach finaler Veröffentlichung des Gesetzes oder bahnbrechenden Änderungen wird dieser Artikel entsprechend aktualisiert.
Einleitung
Unsere Welt ist heute digitaler den je zuvor und neue Technologien wie Künstliche Intelligenz, Blockchain und Quantencomputer werden diesen Prozess noch einmal potenziell beschleunigen. Unternehmen halten die Wirtschaft aufrecht und sorgen für Stabilität und Wohlstand und sind, aufgrund der rasant anwachsenden internationalen Bedrohungslage, bestmöglich zu schützen.
Mit Einführung der europäischen Richtline NIS2-RL werden betroffene Unternehmen dazu verpflichtet, eindeutige und umfassende Maßnahmen für die Härtung ihrer Sicherheitsumgebung zu ergreifen. Ein offener Kommunikationskanal zwischen Unternehmen und Behörden sowie die Auferlegung schmerzhafter Sanktionen soll neben klar definierten Schutzmaßnahmen dazu beitragen, die Resilienz europäischer Unternehmen und Institutionen zu stärken.
Was beinhaltet die neue NIS2 Richtlinie?
Das EU-NIS2 (Network and Information Systems Directive 2) wurde in der EU entwickelt, um die Cyber-Sicherheit kritischer Infrastrukturen und digitaler Dienstleister aufgrund der immens anwachsenden Cyber-Bedrohungslage weiter zu stärken. Die Richtlinie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf und ist Teil der umfassenderen Bemühungen der EU, die Resilienz und den Schutz der digitalen Systeme europäischer Unternehmen zu verbessern.
Die Hauptziele sind:
- Härtung der Sicherheit kritischer Infrastrukturen: Betroffene Unternehmen werden verpflichtet, Mindestanforderungen einzurichten, um die Widerstandsfähigkeit gegenüber Cyber-Angriffen zu erhöhen.
- Höhere Transparenz bei Sicherheitsvorfällen: Die Registrierung von Unternehmen und die Meldepflicht bei Cyber-Angriffen sollen helfen, schneller auf neue Angriffsvektoren in der EU zu reagieren und betroffene Unternehmen früher darüber zu unterrichten.
- Bessere Zusammenarbeit: Die Behörden der Länder werden angewiesen, eng mit der ENISA (EU Agency for Cybersecurity) zusammenzuarbeiten. Zudem wird ein direkter Kommunikationskanal mit den Unternehmen und Betreibern eingeführt.
- Stärkung der Durchsetzung der Maßnahmen: Unternehmen werden unter Strafe dazu verpflichtet, die geforderten Mindestanforderungen umzusetzen und Sicherheitsvorfälle zu melden.
Mit der Einführung der NIS2 werden in Hinblick auf Cyber-Sicherheit und Cyber-Prävention deutlich höhere Anforderungen an die europäische Wirtschaft gestellt. Dabei werden heutige KRITIS-Anforderungen meist weit übertroffen und auch mittelständische Unternehmen müssen auf einmal Maßnahmen ergreifen, die ihnen bisher fremd waren. Zudem werden die Befugnisse des BSI (Bundesamt für Sicherheit in der Informationstechnik) ausgeweitet.
Ein wenig Gesetzes-Wirrwarr
Das EU-NIS2 (Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit) regelt die besonders wichtigen Einheiten (essential entities) [NIS2 Annex I] sowie wichtige Einheiten (important entities) [NIS2 Annex II] und richtet sich an 18 Sektoren (Unternehmenskategorien). In Deutschland wird das Gesetz unter dem Namen NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) eingeführt werden und soll das im Mai 2021 in Kraft getretene “IT-Sicherheitsgesetz 2 (IT-SiG 2.0)” ersetzen (“IT-Sicherheitsgesetz 3” wäre einfacher gewesen). Dabei handelt es sich um ein Änderungsgesetz, was das BSIG komplett umstrukturiert, ändert und ergänzt.
Neben der erweiterten NIS2-Richtlinie regelt die RCE-Richtlinie (Resilienz of Critical Entities) alle kritischen Einheiten (critical entities) und richtet sich ausschließlich an KRITIS-Unternehmen, die in 11 Sektoren (Unternehmenskategorien) unterteilt sind. Die Abweichungen zu dem neuen EU-NIS2 sind marginal. Die RCE-Richtlinie soll voraussichtlich im 2. Halbjahr 2023 in das neue KRITIS-Dachgesetz überführt werden und dort Anwendung finden.
All dies befindet sich aktuell in der Endabstimmung und kann sich noch ändern. Setzen wir uns unseren Fokus im Folgenden auf die NIS2.
Welche Unternehmen sind von NIS2 betroffen?
Folgende Unternehmensgruppen sind von NIS2 betroffen:
- Betreiber kritischer Infrastruktur (KRITIS-Betreiber), die bereits heute unter diese Kategorie (11 Sektoren) fallen, müssen auch die NIS2-Mindestanforderungen erfüllen.
- Alle Unternehmen der weiter unten aufgeführten 18 Sektoren, die als besonders wichtig “essential entities” oder wichtig “important entities”eingestuft werden, müssen die NIS2-Mindestanforderungen erfüllen, wenn
a) es sich um ein mittleres Unternehmen handelt, das weniger als 50 Mitarbeiter beschäftigt und zwischen 10 und 50 Mio. Euro Umsatz erwirtschaftete und eine Bilanz zwischen 10 und 43 Mio. Euro gemeldet hat, oder
b) es sich um ein mittleres Unternehmen handelt, das 50 bis 249 Mitarbeiter beschäftigt und weniger als 50 Mio. Euro Umsatz erwirtschaftete oder eine Bilanz unterhalb 43 Mio. Euro gemeldet hat, oder
c) als Großunternehmen mindestens 250 Mitarbeiter beschäftigt oder mindestens 50 Mio. Euro Umsatz erwirtschaftete oder eine Bilanz von mindestens 43 Mio. Euro gemeldet hat.
Zu beachten dabei ist, dass auch Unternehmen mit einem Sitz außerhalb der Europäischen Union verpflichtet sind, die NIS2-Rechtsvorschrift einzuhalten, sollte das Unternehmen in einem EU-Land operativ tätig sein.
Die 18 Sektoren der NIS2
Die Sektoren stellen besondere Betreiber-Kategorien dar, die nach der NIS2 besonders zu schützen sind.
Großunternehmen, die als “essential entities” unter [NIS2 Annex I] fallen:
- Energie: Stromversorgung, Gasversorgung, Kraftstoff- und Heizölversorgung, Fernwärmeversorgung, Wasserstoff, LNG-Anlage
- Verkehr und Transport: Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr (Steuerung und LZs), ÖPNV (Netze, Steuerung und LZs), Logistikzentren (Steuerung und LZs), Wetter und Satelliten-Navigation
- Trinkwasserversorgung
- Abwasserbeseitigung
- Gesundheitswesen: Stationäre med. Versorgung, Versorgung mit lebenserhaltenden Medizinprodukte, Versorgung mit Arzneien und Blut/Plasma, Laboratoriumsdiagnostik
- Bankwesen: Bargeldversorgung, kartengestützter Zahlungsverkehr
- Finanzmärkte: Konventioneller Zahlungsverkehr, Wertpapier- und Derivategeschäfte, Versicherungsdienstleistungen, Sozialversicherung, Grundsicherung
- Digitale Infrastruktur: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung (wird auch als besonders wichtiges Unternehmen eingestuft, wenn es sich um ein kleines Unternehmen handelt)
- Informations- und Kommunikationstechnik Dienste (IKT)
- Weltraum
Mittlere Unternehmen, die als “important entities” unter [NIS2 Annex II] fallen:
alle Einheiten aus den “essential entities” sowie
- Logistik
- Produktion
- Chemie
- Siedlungsabfallentsorgung: Sammlung, Beseitigung und Verwertung von Siedlungsabfällen
- Ernährung: Lebensmittelversorgung, Herstellung, Behandlung, Handel
- Verarbeitendes Gewerbe
- Digitale Dienste
- Forschung
Derzeit ist strittig, ob die Siedlungsabfallentsorgung der KRITIS-Einstufung unterliegt. Im letzten Entwurf des IT-SiG 2.0 wurde diese explizit an einer Stelle im Gesetz ergänzt, jedoch wurde versäumt Schwellenwerte zu definieren. Aufgrund der aktuellen Unklarheit ist zu erwarten, dass mit der kommenden NIS2 und/oder dem neuen KRITIS-Dachgesetz die Siedlungsabfallentsorgung neu eingestuft wird. Erste Entwürfe zeigen, dass die Einheit zumindest als “essential entities” eingestuft wird, wenn mehr als 500.000 versorgte Personen pro einzelner Anlage von den Entsorgungsleistungen betroffen sind.
Beispiele der Einstufung
Beispiel 1: Beschäftigt ein Stromversorger 38 Mitarbeiter und erwirtschaftet einen Jahresumsatz von 11 Millionen Euro, wird das Unternehmen trotz seiner geringen Größe unter “essential entities” eingestuft.
Beispiel 2: Ein verarbeitendes Gewerbe, das 55 Millionen Euro Umsatz generiert und 210 Mitarbeiter beschäftigt, wird unter der Kategorie “important entities” eingestuft. Hier hat die Einstufung des Unternehmens einen höheren Stellenwert als der erwirtschaftete Umsatz.
Besondere Pflichten und Belastungen
In der aktuellen Version des NIS2UmsuCG-Entwurfs vom 3.7.2023 unterscheiden sich die Unternehmenspflichten marginal darin, dass nur besonders wichtige Unternehmen (essential entities) verpflichtet werden, einen umfassenden Nachweis ihrer im Unternehmen durchgeführten Sicherheitsmaßnahmen und -tätigkeiten an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden. Wird eine Cyber-Attacke im Unternehmen festgestellt, muss die dafür bestellte Person innerhalb von 24 Stunden nach Eintreten des Sicherheitsfalls eine erste Meldung bei der Behörde abgeben. Innerhalb von 72 Stunden ist bereits ein konkreter Bericht vorzulegen und innerhalb eines Monats muss ein ausführlicher Bericht über den Vorfall verfasst und der Behörde zugestellt werden. Ein Fristverstoss ist sanktionsbewehrt.
Betroffene Unternehmen müssen durch die Gesetzesverschärfung mit zunehmenden Infrastruktur- und Personalkosten rechnen. So verlangt das BSI für beide Sektorengruppen (essential entities & important entities) einen befugten IT-Sicherheits-Manager. Meist handelt es sich bei der Position um einen hoch qualifizierten CISO, ITSiBe oder Compliance-Manager, der speziell das Budget von mittelständischen Unternehmen weiter belasten wird. Zusätzlich kalkuliert werden müssen, eventuell neu anfallende Softwarekomponenten sowie ein IT-Security-Analyst, der die regelmäßige Auswertung und Aktualisierung der neuen Cybersecurity-Systeme sicherstellt. Das Statistische Bundesamt sagt voraus, dass zusätzliche Personalkosten in Höhe von 1,4 Mrd. EUR und ein jährlicher Erfüllungsmehraufwand von 1,7 Mrd. EUR zu erwarten sind.
Eine weitere nicht zu unterschätzende Herausforderung besteht in der Akquise des entsprechenden Fachpersonals. Laut der Bitkom Research konnten in 2023 über 137.000 ausgeschriebene IT-Stellen nicht besetzt werden. Größtenteils dauert es mehr als 7 Monate, bis eine IT-Stelle besetzt werden kann. Weltweit stellt sich der Mangel noch dramatischer dar. Laut der (ISC)² Cybersecurity Workforce-Studie fehlen 3,4 Millionen Fachkräfte in Bereich der Cyber-Sicherheit.
Nach aktuellem Stand werden voraussichtlich nur Einheiten der Sektorengruppe “essential entities” verpflichtet, ihre Maßnahmen der Risikoanalyse und Prävention gegenüber dem BSI nachzuweisen. Ob Zertifizierungen notwendig sind und in welchem Umfang diese zu erbringen sind, ist derzeit noch unklar.
Mindestanforderungen von Maßnahmen
Im Rahmen von NIS2 sind beide Sektorengruppen (essential entities & important entities) dazu verpflichtet, vollumfängliche technische und organisatorische Maßnahmen zu ergreifen, um die IT und die damit verbundenen Dienste zu härten und das Risiko eines Sicherheitsvorfalls so gering wie möglich zu halten.
Schutzmaßnahmen müssen nach dem gefahren übergreifenden Ansatz durchgeführt werden. Dies bedeutet, dass die Maßnahmen nicht nur auf eine bestimmte Art eines Sicherheitsvorfalls oder einer Bedrohung auszurichten sind, sondern ein breites Spektrum potenzieller Risiken wie Cyber-Attacken, physische Angriffe, menschliches Versagen, Naturkatastrophen oder technische Ausfälle abzudecken sind.
Beide Sektorengruppen (essential entities & important entities) haben folgende Mindestanforderungen von Sicherheitsmaßnahmen zu ergreifen:
- Risikoanalyse
- Sicherheitsvorfälle
- Aufrechterhaltung
- Sicherheit der Lieferkette
- Sicherheit in der Entwicklung und Beschaffung
- Bewertung der Effektivität
- Schulungen und Cyberhygiene
- Kryptografie
- Personal, Zugriffe und Anlagen
- Multi-Faktor Authentisierung
- Sichere Kommunikation
- Sichere Notfallkommunikation
Alle Maßnahmen müssen dem Risiko angemessen durchgeführt werden, dem aktuellen Stand der Technik entsprechen und internationalen und europäischen Normen entsprechen.
Auswahl von ITK-Produkten
Beide Sektorengruppen (essential entities & important entities) haben bei der Auswahl bestimmter sicherheitsrelevanter ITK-Produkte auf die Cybersicherheitszertifizierung gemäß Art. 49 der EU-Verordnung 2019/881 zu achten.
Einheiten, der “essential entities” müssen darüber hinaus, zur Gewährleistung der Sicherheit ihrer Lieferkette, die spezifischen Schwachstellen der zu erwerbenden Produkt- und Dienstanbieter prüfen, bewerten und im Rahmen des Weiterentwicklungsprozesses überwachen und dokumentieren.
Implementing Acts
Die EU oder der BSI kann Durchführungsrechtsakten (implementing acts) in Form von besonderen technischen und methodischen Anforderungen individuell für ein Unternehmen erlassen, die rechtsverbindlich vom Unternehmen umgesetzt werden müssen.
Sondergruppen
Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed (Security) Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauensdienste werden in der finalen Version der NIS2 besonders behandelt. Es ist zu erwarten, dass die Sicherheitsmaßnahmen entsprechend der Zielgruppe angepasst wird.
Termine & Fristen
Die überarbeite EU-Richtlinie zur Umsetzung der NIS2 liegt der Bundesverwaltung seit Mai 2023 zur Prüfung und Verabschiedung vor. In Deutschland wird das Gesetz unter dem Namen “NIS2UmsuCG” im 2. Halbjahr 2023 Einzug halten und voraussichtlich Anfang 2024 das IT-SiG 2.0 ablösen. Die EU schreibt vor, dass die Mitgliedstaaten die NIS2 bis zum 17. Oktober 2024 in lokales Recht überführen müssen. Da es sich bei dem neuen Gesetz um eine mindestharmonisierende Richtlinie handelt, dürfen die europäischen Mindestanforderungen von den Mitgliedstaaten nicht unterschritten werden.
Sobald die NIS2 in Kraft getreten ist, müssen alle betroffene Unternehmen eine interne Einstufung (Identifizierung) vornehmen und prüfen, welchem Sektor das Unternehmen angehört. Anschließend muss das Unternehmen den Registrierungsprozess innerhalb von 3 Monaten vollziehen.
Unternehmen, die als “essential entities” eingestuft sind, müssen den Nachweis über die Umsetzung der Maßnahmen in Form von Audits oder Zertifizierungen frühestens 2 Jahre und spätestens 3 Jahre nach Inkrafttreten des Gesetzes dem BSI nachweisen. Fortlaufende Nachweise sind dann alle 2 Jahre zu erneuern. Zudem müssen Unternehmen dieser Kategorie innerhalb eines Jahres in den Informationsaustausch mit den noch nicht feststehenden behördlichen Institutionen eintreten.
Haftung, Sanktionen & Bußgelder
Persönliche Haftung des Geschäftsführers
Geschäftsführer von “essential entities” und “important entities” werden vom Gesetzgeber im Rahmen des Gesetzes verpflichtet, die vorgeschriebenen Risikomanagement-Maßnahmen für Cybersicherheit zu akzeptieren und deren Einführung und Umsetzung persönlich zu überwachen. Der Geschäftsführer ist natürlich dazu befugt, entsprechendes Personal in Person eines CISO oder IT-SiBe zu benennen und die Aufgabe zu delegieren. Eine Auslagerung der Verantwortung ist jedoch nicht zulässig. Bei Verletzung der Billigungs- und Überwachungspflicht haften Geschäftsführer gegenüber der Einrichtung für den entstandenen Schaden. Eine Amtshaftung bleibt davon unberührt. Bei gravierenden Verstößen kann die Behörde sogar vorübergehend die Leitungsfunktion des Geschäftsführers aussetzen.
Allgemeine Tatbestände
Darunter fallen Zuwiderhandlungen gegen Anordnungen, fehlende oder nicht fristgerechte Registrierung, nicht rechtzeitig erbrachte Nachweise oder das Ignorieren von zu ergreifenden Maßnahmen. Die Busgelder gelten für beide Betreiber-Gruppen gleichermaßen und bewegen sich je nach einmaligem Verstoß zwischen 100.000 Euro und 2 Millionen Euro.
Verstöße der Sektorengruppe “important entities”
Je nach Schweregrad des Verstoßes, liegen die Bußgelder im Bereich von 100.000 Euro und 7 Millionen Euro (oder 1,4 % des jährlichen Umsatzes).
Verstöße der Sektorengruppe “essential entities”
Je nach Schweregrad des Verstoßes, liegen die Bußgelder im Bereich von 100.000 Euro und 10 Millionen Euro (oder 2 % des jährlichen Umsatzes).
Fazit
NIS2 tritt an, um die Informationssicherheit im europäischen Raum aufgrund der ständig ansteigenden Bedrohungslage nachhaltig zu stärken. Die EU und ihre Mitgliedstaaten weiten mit dieser Gesetzesänderung ihre Befugnis und Einfluss auf die hiesige Wirtschaft drastisch aus. Unternehmen, die einer der Sektorengruppen angehören, werden verpflichtet, Strukturen zu schaffen, Sicherheitssysteme anzuschaffen / zu erweitern, Fachpersonal zu akquirieren und damit eine entsprechende finanzielle Mehrbelastung in Kauf zu nehmen.
Auch, wenn die NIS2 erst im Oktober 2024 in Kraft treten wird, ist den Unternehmen anzuraten, so früh wie möglich zu prüfen, ob das Unternehmen unter eine der zwei Sektorengruppen fällt. Unabhängig davon, dass Unternehmen die interne Informationssicherheit sowieso stets an oberster Stelle positionieren sollten, sollten Unternehmen so früh wie möglich mit der Umsetzung beginnen. Denn sobald ein Großteil der Unternehmen die Fristen und Sanktionen wahrgenommen haben, ist mit einem Run auf Fachkräfte zu rechnen, die bereits heute am Markt kaum zu finden sind.
Anmerkungen
Wenn Ihnen dieser Artikel gefallen hat, können Sie ihn gerne an Ihre Kollegen weiterleiten oder ihn in sozialen Netzwerken teilen. Wenn Sie ein Experte auf diesem Gebiet sind und den Artikel kritisieren, befürworten oder diskutieren möchten, freue ich mich über eine private Nachricht.
Über den Author
Ralf Emanuel ist leidenschaftlicher Unternehmer. Er gründete zwei Unternehmen in der IT-Branche, nachdem er 1995 mehrere Enterprise IT-Projekte geleitet hatte. Nach der Entwicklung und dem Betrieb kritischer Unternehmensanwendungen in der Tourismus- und Finanzbranche, spezialisiert er sich heute auf IT-Beratung mit den Schwerpunkten Cyber-Sicherheit, digitale Transformation sowie Blockchain und berät Unternehmen bei ihrer strategischen Ausrichtung und übernimmt bei Bedarf als virtueller CISO die Verantwortung der Informationssicherheit in Unternehmen. Für weitere Details oder eine Kontaktaufnahme besuchen Sie https://virtual-cio.eu.