NIS 2: Referentenentwurf nimmt Leitungsorgane in die Pflicht

Umsetzung der NIS-2-Richtlinie in Deutschland

Hierfür gibt es in Deutschland bereits mehrere Referentenentwürfe des Bundesinnenministeriums (NIS2UmsuCG). Die Verabschiedung des NIS-2-Umsetzungsgesetzes wird sich voraussichtlich jedoch bis Anfang 2025 verzögern. Ziel der Erweiterung ist die Unterstützung der EU-Länder bei der Entwicklung und Umsetzung von effektiven Maßnahmen zur Prävention und Bewältigung von Cyberangriffen.

Am 24. Juni 2024 hat das Bundesinnenministerium (BMI) einen überarbeiteten Referentenentwurf mit folgenden Änderungen vorgelegt:   

• Die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen ist nun verpflichtet, die von diesen zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit umzusetzen.
• Die Leitungsorgane haften gemäß den gesellschaftlichen Regeln der jeweiligen Unternehmensform.
• Es wurde klargestellt, dass Einrichtungen, die bereits durch das Telekommunikationsgesetz oder das Energiewirtschaftsgesetz reguliert sind, nicht zusätzlich durch das BSIG reguliert werden. Es sei denn, die Einrichtung ist in mehreren Sektoren tätig.

Update: Das Bundeskabinett hat am 24. Juli 2024 den vorgelegten Referentenentwurf angenommen. Es liegt somit ein Regierungsentwurf vor, welcher nun in das Gesetzgebungsverfahren gehen kann. Im Vergleich zum letzten Referentenentwurf weist der Regierungsentwurf nur vereinzelt inhaltliche Änderungen auf. Vorwiegend handelt es sich um redaktionelle Änderungen.

NIS-2-Richtlinie: Jetzt Quick-Check machen

Welche Unternehmen sind von NIS 2 betroffen?

Die NIS-2-Richtlinie erweitert den Anwendungsbereich der betroffenen Unternehmen im Vergleich zur bisher geltenden NIS-1-Richtlinie erheblich. Schätzungen zufolge werden in Deutschland rund 30.000 Unternehmen von der Umsetzung der NIS-2-Richtlinie betroffen sein. Hierzu gehören, anders als bisher, nicht mehr nur offensichtliche Unternehmen der Kritischen Infrastruktur (KRITIS), sondern auch eine Vielzahl weiterer Unternehmen. 

Wer in den Anwendungsbereich der NIS-2-Richtlinie fällt, hängt maßgeblich von zwei Kriterien ab:

• Dem Sektor: Zur Umsetzung verpflichtet sind Unternehmen aus insgesamt 18 Sektoren, von denen elf als "wesentlich", also besonders wichtig und sieben als "wichtig" kategorisiert werden: 
  • Wesentliche Einrichtungen sind demnach Unternehmen in Bereichen wie z.B. Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur.
  • Wichtige Einrichtungen sind Unternehmen in Bereichen wie z.B. Post- und Kurierdienste, Abfallbewirtschaftung, Chemische Erzeugnisse, Lebensmittel und Anbieter digitaler Dienste.
• Der Unternehmensgröße und dem Umsatz: 
  • Mittlere Unternehmen: 50 bis 250 Mitarbeiter, EUR 10 bis 50 Millionen Umsatz, Bilanzsumme kleiner als EUR 43 Millionen
  • Große Unternehmen: Mehr als 250 Mitarbeiter, mehr als EUR 50 Millionen Umsatz, Bilanzsumme größer als EUR 43 Millionen

Wichtig ist hierbei, dass die betroffenen Unternehmen anhand der genannten Kriterien selbst ermitteln müssen, ob sie in den Geltungsbereich der Richtlinie fallen.

Welche Anforderungen stellt NIS 2 an Unternehmen?

Inhaltlich legt die NIS-2-Richtlinie großen Wert auf die sogenannte "Cybersecurity-Hygiene". Gemeint ist hiermit die Umsetzung von grundlegenden Maßnahmen und Praktiken, die Unternehmen und Mitarbeitende im Betrieb regelmäßig ergreifen sollten, um den Schutz vor Cyberangriffen zu gewährleisten. Dazu zählen das Einspielen von Patches, ein sicheres Passwortmanagement oder das Erstellen von Backups. 

Mit dem Thema Risikomanagement, welches als zentrale Komponente der Anforderungen gilt, legt die Richtlinie ihren Fokus auf die folgenden Punkte: 
 

• Risikomanagement
  Das Risikomanagement als Fundament der NIS-2-Richtlinie verpflichtet Unternehmen dazu, angemessene Maßnahmen technischer oder organisatorischer Natur zu ergreifen, um Sicherheitsvorfälle zu verhindern bzw. einzudämmen und IT-Risiken so beherrschbar zu machen. Ziel ist die erhöhte Widerstands- sowie Abwehrfähigkeit gegen Cyberangriffe von Unternehmen, was in Summe die gesamte europäische Infrastruktur stärken soll. 
• Sicherheit der Lieferkette 
  Die Risikobetrachtung, welche durch die Richtlinie vorgeschrieben ist, umfasst zudem die Betrachtung der eigenen Lieferkette. Der Fokus liegt hier auf vertraglichen Anforderungen, Zertifizierungsstandards und dem Austausch von Daten über entsprechende Schnittstellen. NIS-2 erhöht somit auch den Druck auf Zulieferer und Dienstleister und nimmt diese in die Pflicht. 
• Sicherheitskonzept und Business Continuity 
  Die Richtlinie fordert den Aufbau und die Implementierung eines Business Continuity Managements. Der Betrieb soll durch die Erstellung entsprechender Pläne zur Aufrechterhaltung und Wiederherstellung die Ausfallzeiten der IT-Systeme und deren Kosten minimieren. Zudem wird ein umfassendes Sicherheitskonzept gefordert, welches unter anderem das Business Continuity Management und Krisenmanagement abdeckt. 
• Rolle von Behörden 
  Von den Mitgliedsstaaten benannte Behörden mit Zuständigkeit für Cybersicherheits-Thematiken dienen nach der NIS-2-Richtlinie den Organisationen als Meldestelle für signifikante Vorfälle und Bedrohungen. 
• Meldung und Behandlung von Incidents
  Die Richtlinie schreibt Unternehmen den Aufbau eines umfassenden Incident Response Managements vor, welches die organisatorischen und technischen Prozesse als Reaktion auf einen Sicherheitsvorfall abbildet. 
• Überwachung und Messung 
  Zu den Vorgaben gehört zudem die Einführung einer effektiven Überwachung der Systeme, um durch Sammlung und Analyse von Daten frühzeitig Anomalien zu erkennen. Unbefugte Zugriffe und ungewöhnlicher Datenverkehr sind zu dokumentieren und verdächtige Netzwerkaktivitäten auszuwerten, um im Notfall das zuständige IT-Team zu alarmieren. 
• Kommunikation und Notfallplanung
  Neben der Erstellung von Notfallplänen fordert NIS-2 dokumentierte Eskalationsverfahren und klare Kommunikationswege, nach denen eine Organisation im Ernstfall agieren kann. Für den Betrieb werden zudem Anforderungen an Kryptographie und die Verschlüsselung von Kommunikationsinhalten gestellt, um die Schutzziele der Informationssicherheit zu erreichen. 
• Sanktionen bei Verstößen
  Bei Verstößen gegen NIS-2-Vorgaben drohen der betreffenden Organisation empfindliche Strafen. In schwerwiegenden Fällen können Strafzahlungen bis zu EUR 20 Millionen bzw. 4% des Vorjahresumsatzes betragen. 

Ausblick und Handlungsempfehlungen

Neben der immer größer werdenden Bedrohung durch Cyberrisiken macht die NIS-2-Richtlinie die Implementierung angemessener Sicherheitsstandards und den Aufbau eines umfassenden Risikomanagements nötig. Für eine rechtzeitige Umsetzung aller Vorgaben im Unternehmen ist eine frühzeitige Planung und Abnahme vonnöten. Hierbei sollten sowohl technische als auch juristische, finanzielle und organisatorische Aspekte berücksichtigt werden. 

Als Spezialist für Cyber Security steht Ihnen Baker Tilly mit dem NIS-2-Check prüfend und beratend zur Seite. 

Hier finden Sie den BMI-Referentenentwurf vom 24. Juni 2024.

Hier finden Sie den Regierungsentwurf vom 22.7.2024.

NIS-2-Richtlinie: Jetzt Quick-Check machen