NIS-2 und die öffentliche Verwaltung : Frühes Handeln wird sich rechnen
Die Autor:inn:en unserer Grundschutz-Rubrik gehen im vorliegenden Artikel auf die Feinheiten der NIS-2-Richtlinie für die öffentliche Verwaltung ein und schildern mögliche Implementierungs-Problematiken beziehungsweise Chancen einer frühzeitigen Umsetzung geforderter Maßnahmen durch den öffentlichen Sektor
Mit der Verabschiedung der Netz- und Informationssysteme-Richtlinie (NIS) im Mai 2016 hatte die EU einen ersten Schritt in Richtung eines einheitlichen, gemeinsamen IT-Sicherheitsniveaus gewagt. Diese erste Version der Richtlinie kam allerdings nach dem deutschen IT-Sicherheitsgesetz und lief diesem inhaltlich nur hinterher. Dementsprechend war die Rezeption in Fachkreisen gemischt – so wurde sie oft als unzureichend und nicht weitgreifend genug bezeichnet. Der im November 2022 beschlossenen Folgeregelung, NIS-2 [1] oder auch NIS 2.0, kann man fehlenden Wagemut nicht vorhalten: Im Vergleich zur vorherigen Regelung übertritt sie die Vorgängerfußstapfen deutlich, was Geltungsbereich, Anforderungen und Strafen anbelangt. So werden neben der großen Zahl an Unternehmen, auch Verwaltungseinrichtungen in die Verantwortung genommen. Dementsprechend sollten sich diese bereits jetzt auf einen hohen Aufwand bei der Umsetzung der Richtlinie vorbereiten.
NIS-2-Definition der öffentlichen Verwaltung
In Art. 6 Abs. 35 lit. a–d steht, dass alle Einrichtungen als öffentliche Verwaltung zu verstehen sind, die mit dem Zweck gegründet wurden, Aufgaben zu erfüllen, die im allgemeinen Interesse liegen und keinen gewerblichen oder kommerziellen Charakter haben. Außerdem müssen diese Einrichtungen eine Rechtspersönlichkeit besitzen oder dazu befugt sein, im Namen einer anderen Einrichtung mit eigener Rechtspersönlichkeit zu handeln. Weiterhin muss die Finanzierung überwiegend über den Staat, Gebietskörperschaften oder von anderen Körperschaften des öffentlichen Rechts erfolgen. Hinsichtlich ihrer Leitung unterliegen diese der Aufsicht jener Körperschaften oder verfügen über ein Verwaltungs-, Leitungs- bzw. Aufsichtsorgan, das mehrheitlich aus Mitgliedern besteht, die vom Staat, von Gebietskörperschaften oder von anderen Körperschaften des öffentlichen Rechts eingesetzt worden sind. Außerdem müssen Einrichtungen der öffentlichen Verwaltung befugt sein, Verwaltungs- oder Regulierungsentscheidungen an natürliche oder juristische Personen zu richten, die deren Rechte im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren.
Ein Geltungsbereich mit vielen Ausnahmen
Generell sind die in den Geltungsbereich fallenden Verwaltungseinheiten – gemäß Art. 3 Abs. 1 lit. d – immer als „wesentliche“ Einrichtungen zu betrachten (vgl. S. 19). Insgesamt gibt es drei Möglichkeiten, nach denen Verwaltungseinrichtungen von NIS-2 betroffen sein können. Erstens, wenn sie nach nationalem Recht zur Zentralregierung gehören (Art. 2 Abs. 2 lit. f i–ii). Zweitens, wenn sie öffentliche Verwaltungen auf Landesebene sind, die nach risikobasierter Betrachtung Dienste mit erheblichen Auswirkungen auf Gesellschaft und Wirtschaft erbringen (ebenda). Drittens, wenn sie kommunale Verwaltungen sind, die von den jeweiligen Mitgliedsstaaten als relevant zur Inkludierung angesehen werden (Art. 2 Abs. 5 lit. a). Interessant ist, dass diese auf der Mitgliedsstaaten-Perspektive beruhende Inkludierung nicht nur für Verwaltungseinrichtungen gilt, sondern gleichermaßen auch im Unternehmenskontext angewendet werden kann – beispielsweise nach herausragender Kritikalität oder Monopolstellung.
Nicht inkludiert sind Einrichtungen der öffentlichen Verwaltung, die in Bereichen der nationalen oder öffentlichen Sicherheit, Verteidigung oder Strafverfolgung agieren. Dies schließt auch Verwaltungseinrichtungen ein, die in der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten aktiv sind. Außerdem können Mitgliedsstaaten die derart exkludierten Einrichtungen auch von den Risikomanagementmaßnahmen (Art. 21) und Berichtspflichten (Art. 23) befreien – und haben die Möglichkeit, Einrichtungen der öffentlichen Verwaltung, die ausschließlich in den vorgenannten Bereichen aktiv sind, von der Klassifizierung in „wesentliche“ und „wichtige“ Einrichtungen sowie dem Register dieser Einrichtungen auszunehmen.
Diese dem Sicherheitsapparat zuzurechnenden Einrichtungen dürfen jedoch nicht vom Geltungsbereich der NIS-2-Richtlinie ausgenommen werden, falls sie einen Vertrauensdienst nach eIDAS-Verordnung Art. 3 Abs. 16 bereitstellen. Ein Vertrauensdienst ist in diesem Kontext ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und unter anderem Folgendes umfasst: Erstellung, Überprüfung und Validierung von elektronischen Signaturen, Siegeln oder Zeitstempeln sowie die Überprüfung und Validierung von Zertifikaten für die Websiteauthentifizierung. Nach Art. 6 Abs. 35 sind außerdem Einrichtungen der Justiz, Parlamente und Zentralbanken nicht als Einrichtungen der öffentlichen Verwaltung zu verstehen.
Damit fallen gemäß Art. 2 Abs. 2 lit. f mindestens 2.274.000 Beschäftigte bei Bundes- und Landesbehörden in den Geltungsbereich der NIS-2-Richtlinie, wovon rund 514.000 beim Bund und 1,76 Millionen auf Landesebene angestellt sind (Quelle: www.destatis.de/DE/Themen/Staat/Oeffentlicher-Dienst/Tabellen/beschaeftigte-aufgaben.html). Ob noch weitere 1,51 Millionen Beschäftigte auf kommunaler Ebene dazukommen werden, bleibt abzuwarten. Eine Inkludierung wäre nach Sicherheitsaspekten jedenfalls wünschenswert, obwohl freiwillig und im Ermessen der Regierung liegend. Allein die Vielzahl von Attacken im Jahr 2022 sowie ihre schwerwiegenden Folgen unterstreichen den Sinn und die Notwendigkeit der Aufnahme kommunaler Verwaltungen in den Geltungsbereich.
Anforderungen von NIS-2
Der Bereich der öffentlichen Verwaltungen, die der NIS-2-Richtlinie unterliegen, ist also alles andere als klein. Wie andere, nichtöffentliche Einrichtungen müssen sie die in Art. 21 Abs. 1 definierten Risikomanagementmaßnahmen erfüllen. Diese umfassen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- die Bewältigung von Sicherheitsvorfällen
- die Aufrechterhaltung des Betriebs, etwa durch Backup-Management und Wiederherstellung nach einem Notfall
- das Krisenmanagement
- die Gewährleistung der Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen
- die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Zusätzlich müssen betroffene Einrichtungen Berichtspflichten aus Art. 23 Abs. 3–4 erfüllen, die bei einem erheblichen Sicherheitsvorfall – das heißt einer schwerwiegenden Betriebsstörung von Diensten, finanziellen Verlusten oder erheblichen materiellen/immateriellen Schäden bei natürlichen oder juristischen Personen – eine Erstunterrichtung der Aufsichtsbehörden innerhalb von 24 Stunden mit kontinuierlicher Berichterstattung vorsehen.
Kontrollmechanismen
Da öffentliche Einrichtungen als „wesentlich“ klassifiziert sind, unterliegen sie einem umfassenden Ex-ante- und Ex-post-Aufsichtssystem, das die vorher genannten Anforderungen und Pflichten prüft. Dazu können gemäß Art. 32 Abs. 2 unter anderem Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen, regelmäßige und gezielte Sicherheitsprüfungen, Ad-hoc-Prüfungen, Sicherheits-Scans auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter Risikobewertungskriterien, die Herausgabe von Informationen, die für die Bewertung der von der betreffenden Einrichtung ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind, sowie die Bereitstellung von Nachweisen für die Umsetzung der Cybersicherheitskonzepte (z. B. Ergebnisse von Sicherheitsprüfungen) gefordert beziehungsweise angewendet werden. Somit rollt auf Verwaltungseinrichtungen ein umfassender Kontrollmechanismus zu, der in diesem Maße ein Novum darstellt.
Einschränkungen
Für Unternehmen, die als „wesentlich“ oder „wichtig“ klassifiziert sind, drohen bei Nichterfüllung der Anforderungen aus Art. 21 (Risikomanagementmaßnahmen) und Art. 23 (Berichtspflichten) erhebliche Geldbußen (Art. 34). Von diesem Haftungs- und Sanktionsmechanismus sind öffentliche Einrichtungen sowohl direkt als auch indirekt exkludiert: So wird in Art. 20 Abs. 1 im zweiten Abschnitt festgehalten, dass die Überwachung der Umsetzung und Bestrafung gegen Verstöße in Bezug auf die für die öffentlichen Einrichtungen geltenden Haftungsregelungen sowie die Haftung von öffentlichen Bediensteten und gewählten oder ernannten Amtsträgern den nationalen Rechtsvorschriften unterliegt und dementsprechend von NIS-2 unberührt bleibt.
Auch die bereits angerissenen Aufsichts- und Durchsetzungsmaßnahmen aus Art. 32 Abs. 2 gelten nur begrenzt für öffentliche Einrichtungen: Diese müssen etwa keine Fristen oder Zertifizierungsmaßnahmen erfüllen (Art. 32 Abs. 5). In Art. 34 Abs. 7 wird außerdem festgelegt, dass jeder Mitgliedsstaat individuell Vorschriften bestimmt, ob und in welchem Umfang gegen Einrichtungen der öffentlichen Verwaltung Geldbußen verhängt werden können.
Trotz aller Ausnahmen wird in Art. 32 Abs. 6 jedoch festgelegt, dass die für die öffentlichen Einrichtungen verantwortlichen Personen zu gewährleisten haben, dass unter ihrer Verantwortlichkeit stehende Einrichtungen die Richtlinie erfüllen, und sie selbst bei Verstößen gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Vorschriften haftbar gemacht werden können. Dabei wird explizit hinzugefügt, dass dies unabhängig von nationalen Rechtsvorschriften gilt. Unklar ist, wie diese Haftung aussieht und inwiefern sie auch in der Praxis Anwendung finden wird.
Anmerkungen
Die Richtlinie umfasst neben den bindenden Artikeln auch 28 Seiten voller Ziele, Gründe sowie Anmerkungen zur Erklärung des Gesetzestextes. Diese Anmerkungen müssen nicht in nationales Recht umgesetzt werden, aber dienen – wie der Umgang mit anderen EU-Gesetzestexten zeigt – oft als Orientierung bei der Umsetzung durch EU-Mitgliedsstaaten. Bei der NIS-2 Richtlinie wird dieser Usus besonders wichtig sein, da eine unterschiedliche Interpretation und Auslegung zu starken „Kooperationsschmerzen“ für Unternehmen führen könnte – gerade für Einrichtungen mit grenzüberschreitenden Aktivitäten.
Unter anderem wird in den Anmerkungen ausgeführt, dass der Geltungsbereich sich auch nach den Anteilen richten soll, zu welchen sich Einrichtungen mit bestimmten Themen beschäftigen. So ist in Art. 2 bereits festgelegt, dass öffentliche Verwaltung, nationale und öffentliche Sicherheit, Verteidigung und Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten (nachfolgend „Sicherheitsapparat“) ausgeschlossen sind. In Anmerkung 8 wird allerdings nochmals spezifiziert, dass Einrichtungen, die nur geringfügig mit diesen Bereichen zu tun haben oder Regulierungskompetenzen haben, dennoch weiterhin in den Geltungsbereich der Richtlinie fallen sollen. Behörden mit Fokus auf Datenschutz oder Privatsphäre sollen hingegen von der Richtlinie ausgeschlossen werden (Anm. 14).
Auch in der internationalen Zusammenarbeit sollen öffentlichen Verwaltungen größtenteils ausgeschlossen werden (Anm. 8). So wird spezifiziert, dass eine Einrichtung, die in Kooperation mit einem Drittland gegründet wurde oder eine diplomatische oder konsularische Vertretung darstellt, nicht unter den Anwendungsrahmen der Richtlinie fallen soll. Dasselbe soll auch für Systeme gelten, wenn sie nur für Nutzer aus Drittländern oder in deren Räumlichkeiten betrieben werden.
Wie bereits im Kontext des Sicherheitsapparats angerissen, sollen Vertrauensdienste (Siegel, Signaturen etc.) und Dienstleister, die von öffentlichen Verwaltungen betrieben werden und auch zum Sicherheitsapparat gehören, aber deren Vertrauensdienste nur in geschlossenen Systemen oder nur für bestimmte Beteiligte funktionieren, nicht in den Anwendungsbereich von NIS-2 fallen (Anm. 11). Außerdem sollen Verwaltungseinrichtungen der Europäischen Union ausgenommen werden (Anm. 37).
Neben den Erläuterungen zum Geltungsbereich beschreiben die Anmerkungen auch Details zu möglichen Konsequenzen: So soll es den Mitgliedsstaaten obliegen, „ob und inwieweit“ Geldbußen für öffentliche Verwaltungen ausgesprochen werden dürfen (Anm. 130). Sanktionen sollten harmonisiert werden und wo das nicht möglich ist, sollten jedenfalls für schwere Verstöße „wirksame, verhältnismäßige und abschreckende“ Strafen festgelegt werden (Anm. 132). Weiterhin soll eine Behörde, auch wenn sie bereits mit Sanktionen belegt wurde, ihre Tätigkeiten in anderen Bereichen doch weiterhin ausüben dürfen (Anm. 130).
Absehbare Umsetzungs-Probleme
Die oben angerissenen, in Art. 21 Abs. 2 beschriebenen Maßnahmen dürften dem Fachpublikum hinlänglich bekannt sein. Sie orientieren sich an gängigen BestPractices und erfassen beispielsweise die Umsetzung eines Informationssicherheits-Managementsystems (ISMS), Business-Continuity-Management (BCM) oder IncidentManagement.
Probleme wird wahrscheinlich eher die Umsetzung in der Breite bereiten: Mit mehr als 40.000 direkt in den Geltungsbereich fallenden Einrichtungen – und noch mehr Unternehmen, die in den Dienstleistungspassus von Art. 21 Abs. 2 lit. d fallen – wird es bis zum nationalen Umsetzungszieldatum der Richtlinie im Oktober 2024 (und darüber hinaus) einen essenziellen Mangel an Fachkräften geben, welche die geforderten Maßnahmen in den betroffenen Einrichtungen tatsächlich umsetzen können. Das inkludiert sowohl interne als auch externe Kräfte: Denn die jeweiligen Maßnahmen brauchen sowohl Expertise bei der Implementierung als auch Kompetenz in der Aufrechterhaltung und Pflege – sowie bei der Umsetzung der Meldepflichten im Fall der Fälle.
Dabei lässt sich bereits jetzt ein Vorteil für diejenigen Einrichtungen prognostizieren, die frühzeitig Personal auf die zu implementierenden Maßnahmen vorbereiten und externe Fachkräfte zur Unterstützung akquirieren. Dieser Vorteil besteht nicht nur in den dann ausbleibenden Folgen einer zur erwartenden nachteiligen Preisentwicklung, die durch die Mangelsituation entstehen wird. Vielmehr wird das Problem später vor allem in der verfügbaren Kapazität und dem Wettkampf um die Mangelware einkaufbarer Expertise liegen. Durch hohe Strafen sind vor allem Privatunternehmen incentiviert, die geforderten Maßnahmen schnellstmöglich umzusetzen. Dass alle Akteure, welche Maßnahmen umsetzen müssen, das bis Herbst 2024 tatsächlich schaffen, ist allerdings unwahrscheinlich – und lässt an die Umsetzungsschmerzen bei der EU Datenschutzgrundverordnung (DSGVO) erinnern.
Bereits vor der Neuauflage der NIS-Richtlinie hatte die Europäische Union ein Impact-Assessment angestellt, um mögliche Kostenentwicklungen zu approximieren und den Aufwand für Mitgliedsstaaten und deren Unternehmen zu schätzen. Dabei sind retrospektiv konzeptionelle Schwächen zu erkennen, welche die Umsetzbarkeit auf breiter Ebene übermäßig positiv erscheinen ließen: So wurden in den unterschiedlichen Szenarien Anstiege im Bereich von 20–30 % der durchschnittlichen Kosten prognostiziert, was im Rahmen der europäischen Konkurrenzsituation und dem bereits jetzt vorherrschenden Druck als nicht realistisch erscheint.
Auch die Gründung von öffentlich-privaten Partnerschaften (ÖPP), um das Fachwissen im Bereich Cybersicherheit zwischen Unternehmen und Behörden auszutauschen, wie in Anmerkung 55 angegeben, erscheint zwar sinnvoll, diese Gründungen müssten aber im Kontext der wirtschaftlichen Anreize für Unternehmen zumindest subventioniert werden. Dementsprechend sind die Forderungen von fachkundigen Politiker:innen bei der Einordnung der Richtlinie nach Subventionen zu deren Umsetzung nachzuvollziehen. Wenn KMU sowie öffentliche Einrichtungen die NIS-2-Richtlinie sinnvoll umsetzen sollen, werden sie von öffentlichen Förderungen abhängig sein, um gegen finanziell besser aufgestellte Unternehmen im Wettkampf um Expertise mithalten zu können.
Fazit
Die in NIS-2 formulierten Anforderungen und Pflichten sind gemäß der – vor allem in den letzten zwei Jahren – zu beobachtenden Bedrohungslage willkommen zu heißen. Dabei werden die Inhalte in Fachkreisen als guter Standard bewertet und geben den umsetzenden Einrichtungen einen Startpunkt, um ihre Resilienz nachhaltig zu stärken.
Allerdings lässt sich aufgrund der vielen Ausnahmen, gerade im Sicherheitsapparat, eine zu geringe Umsetzung prognostizieren. Auch das Exkludieren der europäischen Einrichtungen in den Anmerkungen verwundert. Was im öffentlichen Bereich gänzlich fehlt, ist eine gesicherte und harmonisierte Sanktionsmöglichkeit. Somit werden wieder Vollzugsdefizite zugelassen, die letzten Endes sicherheitstechnisch bedenkliche Situationen ermöglichen oder nicht verhindern können.
Es bleibt jedoch zu hoffen, dass die betroffenen öffentlichen Verwaltungen jetzt schnell reagieren und proaktiv mit der Umsetzung anfangen, bevor der Rest des Markts selbiges tut.
Rafael Trampnau und Kalina Sperber arbeiten im Security Consulting der HiSolutions AG.
Literatur
[1] Europäische Union, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555