Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

BSI Forum : Umsetzung der NIS‑2-Richtlinie : Welche neuen Anforderungen kommen auf die Wirtschaft zu und wie können sich Unternehmen schon heute vorbereiten?

Mit der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) hat die EU neue Maßstäbe für die europäische IT-Sicherheit gesetzt. Die Richtlinie erweitert den Kreis der regulierten Unternehmen gegenüber den bisher regulierten kritischen Infrastrukturen (KRITIS) erheblich und stellt hohe Anforderungen an deren Netzwerk- und Informationssicherheit. Die nationale Umsetzung der EU-Richtlinie wird in Deutschland vor allem durch eine Änderung des BSI-Gesetzes erfolgen. Das BSI bietet einen ersten Überblick über den voraussichtlichen Regelungsinhalt für die Wirtschaft (Registrierungspflicht, Meldepflicht, Nachweispflicht) und gibt praktische Hinweise, welche Maßnahmen Unternehmen bereits heute ergreifen können.

Lesezeit 8 Min.

Von Marian Blok, Referat W 13 – KRITIS-Sektoren Transport und Verkehr, Weltraum und Ernährung, BSI

In der Regulierung von IT-Sicherheit in Unternehmen steht der nächste große Schritt an: Die nationale Umsetzung der europäischen NIS-2-Richtlinie wird sowohl für die betroffenen Organisationen als auch für das BSI als zentrale Cybersicherheitsbehörde des Bundes erhebliche zusätzliche Anforderungen mit sich bringen. Die im Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) beschriebenen Änderungen des BSI-Gesetzes (BSIG) stellen die umfassendste Novellierung im Bereich der Cybersicherheit für Wirtschaft und Staat seit dem ersten IT-Sicherheitsgesetz aus dem Jahr 2015 dar. Statt für bisher etwas mehr als 1000 regulierte KRITIS-Betreiber wird das BSI künftig für etwa 30 000 Unternehmen zur Aufsichtsbehörde.

Die entscheidende Motivation hinter der Ende 2022 in Kraft getretenen NIS-2-Richtlinie ist die europäische Harmonisierung der Cybersicherheit der wichtigsten Organisationen: Kritische Infrastrukturen sind entscheidend für die Versorgungssicherheit der Bevölkerung; die künftig ebenfalls regulierten besonders wichtigen (bwE) und wichtigen Einrichtungen (wE) nimmt die Richtlinie außerdem aufgrund ihrer wirtschaftlichen Bedeutung auf.

Viele Unternehmen sind von der NIS-2-Richtlinie betroffen.

Nationale Umsetzung

Im Dezember 2022 ist die EU mit der NIS-2-Richtlinie einen großen Schritt in Richtung EU-weiter Harmonisierung und Verbesserung von IT-Sicherheit gegangen. Am 27. Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L 333 der Europäischen Union veröffentlicht. Die Richtlinie stellt eine Weiterentwicklung der (ersten) NIS-Richtlinie aus dem Jahr 2016 („EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz-und Informationssystemen in der Union“) dar und stellt Anforderungen an die Netzwerk- und Informationssicherheit, die unter anderem von Unternehmen umgesetzt werden müssen. Neben der Verbesserung der Netzwerk- und Informationssicherheit ist die Schaffung eines gemeinsamen hohen Sicherheitsniveaus in der EU ein zentrales Ziel der NIS-2-Richtlinie.

EU-Richtlinien müssen in nationales Recht überführt werden, um wirksam zu werden. In Deutschland erfolgt die Umsetzung durch das NIS2UmsuCG, das umfangreiche Änderungen des BSIG vorsieht. Der Gesetzgebungsprozess des NIS2UmsuCG ist allerdings noch nicht abgeschlossen, daher kann das BSI zurzeit keine verbindlichen Informationen zur voraussichtlichen Betroffenheit und den daraus folgenden gesetzlichen Pflichten erteilen. Aus diesem Grund wird im Folgenden auf den Regelungsinhalt der NIS-2-Richtlinie Bezug genommen. Unabhängig davon, wie die Umsetzung in Deutschland im Detail aussehen wird, gibt das BSI konkrete Hinweise, welche Maßnahmen voraussichtlich betroffene Einrichtungen schon heute ergreifen sollten, um ihre Cybersicherheit systematisch zu verbessern und sich damit auch auf die neuen gesetzlichen Anforderungen vorzubereiten.

Kontinuität in der Gesetzgebung beim Schutz wichtiger Organisationen

Die Umsetzung der NIS-2-Richtlinie bedeutet Kontinuität in der Regulierung und setzt einen Weg fort, der vor etwa zehn Jahren begonnen hat: Die Regulierung der IT bei KRITIS-Betreibern begann 2015 mit dem ersten IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme), mit dem die gesetzlichen Grundlagen der Regulierung kritischer Infrastrukturen (KRITIS) geschaffen wurden. KRITIS müssen seither eine Kontaktstelle beim BSI registrieren, bedeutende IT-Sicherheitsvorfälle melden und nachweisen, dass ihre IT-Sicherheit dem Stand der Technik entspricht.

Im Jahr 2016 wurde mit der ersten europäischen NIS-Richtlinie ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen. Die NIS-Richtlinie sah insbesondere eine bessere Zusammenarbeit der Mitgliedstaaten sowie Mindestsicherheitsanforderungen und Meldepflichten für KRITIS sowie für bestimmte Anbieter digitaler Dienste vor. Ebenfalls 2016 wurde die BSI-KRITIS-Verordnung erlassen, die mit Anlagekategorien und Schwellenwerten festlegte, welche Unternehmen von der KRITIS-Regulierung erfasst sind.

2021 wurde mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) der Kreis der regulierten Unternehmen um den neuen KRITIS-Sektor „Siedlungsabfallentsorgung“ erweitert. Außerdem wurde die Pflicht zum Einsatz von Systemen zur Angriffserkennung (SzA) ins BSI-Gesetz aufgenommen. Diese Systeme stellen eine effektive Maßnahme zur (frühzeitigen) Erkennung von Cyber-Angriffen dar und unterstützen die Schadensreduktion. KRITIS müssen den Einsatz von SzA gegenüber dem BSI nachweisen. Darüber hinaus wurde die Regulierung auf „Unternehmen im besonderen öffentlichen Interesse“ (UBI) ausgedehnt. Hierbei handelt es sich um Hersteller von Rüstung und Produkten für Verschlusssachen, Unternehmen von erheblicher volkswirtschaftlicher Bedeutung und Unternehmen, die gefährliche Chemikalien erzeugen. Im Zuge der Umsetzung der NIS-2-Richtlinie werden die UBI eine Teilmenge der (besonders) wichtigen Unternehmen sein.

Die aktuelle NIS-2-Richtlinie adressiert nun wesentlich mehr Organisationen: Statt etwa 1000 und einigen weiteren regulierten Unternehmen werden künftig voraussichtlich rund 30 000 Unternehmen als bwE und wE von der Regulierung erfasst. Die aktuellen gesetzlichen Regelungen für KRITIS bleiben weitgehend bestehen. KRITIS werden eine Teilmenge der besonders wichtigen Einrichtungen sein, für sie gelten aber weiterhin die umfassendsten gesetzlichen Pflichten.

Kriterien für die Betroffenheit: vor allem Sektorzugehörigkeit und Größe

Durch NIS-2 fallen 29 000 Unternehmen zusätzlich in eine Regulierung durch das BSI: Knapp 8000 davon werden sich wahrscheinlich als bwE registrieren, circa 21 000 werden voraussichtlich wE. Welche Unternehmen sind konkret betroffen? Die NIS-2-Richtlinie gibt Kriterien vor: zum einen die Zugehörigkeit zu bestimmten Branchen beziehungsweise Sektoren oder die Erbringung bestimmter Dienste, zum anderen durch bestimmte Unternehmenskennzahlen (Anzahl Mitarbeitende, Jahresumsatz, Jahresbilanzsumme). Die betroffenen Sektoren der NIS-2-Richtlinie (aus Anhang I und II der Richtlinie) sind teilweise kongruent mit den KRITIS-Sektoren, erweitern sie aber auch an einigen Stellen. Die NIS-2 unterscheidet zwischen elf Sektoren besonders wichtiger Einrichtungen aus Anhang I und sieben Sektoren wichtiger Einrichtungen aus Anhang II.

Neben der Sektorzugehörigkeit ist bei der Identifikation von bwE und wE die Größe des Unternehmens entscheidend. Die NIS-2-Richtlinie bezieht sich auf die Definition der EU für kleine und mittlere Unternehmen (KMU), die in der EU-Empfehlung 2003/361 benannt ist. Besonders wichtige Einrichtungen sind Großunternehmen, wichtige Einrichtungen mittlere Unternehmen im Sinne der EU-KMU Definition. Ausnahmen gibt es im Sektor IT und Telekommunikation: Hier gelten auch einige Unternehmen ungeachtet der Größe zu den bwE beziehungsweise wE.

Tabelle 1: Betroffene Sektoren der NIS-2-Richtlinie
Tabelle 2: Erläuterung der „Size-Cap-Rule“

Pflichten regulierter Unternehmen

Das Gesetzgebungsverfahren des NIS2UmsuCG ist noch nicht abgeschlossen. Erst mit dem verabschiedeten Gesetz wird es Klarheit geben, welche dieser Pflichten in welcher Form umgesetzt werden müssen.

KRITIS müssen bereits seit mehreren Jahren beim BSI eine Kontaktstelle registrieren, IT-Störungen oder erhebliche Beeinträchtigungen melden, IT-Sicherheit auf dem „Stand der Technik“ umsetzen und dies alle zwei Jahre gegenüber dem BSI nachweisen. Die von der NIS-2-Richtlinie betroffenen bwE und wE müssen künftig ebenfalls abgestufte Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI erfüllen. Die neuen gesetzlichen Pflichten für bwE und die wE werden voraussichtlich einen geringeren Umfang haben als die der KRITIS.

Nach Abschluss des Gesetzgebungsverfahrens des NIS2UmsuCG wird das BSI Informationen zur gesetzlich vorgeschriebenen Registrierung beim BSI veröffentlichen. Voraussichtlich werden bwE und wE darüber hinaus verpflichtet, angemessene Sicherheitsmaßnahmen zu treffen. Sie unterfallen einer Nachweispflicht und werden auch gesetzlich verpflichtet sein, dem BSI IT-Sicherheitsvorfälle zu melden.

Insbesondere werden alle NIS-2-regulierten Unternehmen zu bestimmten IT-Sicherheitsmaßnahmen verpflichtet: Die NIS-2-regulierten Organisationen müssen technisch-organisatorische Maßnahmen zur Absicherung des Unternehmens treffen. Die Maßnahmen sollen ebenfalls dem Stand der Technik entsprechen. Konkret werden folgende Aspekte adressiert: Information-Security- Management, Risikomanagement, Incident-Management/-Response, Business-Continuity-Mangement, Sicherung der Lieferkette, Schwachstellenmanagement, IT-Sicherheitsschulungen, Verschlüsselung, sichere Kommunikation.

Die Verantwortung zur wirksamen Umsetzung dieser Maßnahmen wird in der Regulierung explizit den Geschäftsleitungen auferlegt. Die Geschäftsleitungen haben eine Binnenhaftung gegenüber ihrem Unternehmen, wenn sie ihren Verpflichtungen nicht nachkommen. Bei erheblichen Sicherheitsvorfällen kann es zudem eine Unterrichtungspflicht gegenüber Kunden geben, wenn bwE und wE dazu vom BSI aufgefordert werden.

Erste Hilfestellungen des BSI

In der Wirtschaft gibt es aktuell Unsicherheit im Hinblick auf NIS-2 – Unternehmen wollen Klarheit darüber, ob sie betroffen sind und welche Anforderungen sie zu erfüllen haben, wenn sie unter die Regulierung fallen. Das BSI wird die regulierte Wirtschaft daher bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten. Das BSI wird den bewährten Ansatz der kooperativen Regulierung fortführen und weiterentwickeln. Das BSI hat deswegen erste Hilfestellungen für Unternehmen veröffentlicht:

  • Die NIS-2-Betroffenheitsprüfung ist das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-Richtlinie in Deutschland erfasst sein wird. Zusätzlich veröffentlicht ist der Entscheidungsbaum, der der NIS-2-Betroffenheitsprüfung zugrunde liegt: www.bsi.bund.de/dok/nis-2-betroffenheitspruefung
  • Die NIS-2-FAQ bieten eine Sammlung von Antworten auf die am häufigsten gestellten Fragen zur NIS-2-Richtlinie: www.bsi.bund.de/dok/nis-2-faq
  • Die Seite „NIS-2 ‒ Was tun?“ enthält Hinweise, was wichtige und besonders wichtige Einrichtungen jetzt schon tun können: www.bsi.bund.de/dok/nis-2-was-tun

Neben den beschriebenen Maßnahmen wird das BSI in den kommenden Monaten weitere Unterstützungsangebote schaffen und Kommunikationsmaßnahmen ergreifen, um Unternehmen auf die NIS-2-Umsetzung vorzubereiten. Mit Veranstaltungen, Webinaren, in Medien und sozialen Medien wird das BSI zur nationalem Umsetzung der NIS-2-Richtlinie kommunizieren und die bestehenden Informationen auf der BSI-Website ausbauen und weiterentwickeln.

Wie sollen sich Unternehmen vorbereiten?

Vor der Verabschiedung des Gesetzes lassen sich die Registrierungs-, Nachweis- und Meldepflichten für bwE und wE noch nicht genau benennen. Trotzdem können und sollten Unternehmen bereits heute Schritte einleiten, um sich auf die kommende Regulierung vorzubereiten.

In jedem Fall sollten Unternehmen klare Verantwortlichkeiten für Informationssicherheit festlegen und gewährleisten, dass die Geschäftsführung in das Risikomanagement eingebunden ist. Unternehmen sollten proaktiv Verantwortliche im Unternehmen finden, benennen und befähigen. Zudem ist eine umfassende Bestandsaufnahme der aktuellen IT-Sicherheitsmaßnahmen notwendig, um Schwachstellen zu identifizieren und zu beheben.

Je nachdem, wie intensiv sich Unternehmen bislang mit Informationssicherheit befasst haben, ist auch Unterstützung durch einen externen IT-Sicherheitsdienstleister sinnig. Unternehmen müssen sich auf erweiterte Meldepflichten einstellen und Mechanismen für eine schnelle Reaktion auf Sicherheitsvorfälle implementieren. Sie sollten sich auch vorbereiten, Lageberichte und Cybersicherheitswarnungen des BSI empfangen zu können und darin enthaltene Empfehlungen umzusetzen.

Wirtschaft und Staat stärken gemeinsam
die Informationssicherheit

Die Umsetzung der NIS-2-Richtlinie stellt eine erhebliche Herausforderung sowohl für die betroffenen Unternehmen als auch für das BSI dar. Mit gezielten Hilfestellungen für die Wirtschaft und einem kooperativen Ansatz bei der Aufsicht wird die nationale NIS-2 Umsetzung jedoch erfolgreich verlaufen und einen wichtigen Beitrag zur Stärkung der Informationssicherheit leisten.

Impressum

Redaktion: Katrin Alberts (verantwortlich), Brigitte Hoffmann
E-Mail: katrin.alberts@bsi.bund.de

Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit
Postfach 20 03 63
53133 Bonn

Hausanschrift:
Godesberger Allee 185–189
53175 Bonn
Telefon: +49 228 999582-0
Telefax: +49 228 999582-5455
Web:www.bsi.bund.de

Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> – Die Zeitschrift für Informations-Sicherheit

Die Beiträge der einzelnen Autoren spiegeln deren persönliche Meinung wider, die nicht unbedingt der Position des BSI entsprechen muss. 32. Jahrgang 2024

Diesen Beitrag teilen: