Am 16. Januar 2023 ist die sogenannte NIS2-Richtlinie in Kraft getreten. NIS2 (Network and Information Systems) ist die aktuelle EU-weite Gesetzgebung, um die allgemeine Cybersicherheit in der Europäischen Union zu erhöhen. Sie erweitert die bisherige NIS-Richtlinie und verpflichtet viele kleine und mittlere Unternehmen zu Cybersicherheitsmaßnahmen ab Oktober 2024. Welche Änderungen auf Unternehmen zukommen, wen NIS2 betrifft und ab wann die neuen Pflichten gelten, stellen wir Ihnen im Beitrag vor.

Neuerungen in den Entwürfen zur Umsetzung der NIS 2-Richtlinie

In den letzten Monaten sind zwei interessante Entwürfe zur Umsetzung der EU-Richtlinie NIS 2 bekannt geworden.

Die beiden vorliegenden Referentenentwürfe bieten einen Einblick in den aktuellen Stand dieser Umsetzung.

Referentenentwurf vom April 2023: Das "IT-Sicherheitsgesetz 3.0"

Der erste Entwurf, bekannt als "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) oder informell als "IT-Sicherheitsgesetz 3.0", verfolgt einen ähnlichen Ansatz wie sein Vorgänger, das IT-Sicherheitsgesetz 2.0. Es handelt sich um ein Artikelgesetz, was bedeutet, dass die Regelungen zur IT-Sicherheit über verschiedene Gesetze verteilt sind. Im Zentrum steht das BSIG, das Bundesgesetz für die Sicherheit in der Informationstechnik, welches von 15 auf 65 Paragraphen erweitert werden soll.

Neu ist die erhebliche Ausweitung des Adressatenkreises. Künftig sollen fast alle mittleren und großen Unternehmen bestimmten Cybersicherheitspflichten unterliegen. Ausgenommen sind nur sehr kleine Unternehmen. Zu den Hauptpflichten zählen Risikomanagementmaßnahmen, Meldepflichten bei Cybersicherheitsvorfällen und Registrierungspflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders kritische Einrichtungen müssen zusätzlich Systeme zur Angriffserkennung implementieren. Eine wichtige Anmerkung: Die Geschäftsleitung haftet für die Einhaltung dieser Pflichten, und Bußgelder können bis zu 20 Millionen Euro betragen.

Aktualisierter Entwurf vom Juli 2023: Schwerpunkt auf Kritis-Dachgesetz und BSIG

Nur wenige Monate nach dem ersten Entwurf wurde ein aktualisierter Entwurf veröffentlicht. Dieser hebt – wie schon im ersten Referentenentwurf - den Erfüllungsaufwand der Wirtschaft hervor und beziffert die jährlichen Kosten auf rund 1,65 Milliarden Euro. Interessant ist die Neuregelung des Verhältnisses von BSIG zum Energiewirtschaftsgesetz (EnWG). Während im April-Entwurf geplant war, Cybersicherheitspflichten für den Energiesektor einheitlich im BSIG zu verankern, sieht der Juli-Entwurf vor, dass der Energiesektor überwiegend über das EnWG reguliert wird.

Ein weiterer wesentlicher Punkt ist die Klarstellung im Bereich kritischer Anlagen. Es gab Unklarheiten, wie Unternehmen, die sowohl als kritische Anlagen als auch als besonders wichtige Einrichtungen gelten, ihre Risiken bewerten sollten. Dieser Entwurf versucht, hier für mehr Klarheit zu sorgen.

Deutschlands Entwürfe zur Umsetzung der NIS 2-Richtlinie belegen das feste Engagement des Landes in Bezug auf Cybersicherheit. Trotz Erwartungen und Hoffnungen vieler, dass das NIS2UmsuCG im zweiten Entwurf geschwächt werden könnte, blieb es konsequent stark. Dies unterstreicht die Entschlossenheit, signifikante gesetzliche Änderungen vorzunehmen. Die erhebliche Ausweitung des Adressatenkreises und der Fokus auf den Energiesektor sind beispielhaft für diese Neuerungen. Es bleibt spannend zu beobachten, wie diese Gesetze in der Praxis umgesetzt werden. Jedoch steht fest, dass deutsche Unternehmen in den kommenden Jahren deutlich mehr in Cybersicherheit investieren müssen.

Was ist NIS2? Notwendige Maßnahmen zur Cybersicherheit

NIS2 erweitert den Geltungsbereich und die Pflichten der bisherigen NIS-Richtlinie deutlich. Unternehmen müssen abhängig von Sektor und Größe bestimmte Anforderungen an die Cybersicherheit erfüllen. Dazu gehören unter anderem:

• Aufbau von Cybersicherheit nach einschlägigen internationalen Normen (z. B. ISO/IEC 27001)
• Die Durchführung regelmäßiger Risikobewertungen und Audits
• Die Meldung von Sicherheitsvorfällen an die zuständigen Behörden
• Regelmäßige Trainings der Mitarbeiter zur „Cyberhygiene"
• Sicherstellung der Informationssicherheit in der Lieferkette (Dienstleister, Hersteller etc.)

Für wen gilt NIS2 und ab wann?

Alle Länder der Europäischen Union müssen die Regelungen bis zum Oktober 2024 in die nationale Gesetzgebung einbringen. Es wird dafür vermutlich ein „IT-Sicherheitsgesetz 3.0" in Deutschland entstehen.

Ab Oktober 2024 müssen alle Unternehmen aus 18 verschiedenen Sektoren mit mindestens 50 Mitarbeitern und EUR 10 Mio. Umsatz die Cybersicherheitsmaßnahmen umsetzen.

Von NIS2 betroffene Branchen (Sektoren)

Betreiber kritischer Infrastrukturen in Deutschland (auch bekannt als "KRITIS") sind bereits jetzt gesetzlich verpflichtet, ab bestimmten Schwellenwerten spezielle Maßnahmen zur Informationssicherheit zu ergreifen. Seit 2015 gilt hierfür das IT-Sicherheitsgesetz, das im Jahr 2021 mit dem "IT-Sicherheitsgesetz 2.0" erheblich erweitert wurde. Die Schwellenwerte sind für jeden Sektor definiert. Beispielsweise wurde für Wasserversorger ein Schwellenwert von mehr als 22 Mio. m³ Wasser pro Jahr als Auslöser für KRITIS festgelegt. Diesen erreichen viele kommunale Versorger jedoch nicht - ein Grund für die Aktualisierung der NIS-Richtlinie.

NIS2 erweitert nun nicht nur die bestehenden Sektoren, sondern fügt auch weitere hinzu:

Sektoren mit hoher Kritikalität

• Energie
• Transport
• Bankwesen
• Finanzmärkte
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• IT/ICT Dienste (B2B)
• Öffentliche Verwaltung
• Weltraum

Sonstige kritische Sektoren

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemikalien
• Lebensmittel
• Industrie (z. B. Maschinenbau)
• Digitale Dienste
• Forschung

Auswirkungen von NIS2 auf die IT-Branche

NIS2 wird die IT-Branche massiv beeinflussen. Von NIS2 betroffene Unternehmen werden bei der obligatorischen Überprüfung der Informationssicherheit in der Lieferkette ihre IT-Dienstleister für notwendige Nachweise ansprechen müssen. Infolgedessen werden die IT-Unternehmen vermutlich eine Zertifizierungsoffensive starten müssen, um diese Nachweise liefern zu können.

Aber das ist noch nicht alles: Viele IT-Dienstleister selbst fallen unter die NIS2-Anforderungen (IT/ICT Dienste im B2B) und müssen daher eigene Compliance-Strategien entwickeln, um den neuen Anforderungen zu entsprechen.

Zusätzlich werden IT-Beratungsdienstleistungen im NIS2- und Informationssicherheitsbereich sehr gefragt sein: Insbesondere für kleinere Unternehmen sind diese organisatorischen Veränderungen herausfordernd und ohne externe Hilfe schwer zu bewältigen.

Warum NIS2 die Cybersicherheit verbessern wird

NIS2 bedeutet für viele Unternehmen erstmal einen organisatorischen Mehraufwand. Dennoch kann NIS2 das europäische Niveau der Cybersicherheit deutlich verbessern: Besonders erwähnenswert ist, dass die gesamte öffentliche Verwaltung nun "NIS2-pflichtig" wird. In Anbetracht der jüngsten Ransomware-Angriffe auf über 100 Behörden in Deutschland ist das ein sinnvoller Schritt.

Eine weitere Verbesserung betrifft die EU-Länder: NIS2 schreibt vor, dass Computer Security Incident Response Teams (CSIRTs) aufgebaut oder benannt werden müssen, um Sicherheitsvorfälle zu bewältigen. Diese nationalen CSIRTs sollten teamübergreifend zusammenarbeiten, was zu einer verbesserten Koordination und Effektivität bei der Abwehr von Cyberangriffen führen kann – und hoffentlich wird.

Praxistipp: Notwendige Maßnahmen frühzeitig umsetzen

Der nächste Schritt in Deutschland wird ein neues IT-Sicherheitsgesetz sein (vermutlich das „IT-Sicherheitsgesetz 3.0"), das die Vorgaben aus NIS2 in nationales Recht überführt. Um im Oktober 2024 nicht vom Gesetz überrascht zu werden, empfehlen wir potenziell NIS2-pflichtigen Unternehmen schon jetzt mit der Umsetzung der Maßnahmen zu beginnen. Die erforderlichen Schritte lassen sich bereits heute weitestgehend aus der NIS2-Richtlinie herauslesen. So müssen Unternehmen idealerweise nach Erscheinen des „IT-Sicherheitsgesetzes 3.0" nur noch Nuancen in Ihrem Informationssicherheitsmanagement anpassen. Insbesondere betroffene kleine und mittlere Unternehmen ohne Compliance-Abteilung sollten sich rechtzeitig beraten lassen, um die notwendigen Maßnahmen rechtzeitig umsetzen zu können.

Wir unterstützen Sie gerne bei Umsetzung der NIS2-Richtlinie. Am 20. April informieren wir Sie in einem Webinar über den rechtlichen Kontext, die verschiedenen Anforderungen und Möglichkeiten zur Umsetzung.