Der Referentenentwurf für die Umsetzung der NIS 2-Richtlinie liegt vor – was Sie bereits jetzt wissen sollten!

​veröffentlicht am 1. September 2023

Die digitale Transformation hat unser tägliches Leben und unsere Wirtschaft revolutioniert, jedoch hat sie auch neue Herausforderungen und Risiken mit sich gebracht. Die verstärkte Vernetzung von Systemen und Dienstleistungen hat die Anfälligkeit für Cyberangriffe erhöht, die sowohl die Sicherheit als auch die Funktionsfähigkeit unserer Gesellschaft gefährden können. Um diesen Bedrohungen entgegenzuwirken, hat die Europäische Union (EU) den Rahmen für Cybersicherheit durch die Einführung der NIS 2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) erweitert. Dabei soll die Cyber-Resilienz ganzheitlich gestärkt, das Bewusstsein für Cybersicherheit erhöht und ein gemeinsames Niveau der Cybersicherheit in den Mitgliedsstaaten der Europäischen Union erreicht werden. Diese soll nach Vorgaben der EU bis zum 17.10.2024 in nationales Recht umgesetzt werden. In Deutschland liegt nunmehr ein Referentenentwurf für die Umsetzung vor (BSIG-E). Dieser sieht eine umfassende Überarbeitung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Aus dem Gesetz, das in seiner Ursprungsfassung die Aufgaben und Befugnisse einer Behörde regeln sollte, wird nunmehr ein Gesetz zur Regelung der Cybersicherheit in Deutschland. Eine Verabschiedung des Gesetzes wird im Moment im Frühjahr 2024 erwartet.

Wir möchten Ihnen nachfolgend die wichtigsten Regelungen des Referentenentwurfes vorstellen. In Deutschland wird diese Richtlinie spätestens bis zum 17. Oktober 2024 durch das NIS 2 Umsetzungsgesetz in die nationale Gesetzgebung überführt.

Erweiterung der Betroffenheit und Pflichten

Die NIS 2-Direktive BSIG-E erweitert die Kategorien der betroffenen Betreiber, die als „Essential Entities” und „Important Entities” klassifiziert werden. Damit sind nicht nur Betreiber kritischer Infrastruktur von den Regelungen des Gesetzes betroffen. Vielmehr trifft es Unternehmen und Einrichtungen in einer breiten Palette von Sektoren, darunter Energie, Verkehr, Gesundheitswesen, Finanzwesen und digitale Dienste. Das NIS 2 Umsetzungsgesetz zieht nun Unternehmen ab einer bestimmten Größe in diese Regelungen ein, unabhängig von spezifischen Schwellenwerten. Dies bedeutet, dass nicht nur Großunternehmen, sondern auch mittlere Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro unter die strengeren Vorschriften fallen.

Mindestanforderungen an die Cybersicherheit

Das Herzstück des NIS 2 Umsetzungsgesetzes BSIG-E sind die Mindestanforderungen an die Cybersicherheit, die von den betroffenen Unternehmen und Einrichtungen umgesetzt werden müssen. Es übernimmt dabei umfassend den Katalog der Mindestsicherheitsanforderungen der Art. 21 NSI 2- Richtlinie. Dazu gehören Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance. Unternehmen müssen Maßnahmen zur Prävention, Erkennung und Bewältigung von Cyberangriffen umsetzen, um die Widerstandsfähigkeit ihrer kritischen Dienstleistungen zu gewährleisten.

Welche Anforderungen im Einzelnen zu erfüllen sind, wird nun klar geregelt. Dazu gehören unter anderem Risikomanagement, Vorfallsmeldungen, Back-Up- und Notfallmanagement, Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.

Ein wichtiger Punkt ist hierbei, dass die Intensität der geforderten Maßnahmen aus Gründen der Verhältnismäßigkeit zwischen den Einrichtungskategorien ausdifferenziert sein soll, wobei Betreiber kritischer Anlagen den strengsten Anforderungen unterliegen werden. 

Meldepflicht

Im Rahmen der NIS2-Umsetzung werden den betroffenen Einrichtungen erweiterte Meldepflichten auferlegt, die über die bisherigen KRITIS-Meldepflichten hinausgehen. Besonders wichtige Einrichtungen sowie Betreiber kritischer Anlagen und wichtige Einrichtungen sind verpflichtet, Sicherheitsvorfälle dem BSI zu melden. Diese Meldungen müssen innerhalb kurzer Fristen erfolgen, etwa 24 Stunden für die Erstmeldung und 72 Stunden für die Folgemeldung mit Bewertung. Zwischen- und Abschlussmeldungen können bei Bedarf angefordert werden. Betreiber kritischer Anlagen müssen zudem Details zu Anlagen, kritischen Dienstleistungen und den Auswirkungen melden.

Nachweispflicht und Audits

Betroffene Unternehmen, die als besonders wichtige Einrichtung eingestuft werden, müssen zukünftig alle zwei Jahre in Form von Audits dem BSI nachweisen, dass sie die erforderlichen BSIG-ENIS2-Maßnahmen und -Meldepflichten umsetzen. Für Betreiber kritischer Anlagen wird zusätzlich der Nachweis für den Einsatz von Systemen zur Angriffserkennung notwendig sein. Der Nachweis umfasst dabei die festgestellten Mängel, in Form einer Mängelliste, einen Umsetzungsplan mit entsprechenden Maßnahmen für die Beseitigung der Mängel und ggf. Nachweise der Behebung der Mängel, analog zu den derzeitigen KRITIS-Audits.

Zusammenarbeit und Aufsicht

Das BSIG-ENIS 2 Umsetzungsgesetz fördert auch die Zusammenarbeit zwischen den nationalen Behörden und den betroffenen Betreibern. Es etabliert eine klare Aufsichtsstruktur, um sicherzustellen, dass die Anforderungen des BSIG-Er NIS 2-Direktive effektiv umgesetzt werden. Behörden erhalten erweiterte Befugnisse zur Überprüfung der Einhaltung der Cybersicherheitsmaßnahmen, einschließlich regelmäßiger Audits und Inspektionen.

Sanktionen und persönliche Haftung bei Verstößen

Um die Einhaltung der Vorschriften sicherzustellen, sieht das BSIG-ENIS 2 Umsetzungsgesetz strenge Sanktionen für Verstöße vor. Unternehmen, die gegen die neuen Pflichten verstoßen, können mit Geldbußen in Höhe von bis zu 10 Millionen Euro oder einem Prozentsatz ihres weltweiten Umsatzes belegt werden, abhängig von der Kategorie des betroffenen Sektors. Zudem haften Geschäftsleiter teilweise persönlich für die Umsetzung der Sicherheitsmaßnahmen in ihren Einrichtungen. Dieses ist vor allem deswegen von Bedeutung, weil die Begründung des Gesetzesentwurfs die Klarstellung enthält, dass sowohl Regressforderungen als auch Bußgelder vom Schadensbegriff der eine persönliche Haftung auslöst erfasst sein sollen. Die Regressfähigkeit von Unternehmensbußen gegenüber Organmitgliedern ist jedoch höchst umstritten und von den Gerichten bislang unter Hinweis auf den Sanktionscharakter der Geldbuße abgelehnt worden.

Ausblick und Fazit

Das BSIG-ENIS 2 Umsetzungsgesetz markiert einen wichtigen Schritt in Richtung einer umfassenden Cybersicherheit für Kritische Infrastrukturen in Deutschland. Durch die Umsetzung der EU NIS 2-Richtlinie werden Unternehmen und Einrichtungen auf höhere Cybersicherheitsstandards verpflichtet, um die Resilienz gegenüber Cyberangriffen zu stärken und die Funktionsfähigkeit unserer digitalen Gesellschaft zu gewährleisten. Dieses Gesetz wird nicht nur die Sicherheit der Unternehmen verbessern, sondern auch das Vertrauen der Öffentlichkeit in die digitale Infrastruktur stärken.

Gleichzeitig wird es betroffene Stellen aber auch vor große Herausforderungen stellen.

Es ist von entscheidender Bedeutung, dass betroffene Unternehmen und Einrichtungen sich frühzeitig mit den Anforderungen des BSIG-ENIS 2 Umsetzungsgesetzes vertraut machen und die notwendigen Maßnahmen zur Einhaltung der Cybersicherheitsstandards ergreifen. Bei einem Abwarten bis zur Verabschiedung des Gesetzes dürfte es kaum realisierbar sein, die umfangreichen erforderlichen Maßnahmen fristgerecht umzusetzen. 

Indem wir gemeinsam an einer robusten Cybersicherheitskultur arbeiten, können wir die Chancen der digitalen Welt voll ausschöpfen, ohne die damit verbundenen Risiken zu vernachlässigen.