Am 24. Juli hat die Bundesregierung Ihren Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)) veröffentlicht.
Das griffig als „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ betitelte Gesetz muss nun noch vom Parlament beraten und verabschiedet werden, damit die Umsetzungsfrist der Richtlinie zum 17. Oktober 2024 noch eingehalten werden kann.
1 Die NIS-2-Richtlinie und das NIS2UmsuCG
Die NIS-2-Richtlinie enthält – sehr grob zusammengefasst – rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU, indem sie bestimmte Sektoren und Einrichtungen dazu verpflichtet, besondere Sicherheits- und Compliancemaßnahmen zu ergreifen.
Mit dem NIS2UmsuCG will der deutsche Gesetzgeber die NIS-2-Richtlinie nun in das deutsche Recht umsetzen. Dies erfolgt zu wesentlichen Teilen durch eine umfassende Änderung des BSI-Gesetzes (im Folgenden „BSIG-E“). Erklärtes Ziel der Bundesregierung ist es dabei, die Pflichten der NIS-2 Richtlinie für die Wirtschaft 1:1 umzusetzen, wie das Bundesinnenministerium in der Pressemitteilung vom 24. Juli 2024 mitteilt.
Ob und inwieweit dies gelingt, wird sich in den nächsten Wochen und Monaten zeigen. Auf den ersten Blick kontraintuitiv zu diesem Vorhaben wirkt es jedenfalls, dass das BSIG-E anders als die Richtlinie auch Regelungen zu Betreibern kritischer Anlagen enthält und auch Definitionen und Begriffe nicht immer 1:1 übernommen werden, wie auch von Branchenverbänden kritisiert wird. Auch die Adressaten werden nicht wie in der Richtlinie als „wesentliche“ und „wichtige“ Einrichtungen bezeichnet, sondern als „besonders wichtige“ und „wichtige“ Einrichtungen.
2 Anwendung auf bestimmte Sektoren und in der Lieferkette
Der Anwendungsbereich der neuen Vorschriften ist komplex mit vielen Regeln, Ausnahmen und Unterausnahmen. So enthält der den Anwendungsbereich für Unternehmen definierende § 28 BSIG-E acht Absätze und benötigt für die Umschreibung des Anwendungsbereichs zweieinhalb Seiten – wohlgemerkt ohne die Auflistung der relevanten Sektoren, welche in der Anlage des BSIG-E weitere sieben Seiten beansprucht.
Vereinfacht gesagt, findet das Gesetz nur auf bestimmte Sektoren Anwendung; was man in dieser Form bereits aus der aktuell gültigen KRITIS-VO kennt. Diese Sektoren werden allerdings gegenüber der KRITIS-VO erheblich ausgeweitet. So sind als Sektoren nunmehr umfasst:
- Energie
- Transport & Verkehr
- Finanzwesen
- Gesundheit
- Wasser
- Digitale Infrastrukturen
- Weltraum
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chem. Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Die Kategorie der Betreiber kritischer Anlagen wird daneben ebenfalls beibehalten und mit besonderen Pflichten verknüpft.
Aus den genannten Sektoren sind nicht alle Unternehmen, sondern wiederum nur bestimmte Branchen und Einrichtungsarten erfasst. So sind zum Beispiel Sektor „Digitale Infrastruktur“ Betreiber von Cloud-Computing-Diensten erfass oder Managed Services Provider und im Sektor „Anbieter digitaler Dienste“ Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Anbieter von Plattformen für Dienste sozialer Netzwerke erfasst.
Je nach Sektor werden wiederum nur entweder wichtige und/oder besonders wichtige Einrichtungen erfasst. Ob eine Einrichtung wichtig oder besonders wichtig ist, orientiert sich an den Schwellenwerten zur KMU-Definition. So sind besonders wichtige Einrichtungen solche Anbieter, die mindestens 250 Mitarbeitende oder einen Jahresumsatz über 50 Mio. Euro und eine Jahresbilanzsumme von über 43 Mio. Euro haben. Wichtige Einrichtungen haben mindestens 50 Mitarbeitende oder einen Jahresumsatz von über 10 Mio. Euro und eine Jahresbilanzsumme über 10 Mio. Euro.
Mittelbar werden die Anforderungen aber auch auf Unternehmen Wirkung entfalten, die nicht den Sektoren angehören oder unter die Schwellenwerte fallen, da die zu ergreifenden technischen und organisatorischen Maßnahmen nach § 30 Abs. 2 Nr. 4 BSIG-E auch umfassen, die Sicherheit in der Lieferkette sicherzustellen, weshalb sich früher oder später gerade auch viele Soft- und Hardwareanbieter mit den Anforderungen des BSIG-E werden beschäftigen müssen.
3 Pflichten aus dem BSI-Gesetz
Inhaltlich ergibt sich aus dem neuen Entwurf für das BSI-Gesetz vor allem die Verpflichtung, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der Systeme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (§ 30 Abs. 1 BSIG-E).
Der Gesetzentwurf enthält dazu einen umfangreichen Katalog von Mindestmaßnahmen. So müssen die ergriffenen Maßnahmen mindestens folgendes umfassen:
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Aber dies sind natürlich nicht die einzigen Pflichten. So enthält das Gesetz u.a. noch Registrierungspflichten bei den zuständigen Behörden und Meldepflichten bei Sicherheitsvorfällen
Insbesondere erwähnenswert ist auch die ausdrückliche Pflicht für Geschäftsleitungen sich zu schulen und zu überwachen, ob alle erforderlichen Maßnahmen ergriffen und umgesetzt werden.
4 Sanktionen
Der Bußgeldkatalog bei einem Verstoß gegen das Gesetz ist umfangreich und die mögliche Höhe des Bußgelds signifikant. So können die zuständigen Behörden – gestaffelt nach Einrichtung und Verstoß – ein Bußgeld von bis zu 10 Millionen EURO oder ab einem Umsatz von mehr als 500 Mio. EUR ein Bußgeld von bis zu 2 bzw. 1,4 Prozent des Jahresumsatzes verhängen.
5 Handlungsbedarf
Angesichts der umfangreichen Pflichten, des (zumindest durch die mittelbare Wirkung) ausgedehnten Anwendungsbereichs und der drohenden Sanktionen sollten sich also alle Unternehmen damit beschäftigen, ob und inwieweit sie unter die neuen Vorschriften fallen. Wenn Sie dabei Hilfe und Unterstützung benötigen, stehen wir Ihnen natürlich zur Verfügung.
Bild: mit KI generiert über Adobe Firefly