Das NIS2-Umsetzungsgesetz soll die Vorgaben der europäischen NIS2-Richtlinie in deutsches Recht umsetzen. Dadurch entstehen für zahlreiche Unternehmen neue Auflagen im Bereich der Informations- und IT-Sicherheit. Die wichtigsten stellen wir Ihnen hier vor.
Was ist das NIS2-Umsetzungsgesetz?
Die neuen Vorgaben zur Informationssicherheit kommen mit einem typisch sperrigen Titel: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG). Umgangssprachlich hat sich der Begriff NIS2-Umsetzungsgesetz etabliert.
Wie ist der aktuelle Stand des NIS2-Umsetzungsgesetzes?
Im Moment handelt es sich noch um einen Gesetzentwurf. Deshalb stellen wir hier nur eine Auswahl der geplanten Regelungen des NIS2-Umsetzungsgesetzes vor.
Aktueller Referentenentwurf
Der neue Referentenentwurf vom 7. Mai 2024 zum NIS2-Umsetzungsgesetz enthält einige Aktualisierungen und Präzisierungen, jedoch keine bahnbrechenden Änderungen im Vergleich zu den früheren Entwürfen:
- Begriffsdefinitionen: Der aktuelle Entwurf konkretisiert und erweitert einige Begriffsdefinitionen am Anfang des Gesetzes, um die Auslegungsarbeit zu erleichtern. Es wird klargestellt, dass sämtliche IT-Systeme von als kritisch eingestuften Einrichtungen grundsätzlich unter dem Anwendungsbereich fallen – was zu erheblichen Implementierungsaufwänden führen kann.
- Pflichten für Private und staatliche Einrichtungen: Es gibt eine umfassende Pflichtenregelung für die Privatwirtschaft, während staatliche Einrichtungen (einschließlich des Auswärtigen Amts) weitgehend ausgeschlossen sind. Dies stößt auf Kritik, da staatliche Stellen ebenfalls stärker in die Cybersicherheit einbezogen werden sollten.
- Risikomanagement: Es gibt keine signifikanten Änderungen im Bereich des Risikomanagements. Der Gesetzgeber kann und wird die Anforderungen an das Risikomanagement im Einzelfall nicht abschließend festlegen.
- Vorfälle und Fristen: Es gibt zahlreiche kleinere Änderungen und Anpassungen im Entwurf, darunter Anhebungen von Fristen für Meldepflichten (Erstmeldung bei Vorfällen binnen 24 Stunden, umfassendere Meldung nach spätestens 72 Stunden), Konkretisierungen im Bereich des Schwachstellenaustauschs und der Konformitätsbewertung sowie Änderungen bei Bußgeldern.
- Umsetzungsfrist: Der Entwurf sieht weiterhin vor, dass das Gesetz am 1. Oktober 2024 in Kraft tritt.
Wie geht es mit dem Gesetzentwurf weiter?
Die Bundesländer haben bis zum 28. Mai 2024 Zeit, eine Stellungnahme zu dem Gesetzesentwurf abzugeben und mögliche Bedenken zu äußern.
Drei Tage nach Ablauf der Frist für die Stellungnahmen, also Anfang Juni, findet eine Anhörung der Länder zum Gesetz statt. Hier haben diese die Möglichkeit, ihre Ansichten und Kommentare direkt zu äußern und Fragen zu stellen.
Am 3. Juni 2024 ist eine Anhörung der Verbände geplant. Über 120 Verbände wurden eingeladen, um ihre Einsichten und Bedenken zum Gesetzesentwurf darzulegen. Dies ermöglicht eine breite Beteiligung verschiedener Interessengruppen und Experten.
Nach den Anhörungen werden die erhaltenen Stellungnahmen und Empfehlungen sorgfältig geprüft. Es ist wahrscheinlich, dass weitere Diskussionen und Verhandlungen über mögliche Änderungen am Gesetzesentwurf stattfinden werden, um auf die vorgebrachten Anliegen einzugehen.
Anschließend wird das Gesetz in den Bundestag eingebracht.
Wer wird vom NIS2-Umsetzungsgesetz adressiert?
Das Gesetz führt diverse Definitionen auch hinsichtlich der verpflichteten Stellen ein. Wer im Ergebnis verpflichtet ist oder ausnahmsweise nicht verpflichtet ist, wird zukünftig noch durch eine Rechtsverordnung im Detail bestimmt. An den Grundregeln, wie sie die NIS2-Richtlinie einführte, ändert sich aber nichts.
Welche Stellen letztendlich als wichtig bzw. besonders wichtig oder gar als kritisch zählen, muss im Einzelfall und mit Blick auf die dann dazugehörige Verordnung geklärt werden. Die Darstellung sämtlicher Möglichkeiten führt im Rahmen dieses Beitrags zu weit.
Grundsätzlich sollten aber alle Unternehmen, die mindestens als mittleres Unternehmen eingestuft sind, das weitere Gesetzgebungsverfahren aufmerksam verfolgen. Im Entwurf sind als mittlere Unternehmen definiert:
„Unternehmen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die
a) mindestens 50 und höchstens 249 Mitarbeiter beschäftigen und zudem einen Jahresumsatz von weniger als 50 Millionen EUR oder eine Jahresbilanzsumme von weniger als 43 Millionen EUR aufweisen oder
b) weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mindestens 10 Millionen EUR und einen Jahresumsatz von höchstens 50 Millionen EUR sowie eine Bilanzsumme von höchstens 43 Millionen EUR aufweisen.“
Ebenfalls aufmerksam sollte jene Stellen sein, die einer von Richtlinie und Gesetz genannten Branchen zugehören:
- Energie
- Verkehr
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- digitale Infrastruktur
- Verwaltung von IKT- Diensten oder Weltraum
Tipp: Nutzen Sie unseren interaktiven NIS2-Test, um zu prüfen, ob Sie unter die Vorgaben der Richtlinie fallen.
Pflicht zum Risikomanagement
Adressierte Einrichtungen sind nach § 30 des Gesetzesentwurfs verpflichtet, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu vermeiden sowie Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten.
Die Maßnahmen müssen angemessen sein und sollen den Stand der Technik berücksichtigen, insbesondere so, wie er in einschlägigen Normen enthalten ist. Damit sind klar Normen wie die ISO 27001 oder der IT-Grundschutz etc. gemeint. Für Betreiber kritischer Anlagen sollen dabei ausdrücklich erhöhte Anforderungen gelten, wobei das Gesetz allerdings nicht erkennen lässt, was damit gemeint ist und welche Anforderungen als normal anzusehen sind.
Ausdrücklich einbezogen werden müssen bei der Erwägung geeigneter Maßnahmen die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse.
Unternehmen müssen damit noch deutlich mehr als bisher ohnehin schon (Stichwort Auftragsverarbeitung im Datenschutz) einen kritischen Blick auf jeden einzelnen Lieferanten werfen. Im Gegenzug sollten sich Lieferanten darauf einstellen, dass künftig deutlich gesteigerte Erwartungen an sie gestellt werden dürften, die geforderten Nachweise zu erbringen. Wer seine Kunden behalten will, sollte diese bei der Wahrnehmung ihrer Pflichten vorausschauend und optimal unterstützen.
Damit werden sich die gesetzlichen Anforderungen vorhersehbar zumindest indirekt auf deutlich mehr Unternehmen auswirken als nur die direkten Adressaten des NIS2UmsuCG. Lieferanten werden dadurch gezwungen, vergleichbare Anforderungen zu erfüllen und dies auch nachweisen zu können.
Ein gefahrübergreifender Ansatz ist bei der Umsetzung von technischen und organisatorischen Maßnahmen zwingend und als Minimum werden ausdrücklich gefordert:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- die Bewältigung von Sicherheitsvorfällen,
- die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement,
- die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Diese einzelnen Punkte sind im Grunde nur klarstellend. Sie sind im Rahmen eines tauglichen Informationssicherheits-Managementsystems (ISMS) ohnehin regelmäßig notwendig. Damit ergibt sich die Pflicht bereits aus der allgemeinen Anforderung, sich an den entsprechenden Normen zu orientieren. Allerdings wird denjenigen Stellen bzw. deren Verantwortlichen, die bislang den Aufwand vermeiden wollten, sich nach einer entsprechenden Norm zu richten, nun ausdrücklich der Weg versperrt. Vor allem die in der Praxis meist sehr ungeliebten Konzepte bzw. Regelungen erhalten so deutlich mehr Gewicht.
Nachweispflichten
Alle besonders wichtigen Einrichtungen sind nach § 34 des NIS2UmsuCG-Gesetzesentwurfs verpflichtet, dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) die Erfüllung der vorgenannten Anforderungen nachzuweisen. Erstmalig ist der Nachweis nach zwei bzw. spätestens drei Jahren ab Inkrafttreten des Gesetzes fällig. Danach muss er alle zwei Jahre regelmäßig erbracht werden.
Der Nachweis kann durch Audits und Zertifizierungen erfolgen und aufgedeckte Sicherheitsmängel sind dabei dem BSI gegenüber offenzulegen. Auch kann das BSI verlangen, in die Prüfungsunterlagen Einsicht zu nehmen. Die Zeit für die in der Praxis leider immer noch häufig anzutreffenden kaum aussagekräftigen und vor allem für Dritte nicht nachvollziehbaren Prüfberichte, dürfte damit vorbei sein.
Meldepflichten
Wie in der NIS2-Richtlinie vorgesehen, sind adressierte Einrichtungen nach § 34 des Gesetzesentwurfs verpflichtet, Sicherheitsvorfälle an das BSI zu melden, und zwar innerhalb von 24 Stunden nach Kenntniserlangung. Details zum Vorfall müssen unverzüglich, spätestens aber innerhalb von 72 Stunden nachgeliefert werden.
Zur Klarstellung: Diese Fristen beziehen sich nicht auf die eigenen Geschäftszeiten!
Direkte und persönliche Verpflichtung des Managements
- 38 des Gesetzesentwurfs spricht nochmals klar und unmissverständlich aus, was sich bereits aus der Anwendung allgemeiner rechtlicher Grundlagen ergibt: Das Management ist persönlich verpflichtet, angemessene Maßnahmen zu veranlassen und kann diese Pflicht auch nicht auf andere abwälzen. Das Management haftet persönlich bei Pflichtverletzungen und das Unternehmen darf auf diese Ansprüche und deren Durchsetzung nicht verzichten. Die Grenze ist allein die Privatinsolvenz des Managers. Lediglich als Sollvorschrift wird Managern zudem aufgegeben, sich selbst regelmäßig in den relevanten Bereichen weiterzubilden.
Wie gesagt, § 38 wiederholt hier nur, was sich bereits aus dem allgemeinen Recht ergibt. Offenbar ist es allerdings notwendig, dies gesetzgeberisch klarzustellen.
Überprüfung und Durchsetzung durch das BSI
Bei besonders wichtigen Einrichtungen kann das BSI auch aktiv kontrollieren, wie es § 64 des Gesetzesentwurfs vorsieht. Auch kann das Bundesamt verbindliche Anweisungen erteilen und gegebenenfalls auch einen Beauftragten zur Überwachung einsetzen und das Management entmachten.
Bußgelder
Selbstverständlich enthält der Gesetzesentwurf in seinem § 59 auch Bußgeldvorschriften. Verstöße können mit sehr empfindlichen Bußgeldern geahndet werden, die im Bereich von 100.000 bis hin zu vielen Millionen Euro reichen können. Auch Zwangsgelder von bis zu 100.000 Euro sind möglich.
An dieser Stelle nochmals kurz der Verweis nach oben: Ein Rückgriff auf das Management ist vorgesehen, soweit dieses solche Schäden für das Unternehmen zu vertreten hat.
Fazit: Umsetzung rechtzeitig angehen ist der einzige Weg
Der Gesetzesentwurf enthält keine Überraschungen. Er präzisiert vieles, was in der NIS2-Richtlinie vorgesehen ist. Im Übrigen werden die Vorgaben der Richtlinie konsequent in das deutsche Recht überführt.
Der Handlungsdruck für adressierte Stellen ist hoch. Der erste Nachweis ist allerspätestens drei Jahre nach Inkrafttreten des NIS2-Umsetzungsgesetzes fällig. Verantwortliche sollten sich darüber bewusst sein, dass diese Zeit sehr knapp sein kann, um nicht nur die eigenen Prozesse anzupassen, sondern auch alle Dienstleister entsprechend einzufangen und nicht zuletzt noch einen Termin zur rechtzeitigen Zertifizierung von einer akkreditierten Zertifizierungsstelle zu bekommen.
Nicht nur die Berater dürften völlig vorhersehbar knapp werden; auch die Zertifizierungstermine sind endlich. Wer nicht rechtzeitig dran ist, muss am Ende nicht wirklich überrascht sein, wenn er keinen passenden Audittermin mehr bekommt.