NIS-2-Umsetzungsgesetz kommt

Verfasst von Hans-Joachim Schulten

Autor: Hans-Joachim Schulten | August 2024 (Update: Okt. 2024)

Die EU hat bereits 2017 die erste NIS-Richtlinie („EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“) erlassen. Diese wurde im Jahr 2022 zur „NIS-2-Richtlinie“ weiterentwickelt und wäre bis zum Oktober 2024 in nationales Recht umzusetzen gewesen. Das sogenannte „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ hatte es bereits bis zum Regierungsentwurf gebracht, wurde aber durch das frühzeitige Aus der Ampelregierung vorerst gestoppt. Es wird Aufgabe der neuen Koalitionsregierung sein, dieses Gesetzt jetzt zügig in die Umsetzung zu bringen.

Update: Oktober 2024:

Das Gesetz war bis zum Regierungsentwurf (Stand 22.07.2024) gekommen. Basierend auf diesem Stand ist zu betonen, dass sich die Anzahl der Unternehmen, die durch die Gesetzgebung zu erhöhten Anstrengungen hinsichtlich ihres IT-Sicherheitsniveaus verpflichtet wird, maßgeblich steigert. Zwar wird die Kategorie der „Unternehmen im Besonderen öffentlichen Interesse“ (sofern der Regierungsentwurf unverändert übernommen wird) wieder verschwinden, dafür aber die Kategorien der „wichtigen Einrichten“ und „besonders wichtigen Einrichtungen“ entstehen. Hierüber werden zusätzlich zu den Unternehmen / Organisationen der sog. kritischen Infrastrukturen auch deren Lieferanten / Dienstleister angesprochen und zu bestimmten Maßnahmen verpflichtet.

Aus dem aktuellen Referentenentwurf lassen sich folgende Neuerungen herauslesen:

  • Die Gesetzgebung zur sogenannten „Kritischen Infrastruktur“ („KRITIS“) für Unternehmen, die besonders schützenswert sind, bleibt mit den entsprechenden Anforderungen grundsätzlich erhalten.

  • Daneben werden die Kategorien der „besonders wichtigen“ und „wichtigen Einrichtungen“ eingeführt werden, was eine signifikante Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs darstellt.

  • Die EU-NIS-2-Richtlinie enthält einen Katalog der Mindestsicherheitsanforderungen. Dieser wird in die deutsche Gesetzgebung übernommen werden (wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert werden wird). Schaut man direkt in die EU-NIS-2-Richtlinie, findet man Maßnahmen wie:

    • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

    • Bewältigung von Sicherheitsvorfällen;

    • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

    • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;

    • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;

    • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;

    • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;

    • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;

    • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen;

    • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Es sind also eher typische, zu erwartende Maßnahmen, die dem Stand der Technik in der IT-Sicherheit entsprechen, und von vielen betroffenen Unternehmen zumindest in Teilen bereits umgesetzt sein dürften.

  • Einführung eines dreistufigen Melderegimes (abgestimmt mit den weiteren Meldepflichten insbesondere zum Störungs-Monitoring des geplanten “Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz)”).

  • Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten. Dazu wird es zu einer Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben geben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.

  • Umsetzung einer Ausschlussklausel für Unternehmen, die einen besonderen Bezug zum Sicherheits- und Verteidigungsbereich aufweisen. Für solche Einrichtungen gelten dann die jeweils einschlägigen Vorgaben für den Sicherheits- bzw. Verteidigungsbereich.

Hans-Joachim Schulten
Zurück

Cybersecurity-Awareness-Trainings für Organisationen: Aktueller und relevanter denn je!