Die im Januar 2023 in Kraft getretene EU-Richtlinie NIS2 (EU 2022/2555) setzt neue Maßstäbe für Cybersicherheit in der Europäischen Union. In Deutschland wird sie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, dessen Inkrafttreten im März 2025 erwartet wird. Unternehmen müssen sich auf die Implementierung umfangreicher Sicherheitsmaßnahmen einstellen, um darin vorgeschriebenen Anforderungen zu erfüllen. Als Artikelgesetz ändert das NIS2UmsuCG eine Reihe bestehender Gesetze: Neben dem BSI-Gesetz ist dies u.a. das Energiewirtschaftsgesetz (EnWG), das Telekommunikationsgesetz (TKG) und das Telekommunikations-Digitale-Dienste-Datenschutzgesetz (TDDDG).
Betroffene Unternehmen
Das NIS2UmsuCG unterteilt betroffene Unternehmen in drei Kategorien: Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen. Bei den Betreibern kritische Anlagen handelt es sich um die bisherige Kritische Infrastruktur (KRITIS), wie sie durch die bisherige Kritis-Verordnung geregelt ist. Besonders wichtige und wichtige Einrichtungen werden u.a. anhand ihres Tätigkeitssektors definiert. Zu den betroffenen Sektoren gehören neben Energie, Wasserversorgung und Gesundheit auch Transport und Verkehr sowie digitale Dienste. Neben dem Sektor entscheiden die Anzahl der Beschäftigten sowie der Jahresumsatz und die Jahresbilanz darüber, ob es sich um eine besonders wichtige oder wichtige Einrichtung handelt. Beispielsweise gelten Unternehmen mit einer Geschäftstätigkeit in einem der Sektoren und mehr als 250 Mitarbeitenden oder einem Jahresumsatz und -bilanz von über 50 bzw. 43 Millionen Euro als besonders wichtige Einrichtungen. Kleinere Unternehmen können als wichtige Einrichtungen eingestuft werden, wenn sie in einem der einschlägigen Sektoren tätig sind und mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz und -bilanz von jeweils über 10 Millionen Euro erzielen. Zu beachten ist, dass hierbei laut Gesetzesbegründung nur diejenigen Mitarbeitender zu berücksichtigen sind, die tatsächlich im Bereich des durch das NIS2UmsuCG erfassten Sektors tätig sind; Analoges gilt für die Bestimmung des Umsatzes und der Bilanz.
Melde- und Registrierungspflichten sowie Risikomanagementmaßnahmen
Unternehmen, die unter das NIS2UmsuCG fallen, sind verpflichtet, erhebliche Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Diese Meldepflicht erfolgt in drei Schritten: Eine Erstmeldung muss innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls erfolgen, eine detaillierte Folgemeldung innerhalb von 72 Stunden und eine Abschlussmeldung spätestens einen Monat nach Eintritt des Vorfalls. Das Ziel dieser Berichterstattung ist es, das BSI frühzeitig über potenzielle Bedrohungstrends zu informieren und hierauf basierend die Erstellung von Warnmeldungen für Unternehmen mit ähnlichem Tätigkeitssektor zu erstellen. Weiterhin besteht für betroffene Unternehmen eine Registrierungspflicht, die neben einer Übermittlung des Organisationsnamens, der Rechtsform und, sofern vorhanden, der Handelsregisternummer sowie der Kontaktdaten auch die Angabe öffentlicher IP-Adressbereiche umfasst. Energieversorgungsunternehmen trifft im Rahmen der Registrierung die weitergehende Forderung, jederzeit, d.h. 24/7, über die bei der Registrierung eingerichteten Kontaktstelle erreichbar zu sein.
Ein wesentlicher Teil des NIS2UmsuCG sind zudem zehn Risikomanagementmaßnahmen, die betroffene Unternehmen umsetzen müssen. Diese beinhalten unter anderem das Management von Sicherheitsvorfällen, die Sicherstellung der Business Continuity, die Sicherheit der Lieferkette, Schwachstellenmanagement, Zugriffskontrollen sowie den Einsatz von Kryptografie. Auch die Einführung von Multifaktorauthentifizierung und die Bewertung ergriffener Maßnahmen sind festgelegte Anforderungen.
Verantwortung der Geschäftsleitung
Die Geschäftsleitung trägt eine besondere Verantwortung bei der Umsetzung der Cybersicherheitsmaßnahmen. Sie ist gesetzlich dazu verpflichtet, die zehn Risikomanagementmaßnahmen nicht nur zu implementieren, sondern deren Umsetzung auch fortlaufend zu überwachen. Eine Delegation dieser Aufgaben an andere Mitarbeitende ist zwar möglich, die Geschäftsleitung bleibt jedoch letztverantwortlich.
Geschäftsleitungen sind zudem verpflichtet, alle drei Jahre an Schulungen teilzunehmen, um über die neuesten Entwicklungen in der Cybersicherheit informiert zu bleiben und Risiken effektiv bewerten zu können. Diese Schulungen sollen die Geschäftsleitungen dazu befähigen, die Auswirkungen von Risiken und Gegenmaßnahmen auf das Unternehmen beurteilen zu können.
Ausnahmen und Unklarheiten bei Querverbundunternehmen
Für Querverbundunternehmen, die in mehreren Sektoren tätig sind, bleiben einige Regelungen des Gesetzes unklar. Grundsätzlich sind Unternehmen aus den Sektoren Telekommunikation und Energie von den Regelungen des NIS2UmsuCG ausgenommen, da sie bereits durch sektorspezifische Gesetze, nämlich das EnWG bzw. TKG, reguliert werden. Allerdings gilt diese Ausnahme nicht, wenn es sich um Betreiber kritischer Anlagen oder Querverbundunternehmen handelt. Welche IT-Systeme in diesen Fällen tatsächlich von welchem Gesetz reguliert werden, ist jedoch noch unklar und wird für Energieversorgungsunternehmen erst durch die Veröffentlichung eines überarbeiteten IT-Sicherheitskatalogs final geklärt werden.
Nachweise und Audits
Eine Nachweispflicht zur Erfüllung der Cybersicherheitsanforderungen besteht in erster Linie für Betreiber kritischer Anlagen. Diese müssen belegen, dass sie „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ (vgl. § 30 BSIG) umgesetzt haben. Besonders wichtige Einrichtungen können durch das BSI zu Audits und Prüfungen verpflichtet werden; denkbar wäre, dass eine solche Verpflichtung die Zertifizierung auf Grundlage der ISO/IEC 27001, also die Planung, den Aufbau und Betrieb sowie die fortlaufende Verbesserung eines sog. Informationssicherheitsmanagementsystems, beinhaltet. Für wichtige Einrichtungen gilt dies nur bei einem konkreten Verdacht auf Mängel. Ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) kann dabei helfen, die Einhaltung der Vorgaben zu dokumentieren.
Fazit
Die Umsetzung des NIS2UmsuCG bringt für viele Unternehmen neue Herausforderungen mit sich, insbesondere im Bereich der Cybersicherheit und des Risikomanagements. Betroffene Unternehmen müssen sich auf strengere Anforderungen und erweiterte Meldepflichten einstellen. Insbesondere die Umsetzung der zehn vorgeschriebenen Risikomanagementmaßnahmeng und die Erfüllung der Meldepflichten erfordern eine strategische Anpassung in vielen Unternehmen. Um sicherzustellen, dass Sie den Anforderungen des NIS2UmsuCG gerecht werden, unterstützen wir Sie gerne. Wir bieten Ihnen eine umfassende Betroffenheitsanalyse und beraten Sie bei der Einführung und Umsetzung der erforderlichen Maßnahmen. Kontaktieren Sie uns, um die Cybersicherheit Ihres Unternehmens zu stärken und die neuen gesetzlichen Vorgaben effizient umzusetzen.
