28. August 2023
Cyber security – weathering the cyber storms – 6 von 6 Insights
Ende 2022 hat die EU mit der „NIS2“-Richtlinie wichtige Regelungen zum Schutz der Netz- und Informationssicherheit in „kritischen Sektoren“ getroffen. So soll der Schutz von bestimmten Einrichtungen und Diensten vor Cybergefahren verstärkt werden. In Deutschland wird die Richtlinie durch das NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Dabei geht der Gesetzesentwurf über die EU-Vorgaben hinaus und bewirkt somit vielzählige Neuerungen im nationalen Cybersicherheitsrecht.
Das NIS2UmsuCG soll bis Mitte 2024 verabschiedet werden. Die mit ihm einhergehenden Pflichten sollen ab dem 1. Oktober 2024 gelten.
Deutlich mehr Unternehmen als bisher werden durch das Kernstück des NIS2UmsuCG - die Anpassung des BSI-Gesetzes (BSIG-E) - in das IT-Sicherheitsregime einbezogen. Unterschieden wird dabei zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ sowie „kritischen Anlagen“ (vgl. § 28 Abs. 3, 6, 7 BSIG-E). Alle Normadressaten müssen eine Reihe von Pflichten erfüllen. Dies betrifft nicht nur Unternehmen, die bisher schon als KRITIS anerkannt waren.
Mit ihrer Einbeziehung in das neue Sicherheitsregime müssen alle Unternehmen rechnen, die in folgenden Sektoren tätig sind (vgl. § 57 Abs. 1 BSIG-E):
Welche Unternehmen konkret erfasst sein werden, kann abschließend erst nach Erlass einer ergänzenden Rechtsverordnung bestimmt werden, in der entsprechende Schwellenwerte (z.B. Unternehmensgröße, Anzahl der Nutzer) festgelegt werden.
Der Anhang I der NIS 2-Richtlinie gibt bereits eine Liste „kritischer Einrichtungen“ vor, die sich entsprechend auch in der Rechtsverordnung wiederfinden muss. Der nationale Gesetzgeber hat in Detailfragen jedoch Entscheidungsspielraum und kann insbesondere über die in der NIS 2-Richtlinie erfassten Unternehmen hinaus weitere Normadressaten vorsehen. Es ist wahrscheinlich, dass dies geschehen wird, und insbesondere die bisher als KRITIS eingeordneten Anlagen auch weiterhin erfasst sein werden.
Erfasst werden überdies qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries und DNS-Diensteanbieter (vgl. § 28 Abs. 6 Nr. 2 BSIG-E), für die möglicherweise vorrangige EU-Regelungen gelten.
Kategorie |
Unternehmensgröße |
Tätigkeitssektoren |
Besonders wichtig (§ 28 Abs. 6 BSIG-E) |
Großunternehmen (>250 Mitarbeiter oder > EUR 50 Mio. Umsatz und > EUR 43 Mio. Jahresbilanzsumme) |
Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum |
Große oder mittlereUnternehmen (50-249 Mitarbeiter und < EUR 50 Mio. Umsatz oder < EUR 43 Mio. Jahresbilanzsumme oder bis 49 Mitarbeiter und EUR 10-50 Mio Umsatz und EUR 10-43 Mio. Bilanzsumme) |
Anbieter öffentlicher TK-Netze und TK-Dienste |
|
unerheblich |
Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste |
|
unerheblich |
Betreiber kritischer Anlagen im Sinn der Rechtsverordnung |
|
unerheblich |
Zentralregierung (Bundesministerien und Bundeskanzleramt) |
|
Wichtig (§ 28 Abs. 7 BSIG-E) |
Mittlere Unternehmen |
Energie, Transport und Verkehr, Finanzen und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum |
Großunternehmen oder Mittlere Unternehmen |
Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung |
|
unerheblich |
Vertrauensdienste |
|
unerheblich |
Hersteller Rüstungsgüter und Sicherheits-IT für Verschlusssachen |
|
unerheblich |
Betreiber Betriebsbereich obere Klasse |
Die erfassten Unternehmen sowie deren Leitungsorgane treffen nach dem BSIG-E eine Reihe von Pflichten. Diese hängen im Einzelnen davon ab, ob es sich um eine „kritische Anlage“ oder um eine „wichtige“ oder „besonders wichtige Einrichtung“ handelt. Bestimmte Unternehmen der Telekommunikations- und Energiewirtschaft werden dabei von einigen Pflichten des BSIG-E ausgenommen und sektorspezifischen Regelungen unterworfen (§ 28 Abs. 8 BSIG-E).
Sämtliche Einrichtungen sind verpflichtet, technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse zu treffen. Diese Maßnahmen sollen dem aktuellen Stand der Technik entsprechen und das Risiko eines Schadenseintritts angemessen berücksichtigen, wobei Faktoren wie die Größe der Einrichtung und potenzielle Sicherheitsvorfälle zu berücksichtigen sind. Die Hauptverantwortung für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen liegt bei den Geschäftsführern. Sie haften auch für Verstöße und sollen regelmäßig an Schulungen teilnehmen (§ 38 BSIG-E).
Bei einem Sicherheitsvorfall haben die Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene Meldungen zu erstatten, darunter eine Erstmeldung innerhalb von 24 Stunden und eine Detailmeldung innerhalb von 72 Stunden, sowie eine Abschlussmeldung. Als Sicherheitsvorfälle gelten dabei Ereignisse, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten oder von Diensten, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigen (§ 2 Abs. 1 Nr. 37 BSIG-E).
Die Einhaltung der Sicherheitsanforderungen muss gegenüber dem BSI regelmäßig nachgewiesen werden. Bei Sicherheitsmängeln kann das BSI von Betreibern kritischer Anlagen und von besonders wichtigen Einrichtungen Abhilfemaßnahmen verlangen (§ 34 BSIG-E). Darüber hinaus sind alle Einrichtungenverpflichtet, sich beim BSI zu registrieren und relevante Informationen zur Verfügung zu stellen (§§ 32, 33 BSIG-E). Bei erheblichen Sicherheitsvorfällen können sieverpflichtet werden, ihre Kunden über diese zu informieren (§§ 35, 36 BSIG-E).
Pflicht |
Betreiber kritischer |
Besonders wichtige |
Wichtige |
Maßnahmen Risikomanagement § 30 BSIG-E |
+ |
+ |
+ |
Höhere Maßstäbe für KRITIS§ 30 Abs. 3 BSIG-E |
+ |
||
System zur Angriffserkennung§ 39 BSIG-E |
+ |
||
Registrierung beim BSI§ 32, 33 BSIG-E |
+ |
+ |
+ |
Meldepflichten§ 31 BSIG-E |
+ |
+ |
+ |
Nachweiserbringung§ 34 BSIG-E |
+ |
+ |
|
Informationsaustausch§ 35, 36 BSIG-E |
+ |
+ |
+ |
Verantwortung der Leitungsorgane §38 BSIG-E |
+ |
+ |
+ |
Die Überprüfung der Einhaltung und Durchsetzung der genannten Pflichten obliegt dem BSI (§§ 62-65 BSIG-E). Es kann dabei direkt auf die Unternehmen einwirken und Maßnahmen ergreifen. Diese bleiben so lange in Kraft, bis die Einrichtung den Anordnungen der Behörde nachgekommen ist. Bei Zuwiderhandlung drohen empfindliche Geldbußen (§ 64 BSIG-E). Diese können laut Gesetzestext bis zu zwanzig Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes des betroffenen Unternehmens im vorangegangenen Geschäftsjahr betragen.
Wichtige, besonders wichtige Einrichtungen und Betreiber kritischer Anlagen müssen u.a. geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie zur Erbringung ihrer Dienste nutzen, zu verhindern und Auswirkungen von Sicherheitsvorfällen auf ihre Dienste oder auf andere Dienste zu verhindern oder so gering wie möglich zu halten. Der Gesetzentwurf ist noch nicht endgültig. Die Anforderungen werden sich aber voraussichtlich nicht grundlegend ändern. Unternehmen sollten sich daher auf jeden Fall mit folgenden Themenbereichen befassen:
Disclaimer: This article was written with the help of AI but also by Michael Yates, Andi Terziu and Alisha Persaud.
18. April 2024
von Michael Yates, Andi Terziu
Jo Joyce provides legal and emotional counsel to those who've suffered or may suffer a cyber attack.
18. April 2024
Martijn Loth and Dominique Lensink look at incoming EU cyber security rules for connected devices.
18. April 2024
Prachi Vasisht and Debbie Heywood compare the UK's Product Security and Telecommunications Infrastructure Act with the EU's draft Cyber Resilience Act.
18. April 2024
Nicholas Crossland and Charlotte Witherington look at what the EU's Digital Operational Resilience Act means for UK businesses and at similar UK initiatives.
18. April 2024
Paul Voigt and Alexander Schmalenberger look at Germany's progress on NIS2 implementation.
28. August 2023
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E, Alexander Schmalenberger, LL.B.
von mehreren Autoren
von mehreren Autoren