Die EU hat mit der Richtlinie (EU) 2022/2555 vom 14. Dezember 2022, genannt NIS-2-Richtlinie, Cybersicherheitsanforderungen für Organisationen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, festgelegt. Die EU-Richtlinie ist bis zum 17. Oktober 2024 in nationales Recht zu überführen.
Zur nationalen Umsetzung in Deutschland wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“, kurz „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG), entwickelt. Der Entwurf wurde am 24.07.2024 vom Kabinett beschlossen und geht nun ins parlamentarische Gesetzgebungsverfahren. Durch das NIS2UmsuCG wird das BSI-Gesetz erheblich überarbeitet, hier im Folgenden als BSIG-neu bezeichnet.
Das BSIG-neu bestimmt zwei Kategorien von Einrichtungen: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Die Zuordnung wird nach Einrichtungsart und Unternehmensgröße getroffen, wobei Betreiber kritischer Anlagen im bisherigen Sinne immer „besonders wichtige Einrichtungen“ sind, für die weitere Anforderungen gelten. Die eigene Einrichtung muss im Hinblick auf ihren Status als besonders wichtige oder wichtige Einrichtung bestimmt werden.
Auf Basis dieses Entwurfs sollen hier Antworten auf Fragen gegeben werden, welche Organisationen vom NIS2UmsuCG bzw. den dadurch angepassten Gesetzen betroffen sein werden und welche Anforderungen in Bezug auf Informations- bzw. IT-Sicherheit diese werden erfüllen müssen. Die Darstellung beschränkt sich auf Artikel 1 des NIS2UmsuCG resp. Änderungen am derzeitigen „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“, im Folgenden BSIG-alt genannt.
Hinweis: Die im weiteren Textverlauf genannten Paragraphen beziehen sich auf die durch das NIS2UmsuCG etablierte Neufassung des dann anders lautenden „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“, das bereits erwähnte BSIG-neu.
Da bislang nur ein Entwurf des Gesetzestextes vorliegt, werden die Inhalte bis zum rechtskräftigen Gesetz voraussichtlich noch Änderungen unterworfen sein. Entwürfe für die abgeleiteten Rechtsverordnungen liegen noch nicht vor. Eine Umsetzung der aufgezeigten Aktivitäten ist erst nach Inkrafttreten des Gesetzes vorgeschrieben. Eine frühere Umsetzung oder zumindest Vorbereitung auf eine zeitnahe Umsetzung nach Inkrafttreten ist aus unserer Sicht und Beratungserfahrung jedoch sinnvoll.
Wir stehen Ihnen als Ansprechpartner gerne zur Verfügung!
Für wen gelten die neuen Anforderungen?
§ 28 BSIG-neu benennt zwei Kategorien von Einrichtungen, für die Anforderungen zu erfüllen sind: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.
Was sind „besonders wichtige Einrichtungen“?
Damit eine Einrichtung eine besonders wichtige Einrichtung ist, muss ihre Einrichtungsart in Anlage 1 BSIG-neu aufgeführt sein. Diese Anlage ist zu umfangreich, um hier wiedergegeben zu werden, aber die genannten Einrichtungsarten gehören zu den Sektoren
- Energie,
- Transport und Verkehr,
- Finanz- und Versicherungswesen,
- Gesundheit,
- Wasser,
- Informationstechnik und Telekommunikation,
- Weltraum.
Zusätzlich muss die Organisation entweder
- mindestens 250 Mitarbeitende beschäftigen oder
- einen Jahresumsatz von über 50 Mio. Euro und eine Jahresbilanzsumme von über 43 Mio. Euro aufweisen.
Betreiber kritischer Anlagen gemäß BSI-KritisV sind unabhängig von diesen Kriterien immer auch besonders wichtige Einrichtungen.
Was sind „wichtige Einrichtungen“?
Damit eine Einrichtung eine wichtige Einrichtung ist, muss ihre Einrichtungsart in Anlage 1 oder Anlage 2 BSIG-neu aufgeführt sein. Darüber hinaus werden ggf. die „Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft“ (NACE Rev. 2) sowie weitere Regelungen zur Bestimmung herangezogen.
Diese Anlagen und Ergänzungen sind zu umfangreich, um hier wiedergegeben zu werden, aber die genannten Einrichtungsarten gehören zu den Sektoren
- Energie,
- Transport und Verkehr,
- Finanz- und Versicherungswesen,
- Gesundheit,
- Wasser,
- Informationstechnik und Telekommunikation,
- Weltraum,
- Abfallbewirtschaftung,
- Produktion,
- Herstellung und Handel mit chemischen Stoffen,
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln,
- Verarbeitendes Gewerbe/Herstellung von Waren,
- Anbieter digitaler Dienste, oder
- Forschung.
Zusätzlich muss die Organisation entweder
- mindestens 50 Mitarbeitende beschäftigen oder
- einen Jahresumsatz und eine Jahresbilanzsumme von über 10 Mio. Euro aufweisen.
Welche Ausnahmen gibt es?
Für verschiedene Arten von Einrichtungen gibt es besondere Regelungen. Dazu gehören Einrichtungen der Bundesverwaltung, Internet-Registrare und DNS-Provider, Telekommunikationsnetzbetreiber, Energieversorger, Finanzunternehmen, die Gesellschaft für Telematik und weitere. Diese Spezialregelungen werden hier nicht besonders betrachtet.
Wie wird die Zahl der Beschäftigten, der Jahresumsatz oder die Bilanzsumme berechnet?
Die Ausführungen des § 28 Abs. 3 BSIG-neu sind kompliziert und sollten vertieft juristisch bewertet werden. Zusammengefasst sind nur die Zahlen relevant, die sich auf die Einrichtungsart bezieht, durch die die Einrichtung besonders wichtig oder wichtig wird. Verbundene Unternehmen sind nicht einzurechnen, wenn die Organisation in Bezug auf die informationstechnischen Systeme, Komponenten und Prozesse unabhängig ist. In komplexen Unternehmensstrukturen, wie Konzernen, Gruppenunternehmen, verbundenen Unternehmen oder Tochtergesellschaften können auch Fragen der Unternehmenseigenständigkeit eine Rolle spielen.
Wie finden sich Betreiber Kritischer Infrastrukturen gemäß BSI-KritisV wieder?
Bisherige Betreiber Kritischer Infrastrukturen gemäß BSI-KritisV, die zukünftig als Betreiber kritischer Anlagen klassifiziert werden, sind immer, d. h. unabhängig von Sektor (gemäß BSIG-neu), Branche, Einrichtungsart, Größe, Zahl der Mitarbeitenden, Gewinn oder Umsatz, besonders wichtige Einrichtungen, für die neben den Regelungen für besonders wichtige Einrichtungen zusätzliche Anforderungen gelten.
Nach BSIG-neu wird die bisherige „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV) entfallen und durch eine neue Rechtsverordnung des Bundesministeriums des Inneren und für Heimat (BMI) gemäß § 56 Abs. 4 BSIG-neu ersetzt werden. Für diese ist bisher weder der genaue Name noch ein Entwurf öffentlich, es kann jedoch angenommen werden, dass sie die Inhalte der bisherigen BSI-KritisV fortführt. Die neue Rechtsverordnung wird weiterhin Schwellenwerte zur Bestimmung kritischer Anlagen festlegen.
Wer muss die Anforderungen aus dem NIS2UmsuCG erfüllen?
Die im BSIG-neu aufgestellten Anforderungen sind grundsätzlich von besonders wichtigen Einrichtungen und wichtigen Einrichtungen gleichermaßen zu erfüllen. Unterschiede ergeben sich in der Verhältnismäßigkeit der Bewertung der zu bestimmenden Sicherheitsmaßnahmen, für Betreiber kritischer Anlagen und durch sonstige spezifische Regelungen.
In welchen Bereichen müssen die Anforderungen umgesetzt werden?
Betreiber kritischer Anlagen müssen – wie auch bisher im § 8a BSIG-alt – Maßnahmen für Systeme, Komponenten und Prozesse umsetzen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen bzw. Anlagen maßgeblich sind.
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen Maßnahmen für Systeme, Komponenten und Prozesse umsetzen, die zur Erbringung ihrer Dienste verwendet werden. Eine Einschränkung auf bestimmte Dienste ist dabei nicht ersichtlich, weshalb davon ausgegangen werden kann, dass die Maßnahmen für die gesamte Einrichtung umzusetzen sind.
Wie werden Sicherheitsmaßnahmen bestimmt?
Die umzusetzenden Sicherheitsmaßnahmen richten sich nach einer Risikoanalyse durch die Einrichtung. „Dabei sind das Ausmaß der Risikoexposition[,] die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“ (§ 30 Abs. 1 Satz 2 BSIG-neu)
Durch die individuelle Bewertung ergeben sich für besonders wichtige Einrichtungen und wichtige Einrichtungen tendenziell unterschiedlich stark ausgeprägte Sicherheitsmaßnahmen.
Welche Eigenschaften müssen Maßnahmen haben?
Gemäß § 30 Abs. 1 BSIG-neu müssen die aus der Risikoanalyse bestimmten Maßnahmen „geeignet, verhältnismäßig und wirksam“ sein. Maßnahmen können technischer oder organisatorischer Art sein. Die Auswahl der Maßnahmen anhand der Risikobetrachtung und ihre Umsetzung muss dokumentiert werden.
Gemäß § 30 Abs. 2 BSIG-neu „sollen [sie] den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.“
Die Referenz auf europäische und internationale Normen deutet darauf hin, dass für eine Erfüllung der Anforderungen die Umsetzung anwendbarer ISO-Normen, wie bspw. der ISO/IEC 27001 oder der ISO 22301, geeignet sind.
Welche Schutzziele sind zu gewährleisten?
Laut § 30 Abs. 1 BSIG-neu sind die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit zu gewährleisten. Authentizität wird im aktuellen Entwurf nicht gefordert.
Auswirkungen von Sicherheitsvorfällen sind möglichst gering zu halten.
Welche Maßnahmen müssen mindestens umgesetzt werden?
§ 30 Abs. 2 BSIG-neu nennt einen Katalog von zehn Themen, die mindestens in Maßnahmen umgesetzt werden müssen. Dies sind, vereinfacht dargestellt:
- Konzepte für Risikoanalyse und Sicherheit in der Informationstechnik;
- Bewältigung von Sicherheitsvorfällen;
- Backup und Restore, Notfall- und Krisenmanagement;
- Sicherheit der Lieferkette;
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, einschließlich Schwachstellenmanagement;
- Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen;
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen;
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen;
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Aus der Risikoanalyse sollte sich ergeben, in welchem Umfang und in welcher Tiefe die Maßnahmen auszugestalten sind. Diese werden sich nach Wichtigkeit der Einrichtung und der „Risikoexposition“ unterscheiden.
Eventuell bestehende Sektor-spezifische Anforderungen haben Vorrang. Diese können u. a. durch weitere Rechtsverordnungen bestimmt werden.
Welche Anforderungen gelten für den Einsatz von Technik?
Nach § 56 Abs. 3 BSIG-neu bestimmt eine Rechtsverordnung IKT-Produkte, IKT-Dienste und IKT-Prozesse, die von besonders wichtigen und wichtigen Einrichtungen nur dann verwendet werden dürfen, wenn für sie eine Cybersicherheitszertifizierung vorliegt.
Diese Rechtsverordnung ist eine Zusammenführung der bisherigen Sektor-spezifischen Regelungen, die allerdings derzeit nur im Bereich der Telekommunikation als BSI TR-03163 besteht.
Die Beschränkung gilt nun allerdings nicht mehr nur für Betreiber kritischer Infrastrukturen, sondern für alle besonders wichtigen und wichtigen Einrichtungen.
Betreibern kritischer Anlagen kann der Einsatz von kritischen Komponenten untersagt werden.
Welche besonderen Anforderungen gelten für Betreiber kritischer Anlagen?
Die Maßnahmen für besonders wichtige Einrichtungen müssen auch von Betreibern kritischer Anlagen umgesetzt werden. Bei der Risikobetrachtung müssen auch aufwändigere Maßnahmen im Hinblick auf die Folgen des Ausfalls oder der Beeinträchtigung der kritischen Anlage als verhältnismäßig bewertet werden.
Zusätzlich müssen nach wie vor Systeme zur Angriffserkennung umgesetzt werden.
Sektor-spezifische Regelungen gelten grundsätzlich weiterhin.
Was ist die Zukunft der Branchenspezifischen Sicherheitsstandards (B3S)?
Die B3S bestehen weiter. Neue B3S können vorgeschlagen werden, allerdings nur durch besonders wichtige Einrichtungen und deren Branchenverbände sowie Betreiber kritischer Anlagen. Die Eignung wird weiterhin vom BSI festgestellt.
Welche Meldepflichten bestehen für Sicherheitsvorfälle?
BSIG-neu führt Meldepflichten für Sicherheitsvorfälle ein, die für besonders wichtige und wichtige Einrichtungen gelten. Diese sind:
- „unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall“ muss eine Erstmeldung abgegeben werden;
- „unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall“ muss eine Meldung mit mehr Details und ggf. Aktualisierungen zur Erstmeldung abgegeben werden;
- auf Ersuchen des BSI muss eine Zwischenmeldung abgegeben werden;
- falls die Vorfallbehandlung nicht innerhalb eines Monats abgeschlossen ist, muss eine Zwischenmeldung abgegeben werden;
- innerhalb eines Monats des Vorfalls oder des Abschlusses der Vorfallbehandlung muss eine Abschlussmeldung abgegeben werden.
Die Meldungen von Betreibern kritischer Anlagen haben weitergehende Inhalte.
Die Meldungen sollen an eine zentrale Meldestelle erfolgen, die allerdings noch eingerichtet werden muss. Die Verpflichtung zur Meldung beginnt erst mit Einrichtung des Meldewegs.
Was ist ein „erheblicher Sicherheitsvorfall“?
Gemäß § 2 Abs. 1 Nr. 11 ist ein „„erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der
- schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
- andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann […]“.
Die Begriffe „schwerwiegende Störungen/Verluste“ und „erhebliche Schäden“ sind nicht weiter ausgeführt und deshalb innerhalb einer Einrichtung festzulegen und die Prozesse daran auszurichten.
Allerdings KANN gemäß § 56 Abs. 5 eine nähere Bestimmung durch eine neue Rechtsverordnung erfolgen. Diese ist dann bei der eigenen Qualifizierung von Sicherheitsvorfällen zu berücksichtigen.
Welche Hilfestellungen bietet das BSI bei Sicherheitsvorfällen?
Bei einem Sicherheitsvorfall kann das BSI Orientierungshilfe oder operative Beratung zu Abhilfemaßnahmen erbringen. Das BSI kann zusätzlich technische Unterstützung leisten. Dies erfolgt auf Ersuchen der betroffenen Einrichtung.
Welche Registrierungspflichten werden eingeführt?
Besonders wichtige und wichtige Einrichtungen müssen sich bei einer Registrierungsstelle registrieren. Für die Registrierung besteht eine Pflicht von drei Monaten nach Etablierung des Status als besonders wichtige oder wichtige Einrichtung. Nach Feststellung einer Änderung ist diese mit zwei Wochen Frist zu registrieren.
Betreiber kritischer Anlagen müssen zusätzlich die Versorgungskennzahlen jährlich überprüfen und Änderungen spätestens nach zwei Wochen übermitteln.
Sollte die eigene Einschätzung des Einrichtungsstatus keine Einschlägigkeit ergeben und damit keine Registrierung erfolgt sein, sollten die „für die Bewertung erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise“ (§ 33 Abs. 4 BSIG-neu) dokumentiert werden, um sie ggf. dem BSI auf Verlangen vorzulegen.
Welche Durchgriffsrechte erhält das BSI?
Im Fall eines erheblichen Sicherheitsvorfalls kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste zu unterrichten. Zudem kann das BSI selbst die Öffentlichkeit über den erheblichen Sicherheitsvorfall informieren oder die Einrichtung anweisen, dies zu tun.
Des Weiteren ist BSI befugt, ohne besondere Veranlassung, aber unter Berücksichtigung der Kritikalität der Einrichtung, einzelne besonders wichtige Einrichtungen verpflichten, die Erfüllung der Anforderungen durch unabhängige Dritte auditieren, prüfen bzw. zertifizieren zu lassen. Von diesen Einrichtungen kann das BSI die Vorlage von Nachweisen und Maßnahmenpläne anfordern, ggf. auch Maßnahmen zur Sicherheitsvorfall- oder Mängelbehebung anordnen. Informationen zu Verstößen gegen gesetzliche Verpflichtungen können veröffentlicht werden. Falls einer Anordnung nicht nachgekommen wird, kann die zuständige Aufsichtsbehörde die Geschäftsausübung untersagen und Geschäftsleitungen ihre Leitungstätigkeit untersagen.
Gegenüber wichtigen Einrichtungen bestehen die gleichen Durchsetzungsmöglichkeiten; das BSI wird allerdings nur tätig, wenn Tatsachen eine Annahme rechtfertigen, dass Verpflichtungen nicht umgesetzt werden.
Welche neuen Verpflichtungen kommen auf Geschäftsleitungen zu?
Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen die Risikomanagementmaßnahmen umsetzen und ihre Umsetzung überwachen.
Sie müssen regelmäßig an Schulungen teilnehmen, um „ausreichende Kenntnisse und Fähigkeiten“ in Bezug auf Risikomanagementpraktiken der Sicherheit in der Informationstechnik zu erwerben.
Geschäftsleitungen haften ihrer Einrichtung für schuldhaft verursachte Schäden nach dem jeweils geltenden Gesellschaftsrecht, insofern die Haftung nicht durch gesellschaftsrechtliche Bestimmungen ausgeschlossen wurde. Nur sofern es in der jeweiligen Gesellschaftsform dazu keine Regelungen gibt, soll die Bestimmung des NIS2UmsuCG greifen.
Welche Bußgelder werden erhoben?
§ 65 BSIG-neu beinhaltet einen umfangreichen Katalog von Bußgeldvorschriften, der u. a. die fehlende, fehlerhafte, unvollständige oder nicht rechtzeitige Umsetzung von Sicherheitsmaßnahmen und die fehlende, falsche, unvollständige oder verspätete Meldung von Sicherheitsvorfällen ahndet.
Die genannten Höchstsummen betragen 10 Mio. Euro bzw. 2 Prozent des Jahresumsatzes.
Welche Umsetzungsfristen bestehen?
Das BSIG-neu sieht keine Umsetzungsfristen vor. Zurzeit (Stand: 30.05.2024) liegen allerdings noch keine Entwürfe der für die Bestimmung und Erfüllung der Anforderungen notwendigen Rechtsverordnungen vor, die möglicherweise Fristen enthalten werden.
Für Anforderungen für Betreiber kritischer Infrastrukturen nach derzeitiger Rechtslage werden keine Umsetzungsfristen zu erwarten sein, da diese die Anforderungen nach § 8a BSIG-alt bereits jetzt umsetzen müssen.
Meldungen von Sicherheitsvorfällen müssen erst nach Einrichtung des Meldewegs abgegeben werden.
Das BSI kann frühestens drei Jahre nach Inkrafttreten des BSIG-neu die Vorlage von Nachweisen für die Erfüllung der Anforderungen aus dem BSIG-neu anordnen. Dies gilt allerdings nicht für die Vorlage von Nachweisen bei vermutetem Verstoß gegen die Registrierungspflicht. Für die Registrierungspflicht gilt eine Frist von drei Monaten nach Geltung des Status als wichtige oder besonders wichtige Einrichtung.
Welche Auswirkungen hat das NIS2UmsuCG auf ein bestehendes ISMS?
Die meisten technischen und organisatorischen Maßnahmen aus § 30 Abs. 1 und 2 BSIG-neu werden durch Einrichtungen, die ein ISO/IEC 27001-konformes Informationssicherheits-Managementsystem (ISMS) betreiben, normalerweise bereits erfüllt.
Eventuell müssen die bestehende Risikoanalyse und weitere Richtlinien um zusätzliche oder spezifischere Inhalte ergänzt werden, um die Erfüllung der gesetzlichen Anforderungen transparenter zu machen, dies ist im Einzelfall zu prüfen.
Insbesondere durch die Punkte Notfall- und Krisenmanagement, Sicherheit des Personals, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung könnten jedoch auch in Organisationen, die bereits ein ISMS betreiben, zusätzliche Umsetzungsaufwände zukommen.
Die weiteren neuen Regelungen und Anforderungen sind zu überprüfen und in die ISMS-Prozesse einzuarbeiten, einschließlich der Bestimmung der Einschlägigkeit, die Registrierung, die Meldepflichten und spezifische Schulungen der Geschäftsleitung.
Das Team der Informationssicherheit steht Ihnen mit Fachexpertise und jahrelanger Erfahrung gerne zur Seite. Bei juristischen Fragestellungen zum NIS2UmsuCG können Sie sich auch direkt an unser Compliance-Team wenden. Wir freuen uns auf Ihre Anfrage!