NIS2UmsuCG: Aktueller Stand & wichtige Informationen im Überblick

NIS2-Umsetzungsgesetz: Mehr Sicherheit für infrastrukturkritische Branchen

In der heutigen digitalen Ära sind Sicherheitsmaßnahmen von entscheidender Bedeutung, insbesondere für Unternehmen, die kritische Infrastrukturen betreiben oder digitale Dienste anbieten. Die Europäische Union reagiert auf diese Bedrohung mit NIS2 (Netzwerk- und Informationssicherheit). Die EU hat sich verpflichtet, den Schutz in verschiedenen Bereichen mit kritischer Infrastruktur deutlich zu verbessern. NIS2 soll „eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind“ schaffen.

Zudem sollen in allen Staaten der EU einheitlich hohe Sicherheitsstandards gelten. Bereits 2022 wurde daher die sogenannte NIS2-Bestimmung eingeführt, die genau dieses Ziel verfolgt. Sie bringt deutlich mehr Verpflichtungen für betroffene Unternehmen und Organisationen mit sich als der Vorgänger. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) überführt die EU-Vorgabe in deutsches Recht.

Was ist die NIS2-Richtlinie?

Die NIS2-Anordnung ist eine EU-weite Gesetzgebung, die auf die Sicherheit von Netzwerken und Informationssystemen abzielt. Sie stellt sicher, dass Betreiber wesentlicher Dienste und digitale Diensteanbieter angemessene Sicherheitsvorkehrungen treffen, um die Auswirkungen von Cyberangriffen zu minimieren und die Funktionsfähigkeit der digitalen Infrastruktur zu gewährleisten.

Wir bieten Ihnen einen umfassenden Überblick über die NIS2-Richtlinie, ihren Geltungsbereich und die wesentlichen Anforderungen, die Sie und Ihr Unternehmen beachten müssen.

Was ist das NIS2UmsuCG?

Alle EU-Staaten haben nun bis zum Oktober 2024 Zeit, NIS2 in nationales Recht umzuwandeln. Die NIS2-Umsetzung in Deutschland erfolgt durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Zusammen mit dem KRITIS-Dachgesetz betrifft NIS2 eine größere Anzahl an Einrichtungen. Deutschland ist jedoch spät dran und damit Schlusslicht in Europa. Die Verkündung und das Inkrafttreten des NIS2-Umsetzungsgesetzes erfolgen nach aktuellen Informationen voraussichtlich erst im Frühjahr 2025. Bis dahin müssen alle betroffenen Unternehmen ihre IT-Sicherheitsvorkehrungen so implementiert haben, dass sie das NIS2UmsuCG erfüllen.

Das Bundesministerium des Innern und für Heimat hat im vergangenen Jahr bereits einen Referentenentwurf vorgelegt. Experten gehen davon aus, dass rund 30.000 Unternehmen und Organisationen betroffen sein werden. Ein deutlicher Anstieg zur bisherigen Regelung.

Aktueller Stand des NIS2-Umsetzungsgesetzes (NIS2UmsuCG)

Deutschland hat die Implementierung der NIS2-Vorgabe zum Stichtag 17. Oktober 2024 nicht fristgerecht umgesetzt. Das NIS2-Umsetzungsgesetz befindet sich jedoch in einem fortgeschrittenen Stadium der Gesetzgebung:

• April bis Dezember 2023: Die Bundesregierung beschließt erste Referentenentwürfe für das NIS2UmsuCG.
• Mai bis Juni 2024: Verbändeanhörungen zu den Referentenentwürfen.
• 24. Juli 2024: Das Bundeskabinett hat den Gesetzentwurf beschlossen und in den parlamentarischen Prozess eingebracht.
• 22. Juli 2024: Das Bundesministerium des Innern (BMI) hat den finalen Regierungsentwurf veröffentlicht. Das Gesetz muss noch den regulären Gesetzgebungsprozess durchlaufen, einschließlich Beratungen in Bundestag und Bundesrat.

Auf Basis dieser Entwicklungen wird eine Verzögerung der finalen Verabschiedung bis voraussichtlich März 2025 erwartet. Durch den Bruch der Ampel-Koalition und die Neuwahlen im Februar 2025 könnte das NIS2-Umsetzungsgesetz sogar erst Ende 2025 oder Anfang 2026 verabschiedet werden. Wesentliche inhaltliche Änderungen sind zum jetzigen Zeitpunkt nicht mehr zu erwarten.

Obwohl sich die Umsetzung verzögert, sollten Unternehmen nicht auf das Inkrafttreten warten, sondern bereits jetzt handeln. Die Umsetzungsdauer ist sechs bis 18 Monate lang. Zwar ist es unwahrscheinlich, dass deutsche Behörden schon jetzt entsprechende NIS2-Nachweise sehen wollen. Aber: Unternehmen aus anderen EU-Ländern, wo die NIS2-Umsetzung bereits erfolgt ist, könnten entsprechende Belege anfordern.

Kernziele des deutschen NIS2UmsuCG

Das NIS2-Umsetzungsgesetz ist Deutschlands gesetzliche Umsetzung der EU-Richtlinie und verfolgt mehrere zentrale Ziele zur Stärkung der Cybersicherheit.

1. Erhöhung der Cybersicherheit durch verbesserte Schutzmaßnahmen

Das Gesetz verlangt von Unternehmen und Organisationen robustere Sicherheitsvorkehrungen, um Cyberangriffe besser zu verhindern und die digitale Infrastruktur widerstandsfähiger zu machen. Dazu gehören technische und organisatorische Maßnahmen, wie etwa die Implementierung eines Informationssicherheits-Managementsystems (ISMS) oder der regelmäßige Einsatz von Risikoanalysen und Penetrationstests.

2. Harmonisierung der Cybersicherheitsstandards innerhalb der EU

Mit der NIS2-Umsetzung werden einheitliche Cybersicherheitsanforderungen für Unternehmen in der gesamten EU geschaffen. Dies erleichtert insbesondere grenzüberschreitend tätigen Unternehmen die Compliance mit Sicherheitsstandards und sorgt für eine einheitliche Mindestanforderung an die IT-Sicherheit.

3. Stärkung kritischer Infrastrukturen gegen Cyberbedrohungen

Die Vorschriften betreffen vornehmlich kritische Infrastrukturen sowie Einrichtungen aus wichtigen Branchen wie Gesundheitswesen, Energieversorgung, Verkehr, Finanzwesen und öffentliche Verwaltung. Ziel ist es, die Widerstandsfähigkeit gegenüber Cyberangriffen zu verbessern, um eine Unterbrechung wichtiger Dienstleistungen zu vermeiden.

4. Verbesserung der Krisenbewältigung bei Cybervorfällen

Mit dem NIS2UmsuCG sollen staatliche und unternehmensinterne Reaktionsmechanismen auf Cybervorfälle verbessert werden. Dazu gehören:

• Verpflichtende Notfallpläne für IT-Sicherheitsvorfälle
• Schnellere Erkennung und Reaktion auf Cyberangriffe
• Bessere Koordination zwischen Behörden und Unternehmen im Krisenfall

5. Erweiterung der Meldepflichten für Cybervorfälle

Unternehmen müssen Cyberangriffe und IT-Sicherheitsvorfälle schneller und detaillierter melden. Diese verschärften Meldepflichten sollen eine frühzeitige Reaktion auf Bedrohungen ermöglichen und helfen, Angriffe auf nationale und europäische Infrastrukturen effizienter zu bekämpfen.

Umsetzung von NIS2 in Deutschland in der Praxis

Die Implementierung des NIS2-Umsetzungsgesetzes erfordert eine proaktive Herangehensweise und die Zusammenarbeit verschiedener Abteilungen innerhalb eines Unternehmens.

• Bewertung der Betroffenheit: Identifizierung, ob das Unternehmen als OES oder DSP qualifiziert ist.
• Implementierungsplan: Entwicklung eines detaillierten Plans zur Umsetzung der erforderlichen Maßnahmen.
• Schulungen: Schulung der Mitarbeiter über die neuen Anforderungen und Best Practices.
• Sicherheitsbewusstsein: Förderung eines Sicherheitsbewusstseins auf allen Ebenen des Unternehmens.
• Regelmäßige Audits: Durchführung regelmäßiger Audits und Überprüfungen, um die Einhaltung der Richtlinie sicherzustellen.
• Technologische Unterstützung: Einsatz von spezialisierten Cybersicherheits-Tools und -Lösungen.

Hintergrund: Warum wurde die NIS2-Anordnung eingeführt?

Die Einführung der überarbeiteten NIS-Vorgabe war eine Reaktion auf die erheblichen Unterschiede in der NIS-Umsetzung der ursprünglichen Richtlinie innerhalb der Europäischen Union. Diese Unterschiede führten zu einer uneinheitlichen Bewertung und Klassifizierung von Unternehmen, die als Betreiber kritischer Dienste fungieren. Während einige Mitgliedstaaten bestimmte Unternehmen als kritisch einstufen und entsprechende Sicherheitsanforderungen an sie stellen, war dies in anderen Ländern nicht der Fall. Dies schuf ein ungleiches Sicherheitsniveau und erhöhte die Anfälligkeit für Cyberangriffe in der gesamten EU.

Die Neufassung der Bestimmung zielt darauf ab, einheitliche Kriterien und Standards zu schaffen, um die Fragmentierung zu beseitigen und einen kohärenten Schutzrahmen für alle Mitgliedstaaten zu gewährleisten. Unternehmen, die als Betreiber kritischer Dienste identifiziert werden, sind nun verpflichtet, strengere Mittel zur Abwehr von Cyberbedrohungen zu ergreifen. Dazu gehört die Implementierung und kontinuierliche Verbesserung eines zukunftsfähigen Information Security Management Systems (ISMS), das sicherstellt, dass IT-Systeme stets auf dem neuesten Stand der Technik sind und den aktuellen Sicherheitsstandards entsprechen.

Zusätzlich zu den technischen Hilfsmitteln müssen Unternehmen auch organisatorische Methoden ergreifen, um ein umfassendes Sicherheitsmanagement zu gewährleisten. Dies beinhaltet die Schulung und Sensibilisierung der Mitarbeiter, die Einführung von Notfallplänen sowie die regelmäßige Überprüfung und Anpassung der Sicherheitsstrategien. Durch die Harmonisierung der Sicherheitsanforderungen innerhalb der EU wird ein höheres Schutzniveau für kritische Infrastrukturen angestrebt, was letztendlich die Resilienz der gesamten europäischen Wirtschaft gegenüber Cyberbedrohungen stärkt.

Wesentliche Änderungen im Vergleich zur NIS1

Im Vergleich zur vorherigen Version (NIS1) wurden in der NIS2-Bestimmung zahlreiche signifikante Änderungen vorgenommen, um den aktuellen Bedrohungen im Bereich der Cybersicherheit besser begegnen zu können und die Resilienz kritischer Infrastrukturen zu erhöhen.

Erweiterter Anwendungsbereich: Sie gilt nun für eine deutlich breitere Palette von Firmen und Dienstleistern. Während NIS1 primär auf bestimmte Bereiche wie Energie, Verkehr, Bankwesen und Gesundheitswesen beschränkt war, umfasst die NIS2-Umsetzung nun auch die öffentliche Verwaltung, Raumfahrt, Wasserversorgung und -entsorgung sowie Hersteller von kritischen Produkten. Dies bedeutet, dass auch kleinere und mittlere Unternehmen, die in diesen erweiterten Branchen tätig sind, unter die Richtlinie fallen und somit den erhöhten Sicherheitsanforderungen genügen müssen. Ein Beispiel hierfür ist ein mittelständisches Unternehmen, das spezielle Software für das Gesundheitswesen entwickelt und vertreibt. Unter NIS2UmsuCG muss dieses Unternehmen nun strenge Sicherheitsvorkehrungen implementieren, um die Integrität und Verfügbarkeit ihrer Systeme zu gewährleisten.

Strengere Sicherheitsanforderungen: Die Sicherheitsanforderungen wurden erheblich verschärft, um den gestiegenen Bedrohungen durch Cyberangriffe gerecht zu werden. Unternehmen müssen nun umfassendere Vorgehensweisen zur IT-Sicherheit und zum Schutz kritischer Infrastrukturen umsetzen. Dazu gehören unter anderem regelmäßige Sicherheitsüberprüfungen, die Implementierung von Verschlüsselungstechnologien, die Etablierung von Sicherheitsrichtlinien und Schulungen für Mitarbeiter sowie die Einführung von Notfallplänen für den Fall eines Sicherheitsvorfalls. Beispielsweise muss ein Energieversorger sicherstellen, dass seine IT-Systeme regelmäßig auf Schwachstellen überprüft werden und dass es klare Protokolle gibt, wie im Falle eines Cyberangriffs vorzugehen ist, um die Versorgungssicherheit nicht zu gefährden.

Risikomanagement-Ansatz: Ein zentrales Element der NIS2-Umsetzung ist die Einführung eines systematischen Risikomanagements. Unternehmen sind verpflichtet, kontinuierlich potenzielle Bedrohungen zu identifizieren und zu bewerten sowie geeignete Konzepte zur Risikominderung zu ergreifen. Dies beinhaltet die Durchführung regelmäßiger Risikoanalysen, die Bewertung der Auswirkungen möglicher Sicherheitsvorfälle und die Entwicklung von Strategien zur Risikominimierung. Ein Beispiel hierfür ist eine Bank, die durch den Einsatz von Risikoanalyse-Tools und die Durchführung von regelmäßigen Penetrationstests sicherstellt, dass mögliche Schwachstellen in ihren Systemen frühzeitig erkannt und behoben werden. Darüber hinaus muss die Bank einen umfassenden Krisenmanagementplan entwickeln, der beschreibt, wie im Falle eines Cyberangriffs schnell und effektiv reagiert werden kann, um den Geschäftsbetrieb aufrechtzuerhalten und den Schaden zu minimieren.

Durch diese und weitere Änderungen soll die NIS2-Anforderung dazu beitragen, die Cybersicherheit in der EU auf ein höheres Niveau zu heben und die Resilienz gegen Cyberbedrohungen zu stärken.

Geltungsbereich des NIS2-Umsetzungsgesetz

Durch das Umsetzungsgesetz in Verbindungen mit dem KRITIS-Dachgesetz geht NIS2 weit über den bisherigen Geltungsbereich hinaus. Neben den sogenannten KRITIS-Betreibern wird bei NIS2 konkret zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden. Auch die Unternehmensgröße spielt eine Rolle dabei. Die NIS2-Umsetzung in Deutschland richtet sich an zwei Hauptgruppen von Akteuren:

• Betreiber wesentlicher Dienste (OES): Unternehmen in Schlüsselbereichen wie Energie, Verkehr, Gesundheitswesen, Bankwesen und digitale Infrastruktur. Diese Unternehmen sind entscheidend für die Aufrechterhaltung wesentlicher Dienste und müssen daher robuste Sicherheitsvorgaben implementieren.
• Digitale Diensteanbieter (DSP): Plattformen, die Dienste wie Cloud-Computing, Online-Marktplätze und Suchmaschinen anbieten. Diese Anbieter müssen ebenfalls Sicherheitsvorkehrungen treffen, um die Verfügbarkeit und Integrität ihrer Dienste zu gewährleisten.
• Ausweitung auf weitere Branchen: NIS2UmsuCG erweitert den Anwendungsbereich im Vergleich zur NIS1 erheblich, um auch Branchen wie Wasser- und Abwasserwirtschaft sowie weitere digitale Dienstleister einzubeziehen. Kleine und mittlere Unternehmen (KMU) könnten ebenfalls betroffen sein, wenn sie als wesentliche Dienste oder digitale Diensteanbieter qualifiziert werden.
• Unterschieden werden mittlere und große Unternehmen: Die Grenze für mittlere Unternehmen liegt zwischen 50 und 250 Mitarbeitern, 10 bis 50 Millionen Euro Umsatz und einer Bilanzsumme kleiner als 43 Millionen Euro. Große Unternehmen haben dagegen mehr als 250 Mitarbeiter, mehr als 50 Millionen Euro Umsatz und eine Bilanzsumme größer als 43 Millionen Euro.

Pflichten der betroffenen Unternehmen

Wesentliche und wichtige Unternehmen sowie KRITIS, die unter das NIS2-Umsetzungsgesetz fallen, müssen eine Reihe von Pflichten erfüllen, um die Compliance sicherzustellen und die Sicherheit ihrer Netzwerke und Informationssysteme zu gewährleisten.

• Sicherheitsvorkehrungen: Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zur Gewährleistung der IT-Sicherheit zu implementieren. Dies umfasst den Einsatz von Firewalls, Intrusion-Detection-Systemen, regelmäßigen Sicherheitsüberprüfungen und Updates der verwendeten Software. Ein praktisches Beispiel hierfür wäre die Implementierung eines umfassenden Endpoint-Schutzes, der alle Endgeräte im Netzwerk absichert und potenzielle Bedrohungen frühzeitig erkennt und abwehrt.
• Risikomanagement: Die Einführung eines Risikomanagement-Ansatzes ist unerlässlich, um Risiken zu identifizieren und zu bewerten. Unternehmen sollten regelmäßige Risikoanalysen durchführen und Risikobewertungen dokumentieren. Praktische Beispiele umfassen die Durchführung von Penetrationstests, um Schwachstellen im System zu identifizieren, und die Entwicklung von Notfallplänen, die im Falle eines Sicherheitsvorfalls aktiviert werden können. Ein konkretes Beispiel wäre die Einrichtung eines Security Operations Centers (SOC), das rund um die Uhr potenzielle Bedrohungen überwacht und darauf reagiert.
• Meldepflichten: Unternehmen haben die Pflicht, schwerwiegende Sicherheitsvorfälle an die nationalen Behörden zu melden. Dies umfasst die zeitnahe Meldung von Cyberangriffen, Datenverlusten oder anderen sicherheitsrelevanten Vorfällen. Ein Beispiel hierfür wäre die Implementierung eines Incident-Response-Teams, das darauf spezialisiert ist, Sicherheitsvorfälle zu erkennen, zu analysieren und zu melden. Dieses Team sollte klare Protokolle und Kommunikationswege haben, um sicherzustellen, dass alle relevanten Informationen schnell und präzise an die Behörden weitergeleitet werden.
• Mindeststandards: Die Festlegung von Mindestanforderungen an die Sicherheitsstandards variiert je nach Branche und ist entscheidend für die Einhaltung der NIS2-Bestimmung. Unternehmen müssen branchenspezifische Sicherheitsanforderungen erfüllen, die beispielsweise im Finanzwesen strenger sein können als im Bildungsbereich. Ein praktisches Beispiel wäre die Implementierung von Verschlüsselungstechnologien zur Sicherung sensibler Daten im Gesundheitswesen oder der Einsatz von Zwei-Faktor-Authentifizierung (2FA) im Bankensektor.
• Verfügbarkeit und Untegrität: Unternehmen müssen sicherstellen, dass die von ihnen erbrachten Dienste verfügbar und integer sind. Dies bedeutet, dass die Systeme kontinuierlich überwacht und gewartet werden müssen, um Ausfälle zu verhindern und die Datenintegrität zu gewährleisten. Ein praktisches Beispiel hierfür wäre die Nutzung von Cloud-Backup-Lösungen, die eine schnelle Wiederherstellung von Daten im Falle eines Ausfalls ermöglichen. Zudem könnten Unternehmen redundante Netzwerkinfrastrukturen implementieren, um die Verfügbarkeit ihrer Dienste auch bei Hardware-Ausfällen sicherzustellen.

Durch die detaillierte Betrachtung und praktische Beispiele wird deutlich, wie umfassend und vielschichtig die Forderungen der NIS2-Umsetzung sind. Unternehmen müssen proaktiv und strategisch vorgehen, um die verschiedenen Aspekte der IT-Sicherheit zu berücksichtigen und die Compliance zu gewährleisten.

Mögliche Strafen bei Verstößen gegen NIS2UmsuCG

Das deutsche NIS2-Umsetzungsgesetz sieht bei Verstößen gegen die vorgeschriebenen Cybersicherheitsmaßnahmen erhebliche Geldstrafen vor. Die Höhe der Bußgelder variiert je nach Art der Einrichtung und Schwere des Verstoßes:

• Besonders wichtige Einrichtungen und Betreiber kritischer Anlagen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist.
• Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des Unternehmens – abhängig davon, welcher Betrag höher ist. 

Die NIS2-Umsetzung in Deutschland betont die Verantwortung der obersten Führungsebene für die Cybersicherheit. Bei Verstößen können Mitglieder der Geschäftsleitung persönlich haftbar gemacht werden, insbesondere wenn sie ihre Überwachungs- und Umsetzungspflichten vernachlässigen.

Mögliche Verstöße bei NIS2, die erhebliche Strafen mit sich ziehen, sind beispielsweise: Unternehmen sind verpflichtet, angemessene technische und organisatorische Sicherheitsvorkehrungen zum Schutz ihrer IT-Infrastruktur zu implementieren. Ein Versäumnis dieser, stellt einen Verstoß dar, der mit Bußgeldern geahndet werden kann. Ein weiteres Beispiel ist die verspätete oder unterlassene Meldung von Sicherheitsvorfällen. Zudem können unvollständige oder fehlerhafte Mitteilungen an Kunden oder die Öffentlichkeit bei NIS2 ebenfalls unter Strafe gestellt werden.

Fazit

Das NIS2-Umsetzungsgesetz oder auch NIS2UmsuCG stellt eine wichtige Entwicklung im Bereich der Cybersicherheit dar und hat weitreichende Auswirkungen auf Unternehmen in Europa. Durch die Erfüllung der Vorgaben können Unternehmen nicht nur ihre eigene Sicherheit verbessern, sondern auch zur Resilienz des gesamten digitalen Ökosystems beitragen.