Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

NIS2-Umsetzung : NIS-2-Update : Ausblick auf die nationale Umsetzung und erwartbare Regelungen

Die Umsetzung der EU NIS-2-Richtlinie ist in Deutschland überfällig. Der letzte Entwurf eines „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) stammt noch von der vorigen Bundesregierung. Was ist jetzt wann zu erwarten?

Manuel AtugRozerin KaraterziComplianceNIS-2Recht
Lesezeit 7 Min.

Zum Redaktionsschluss dieser war das „aktuellste Dokument“ zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) noch der Gesetzesentwurf der vorigen Bundesregierung aus der vorausgegangenen Legislatur, der am 2. Oktober 2024 veröffentlicht wurde [1]. Dieser Entwurf ist jedoch nicht mehr verabschiedet worden und damit infolge des Diskontinuitätsprinzips hinfällig.

Da alle EU-Mitgliedsstaaten eine nationale NIS-2- Umsetzung bereits zum 17. Oktober 2024 realisieren mussten, steht der neue Bundestag unter Druck, eine entsprechende Gesetzgebung schnellstmöglich in die Wege zu leiten. Diese soll sich nach derzeitigen Angaben aus dem federführenden Innenministerium und der Bundesregierung eng an der EU NIS-2-Richtlinie [2] ausrichten. Die Verabschiedung eines neuen deutschen Umsetzungsgesetzes zu NIS-2 wird Ende 2025 erwartet – die Inhalte dürften im Wesentlichen mit dem alten Entwurf vergleichbar sein (siehe auch [7,8,9]).

Die Vernetzung und enge Verzahnung gerade der Wirtschaft innerhalb Deutschlands und der Europäischen Union sorgen für Interdependenzen bei der Cybersicherheit. Deshalb richten sich die Cybersicherheitsanforderungen der EU NIS-2-Richtlinie an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten innerhalb der EU ausüben.

Durch das NIS2UmsuCG werden Unternehmen des mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz [3]) vom 17. Juli 2015 und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 [4]) vom 18. Mai 2021 geschaffenen Ordnungsrahmens auf die unionsrechtlichen Vorgaben erweitert.

Ziel der deutschen NIS-2-Umsetzung ist es, verbindliche Maßnahmen für Verwaltung und Wirtschaft einzuführen, um ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU sicherzustellen. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und die Funktionsweise des europäischen Binnenmarktes verbessert werden.

Anwendungsbereich

Als besonders wichtige Einrichtungen gelten im Sinne des zu erwartenden Gesetzes

  • Betreiber kritischer Anlagen (KRITIS),
  • qualifizierte Vertrauensdiensteanbieter,
  • Top-Level-Domain-(TLD)-Name-Registries,
  • Domain-Name-System-(DNS)-Dienstanbieter,
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste,
  • Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen,
  • natürliche oder juristische Personen sowie rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die entgeltlich Waren oder Dienstleistungen anbieten, in Anlage 1 bestimmten Einrichtungsarten zuzuordnen sind, mindestens 250 Mitarbeiter* beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro ausweisen und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Ausgenommen sind Einrichtungen der Bundesverwaltung, sofern sie nicht gleichzeitig Betreiber kritischer Anlagen sind.

Als wichtige Einrichtungen gelten

  • Vertrauensdiensteanbieter,
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste,
  • Betreiber öffentlicher Telekommunikationsnetze, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen,
  • natürliche oder juristische Personen sowie rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, einer der in den Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen sind und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Ausgenommen sind besonders wichtige Einrichtungen sowie Einrichtungen der Bundesverwaltung.

Risikomanagementmaßnahmen

Besonders wichtige und wichtige Einrichtungen haben die Verpflichtung, geeignete, verhältnismäßige sowie wirksame technische und organisatorische Maßnahmen zu ergreifen. Zweckgemäß sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse vermieden werden, die für die Erbringung ihrer Dienste genutzt werden – außerdem sollen Auswirkungen von Sicherheitsvorfällen gering gehalten werden. Die Maßnahmen sollen dabei den „Stand der Technik“ einhalten und müssen auf einem gefahrenübergreifenden Ansatz beruhen.

Bei der Bewertung der erwähnten Verhältnismäßigkeit der Maßnahmen sind „das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen“ zu berücksichtigen und die Einhaltung durch die Einrichtungen zu dokumentieren.

Die Maßnahmen müssen mindestens die folgenden Punkte umfassen:

  • Konzepte in Bezug auf die Risikoanalyse und die Sicherheit in der Informationstechnik
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs (etwa Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement)
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und der Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle sowie für das Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor- (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Besondere Anforderungen für KRITIS

Für die Betreiber kritischer Anlagen (kritische Infrastruktur, KRITIS) gelten besondere Anforderungen der Risikomanagementmaßnahmen als verhältnismäßig, solange der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steht. Das gilt besonders für IT-Systeme, -Komponenten und -Prozesse, die für die Funktionsfähigkeit der betriebenen kritischen Anlagen maßgeblich sind.

Betreiber kritischer Anlagen müssen darüber hinaus explizit Systeme zur Angriffserkennung (SzA) einsetzen (vgl. [10,11]): Die eingesetzten SzA müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren (vgl. [12]) und zu vermeiden, sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen – dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage stehen.

Allgemein gelten für besonders wichtige Einrichtungen und wichtige Einrichtungen nach BSIG-E [1]:

  • § 32 Meldepflicht
  • § 33 Registrierungspflicht
  • § 35 Unterrichtungspflicht
  • § 38 Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen

Für KRITIS-Betreiber gilt darüber hinaus

  • § 39 Nachweispflichten für Betreiber kritischer Anlagen

Abgrenzung zur EU CER-Richtlinie

Die NIS-2-Richtlinie und die Resilienz-Richtlinie der EU [5] (Critical-Entities-Resilience-[CER]-Richtlinie), deren deutsche Umsetzung durch das ebenfalls im Entwurf befindliche KRITIS-Dachgesetz – Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen [6] – erfolgen soll, haben viele Überschneidungen. Beide Richtlinien verpflichten KRITIS-Betreiber als betroffene Einrichtungen zur Implementierung von Risikomanagementmaßnahmen.

Der größte Unterschied ist, dass die CER-Richtlinie auf die Resilienz gegenüber physischen und hybriden Bedrohungen (z.B. Sabotage, Terrorismus und Naturereignisse) fokussiert, während sich die NIS-2-Richtlinie auf die Cybersicherheit von Netz- und Informationssystemen konzentriert, um diese vor Cyberbedrohungen zu schützen. Die festgelegten Anforderungen der EU NIS-2 sind den entsprechenden Verpflichtungen der EU CER-Richtlinie gleichwertig.

Grundsätzlich ergänzen sich beide Richtlinien und fordern die EU-Mitgliedstaaten auf, nationale Strategien zur Resilienz kritischer Einrichtungen zu entwickeln und die Zusammenarbeit auf EU-Ebene zu stärken – oder in den Worten der EU: „Es ist wichtig, dass die Mitgliedstaaten sicherstellen, dass die Anforderungen nach der vorliegenden [CER-] Richtlinie und der Richtlinie (EU) 2022/2555 komplementär umgesetzt werden und dass kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sind, der über das zur Erreichung der Ziele dieser und jener Richtlinie erforderliche Maß hinausgeht“ (Abs. 24 Satz 2 CER [6]).

Manuel Atug ist Principal, Rozerin Karaterzi ist Werkstudentin Security Consulting bei der HiSolutions AG.

Literatur

[1] Deutscher Bundestag, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Gesetzentwurf der Bundesregierung, Bundestags-Drucksache 20/13184, Oktober 2024, https://dserver.bundestag.de/btd/20/131/2013184.pdf

[2] Europäische Union, Richtlinie (EU) 2022/2555 … vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555  

[3] Deutscher Bundestag, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), in: Bundesministerium der Justiz (Hrsg.), Bundesgesetzblatt 2015 Teil I Nr. 31, Juli 2015, www.bgbl.de/xaver/bgbl/start.xav?jumpTo=bgbl115s1324.pdf

[4] Deutscher Bundestag, Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, in: Bundesministerium der Justiz (Hrsg.), Bundesgesetzblatt 2021 Teil I Nr. 25, Mai 2021, www.bgbl.de/xaver/bgbl/start.xav?jumpTo=bgbl121s1122.pdf

[5] Europäische Union, Richtlinie (EU) 2022/2557 … vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen …, in: Amtsblatt der Europäischen Union L 333, S. 164, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557

[6] Deutsche Bundesregierung, Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen, November 2024, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/KM4/regentwurf-kritisDachG.pdf   

[7] Dr. Dennis-Kenji Kipker, NIS2UmsuCG, Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz kommt – ein Überblick über den Status quo, 2023# 4, S. 70, www.kes-informationssicherheit.de/print/titelthema-supply-chain-security-integritaetdigitaler-artefakte/nis2umsucg/ (<kes>+)

[8] Dr. Dennis-Kenji Kipker, NIS 2 – EU-Update zur Cybersicherheit, live August 2024, www.kes-informationssicherheit.de/webinare/webinar-aufzeichnung-kes-live-nis-2-eu-update-zur-cybersicherheit/  (<kes>+)  

[9] Marian Blok, Umsetzung der NIS?2-Richtlinie, Welche neuen Anforderungen kommen auf die Wirtschaft zu und wie können sich Unternehmen schon heute vorbereiten?, BSI-Forum/ 2024# 5, S. 37, www.kes-informationssicherheit.de/print/titelthema-cnapp-das-unbekannte-wesen/umsetzung-dernis%e2%80%912-richtlinie/ (<kes>+)

[10] Daniel Jedecke, Marius Wiersch, Keine Wahl und doch die Qual: Angriffserkennungssysteme, Detektion und Reaktion im KRITIS-Umfeld, 2023# 6, S. 74, www.kes-informationssicherheit.de/print/2023-6/keine-wahl-unddoch-die-qual/ (<kes>+)  

[11] Bundesamt für Sicherheit in der Informationstechnik (BSI), Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung, Version 1.1, November 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-sza.html

[12] Bernhard Barz, Die Entdeckung der Bedrohung, FMEA-Einsatz zur besseren Bewertung von Informationssicherheits-Risiken, 2024# 1, S. 64, https://www.kes-informationssicherheit.de/print/titelthemakuenstliche-intelligenz-zwischen-regulierung-und-vertrauen/die-entdeckung-der-bedrohung/ (<kes>+)

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.