Am 24. Juli beschloss das Kabinett der deutschen Bundesregierung mit dem Regierungsentwurf für das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umfassende Änderungen im deutschen Cyber-Sicherheitsrecht. Dies ist ein wichtiger Schritt auf dem Weg zu einem Gesetz zur Umsetzung der NIS2-Richtlinie in Deutschland.
Mit der Veröffentlichung des Regierungsentwurfs beginnt das parlamentarische Gesetzgebungsverfahren. Dieses wird voraussichtlich bis zum Frühjahr 2025 dauern, wobei keine wesentlichen Änderungen erwartet werden. Auch wenn die neuen Verpflichtungen in Deutschland erst ab Inkrafttreten des NIS2UmsuCG gelten, sollten sich betroffene Einrichtungen schon jetzt mit den Anforderungen vertraut machen und erste Schritte für deren Implementierung setzen.
Erfahren Sie im Folgenden,
Mit der rasant zunehmenden Digitalisierung des täglichen Lebens ist der Schutz vor Cyber-Bedrohungen für das reibungslose Funktionieren der Gesellschaft unerlässlich geworden. Das Europäische Parlament hat daher das EU-Recht um eine Reihe neuer Rechtsvorschriften im Bereich Cybersicherheit aktualisiert. Unter Cybersicherheit sind alle Tätigkeiten zu verstehen, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.
Die Vorschrift mit dem größten Geltungsbereich in der Europäischen Union ist die überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS2-Richtlinie), die die Richtlinie von 2016 ersetzt. Diese Richtlinie ist seit 16. Januar 2023 in Kraft und muss bis 17. Oktober 2024 in allen EU-Mitgliedländern in nationales Recht umgesetzt werden. Sie gilt für eine ausgeweitete Anzahl von Organisationen in einem erweiterten Kreis an Sektoren.
Das Ziel der Richtlinie besteht darin, das Cybersicherheitsniveau innerhalb der EU zu vereinheitlichen und zu erhöhen, um die Resilienz gegen Cyberangriffe zu stärken. Bundesinnenministerin Nancy Faeser betonte die Ziele des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland folgendermaßen:
"Die Bedrohungslage im Bereich Cybersicherheit bleibt hoch... Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, unabhängig davon, ob diese staatlich gesteuert oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Branchen Mindeststandards für Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen."
Nancy Faeser
Die Einhaltung der gesetzlichen Mindestvorgaben aus NIS2 und begleitenden Standards sind in vielen Organisationen ein wichtiger Anfang. Sie bieten einen breiten Rahmen, mit dessen Hilfe bisher nicht berücksichtigte Bereiche auch außerhalb der IT (sogenannte „blinde Flecken“) oft zum ersten Mal in den Fokus des Informationssicherheitsmanagements (ISMS) rücken. Denn Cybersicherheit ist schon lange nicht mehr nur ein technisches IT-Thema, sondern erfordert mittlerweile die aktive Beteiligung der gesamten Organisation – von der Technik über die Produktion und den Vertrieb bis hin zur Geschäftsführung.
Wer Ressourcen aber langfristig effektiv einsetzen muss, ist gut damit beraten, von Anfang an nicht nur auf die Einhaltung von Gesetzen und Standards zu achten. Denn Compliance bedeutet nicht automatisch auch Sicherheit vor Diebstahl, Manipulation und Veröffentlichung geschäftskritischer Informationen oder negativen Schlagzeilen mit großer Medienreichweite. Aus diesem Grund hat der Gesetzgeber den Vorgaben aus NIS2 auch einen risikobasierten Ansatz zugrunde gelegt. Demzufolge können betroffene Einrichtungen unter Berücksichtigung der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere (inkl. gesellschaftlichen und wirtschaftlichen Auswirkungen) selbst über angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen entscheiden.
Auf diese Weise soll der effektive Aufbau widerstandsfähiger Systeme begünstigt werden und nicht die effiziente Befolgung starrer Vorgaben. Denn effektive Informationssicherheitskontrollen verlangsamen das Geschäft nicht, sondern ermöglichen erst – wie die Bremsen eines Autos – ein schnelleres Fahren in eine digitale Zukunft.
Die NIS2-Richtlinie erweitert den Geltungsbereich ihrer Vorgängerin von 2016 auf elf „Sektoren mit hoher Kritikalität“, darunter Energie, Transport, Bankwesen, Öffentliche Verwaltung oder Gesundheitswesen. Sie betrifft darüber hinaus aber auch „sonstige kritische“ Sektoren wie z.B. Post- und Kurierdienste, Lebensmittelproduktion, -verarbeitung und -vertrieb sowie digitale Dienste.
Auch Organisationen, die nicht direkt in diese Branchen fallen, sondern als Zulieferer oder Partner fungieren, können indirekt von der NIS2-Richtlinie betroffen sein. Denn auch sie können potenzielle Einfallstore für Cyberangriffe darstellen.
Betroffene Einrichtungen müssen umfangreiche Vorgaben an die Cybersicherheit erfüllen. Dazu zählen insbesondere die Verantwortlichkeit der Leitungsorgane und regelmäßige Schulungen zur Cybersicherheit aller Mitarbeitenden (Artikel 20), Risikomanagementmaßnahmen einschließlich regelmäßiger Risikoanalysen, die Bewältigung von Sicherheitsvorfällen oder die Aufrechterhaltung des Betriebs (Artikel 21), sowie konkrete Berichts- (Artikel 23) oder Dokumentationspflichten (Erwägung 122).
Leitungsorgane müssen die ergriffenen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen haften bei Verstößen gegen ihre Verpflichtungen persönlich. Bei erheblichen Sicherheitsvorfällen müssen Unternehmen innerhalb von 24 Stunden eine Frühwarnung abgeben, innerhalb von 72 Stunden eine erste Bewertung vorlegen und spätestens einen Monat nach der Bewertung einen ausführlichen Abschlussbericht einreichen. Die Richtlinie betont aber auch die Bedeutung der Sicherheit in der Lieferkette. Unternehmen sollen ihre Lieferantenbeziehungen genau prüfen und Risikobewertungen durchführen.
Um die Cyberabwehrfähigkeit zu fördern und die Cyberkriminalität zu bekämpfen hat der EU-Gesetzgeber, ergänzend zur NIS2-Richtlinie, weitere Rechtsvorschriften im Bereich Cybersicherheit erlassen. Dazu zählen insbesondere die folgenden:
Die NIS2-Richtlinie stellt betroffene Einrichtungen vor große Herausforderungen, bietet aber auch die Gelegenheit, die eigene Cybersicherheit erheblich zu verbessern. Ein ganzheitlicher Ansatz, der sowohl über die IT hinausgeht als auch risikobasierte Entscheidungsgrundlagen bereitstellt ermöglichen es Organisationen, nicht nur die Anforderungen der NIS2-Richtlinie zu erfüllen, sondern auch ihre Widerstandsfähigkeit zu stärken.
Ein Beschluss des Deutschen Bundestages zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) steht noch aus. Aber das Bundesamt für Sicherheit in der Informationstechnik hat bereits erste sehr hilfreiche Hilfestellungen veröffentlicht, bei deren Implementierung wir Sie sehr gerne unterstützen.
A1 Digital sieht die NIS2-Richtlinie als wichtigen Schritt zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. Wir helfen Organisationen dabei, ihre Risiken zu verstehen und ihre Risikomanagementmaßnahmen aktiv zu treiben. Dazu entwickeln wir Lösungen, die auf die individuellen Bedürfnisse jeder Organisation zugeschnitten sind.
Darüber hinaus bieten wir unseren Kunden unsere Expertise im Bereich OT-Security an, um Organisationen beim Schutz ihrer industriellen Systeme und kritischen Infrastrukturen zu unterstützen. Den risikobasierten Ansatz zur Informationssicherheit und der entsprechenden Bewertung halten wir für den effektivsten beim Schutz kritischer Infrastrukturen.