Cybersicherheit: Was Unternehmen über die NIS2-Richtlinie wissen müssen
Mit der Umsetzung von NIS2 wächst die Anzahl der als kritisch eingestuften Unternehmen. Erstmals nimmt das Gesetz auch Firmen in der Lieferkette in die Pflicht.
- Ulrich Plate
Die Uhr läuft: Bis zum 17. Oktober 2024 muss der deutsche Gesetzgeber die europäischen Cybersicherheits- und Resilienzrichtlinien NIS2 (Network and Information Security) und CER (Critical Entities Resilience Directive) in den hiesigen Rechtsrahmen eingebunden haben. Seit Januar 2023 sind die beiden Richtlinien in der EU in Kraft, die sicherstellen sollen, dass als kritisch eingestufte Einrichtungen die Bevölkerung in den Mitgliedsstaaten mit lebenswichtigen Gütern und Diensten versorgen können. CER reguliert den physischen Schutz vor Sabotage und anderen Angriffen. Die Sicherheit der Informations- und Kommunikationstechnik ist Gegenstand der Richtlinie NIS2.
Der Anwendungsbereich beider Richtlinien umfasst insgesamt achtzehn Industriesektoren von Wasser bis Weltraum, an die sie umfassende Anforderungen an das Risikomanagement und die Cybersicherheit stellen. Will Deutschland kein Vertragsverletzungsverfahren mit der EU riskieren, müssen spätestens am Stichtag im Oktober 2024 Gesetze in Kraft treten, die die Richtlinien in nationales Recht umsetzen. Die Entwürfe für das KRITIS-Dachgesetz (KRITIS-DachG) zur CER-Umsetzung und das etwas sperrig betitelte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befinden sich in unterschiedlichen Stadien des Gesetzgebungsverfahrens.
Bei potenziell Betroffenen der Regulierungsreform zur Cybersicherheit und Resilienz kritischer Einrichtungen haben die vorgestellten gesetzlichen Regelungen eine ähnliche Nervosität ausgelöst, wie sie zuletzt 2018 bei der Einführung der Datenschutz-Grundverordnung (DSGVO) zu beobachten war. Dabei ist es nicht ganz einfach, die eigene Betroffenheit überhaupt zu ermitteln. Viele Industrieverbände sind bereits dabei, ihren Mitgliedsunternehmen entsprechende Hilfestellungen beim Identifizieren der Rechtslage zu geben. Einige Beratungsunternehmen bieten interaktive NIS2-Checker, die anhand eines Fragenkatalogs abklopfen, ob Sektorzugehörigkeit und Charakter des Unternehmens den Schluss nahelegen, dass man dazugehören könnte. Schwierig zu beantworten ist die Frage aber auch für die Aufsichtsbehörden, die laut Richtlinie im April 2025 erstmals und dann alle zwei Jahre wieder die Anzahl der regulierten Einrichtungen nach Brüssel melden müssen.
- Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) soll im Oktober in Kraft treten. Die Richtlinie stellt umfassende Anforderungen an das Risikomanagement und die Cybersicherheit von Unternehmen in 18 Sektoren.
- Die neue Richtlinie bringt drei fundamentale Neuerungen: Sie stuft mehr als doppelt so viele Sektoren als kritisch ein, verschärft den Bußgeldkatalog erheblich und nimmt Geschäftsleiter in die Verantwortung.
- In den Zielsektoren betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Besonderes im ITK-Bereich können aber auch schon kleinere Anbieter unter die Richtlinie fallen.
- Die Richtlinie verlangt Risikoanalysen, Risikomanagement und Maßnahmen zur Informationssicherheit, inklusive Krisenmanagement beim Sicherheitsvorfall. Die Orientierung an bestehenden Maßnahmen bereits regulierter Sektoren kann hier eine große Hilfe sein.
Künftig werden nach Schätzungen des Statistischen Bundesamts zehnmal mehr Unternehmen als bisher gesetzlich zur Einhaltung der Vorschriften aus den Richtlinien verpflichtet sein. Bislang sind in Deutschland rund 800 Betreiber kritischer Infrastrukturen (KRITIS) mit etwa doppelt so vielen Anlagen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert, dazu kommen noch etwa zwei- bis dreitausend "Unternehmen im besonderen öffentlichen Interesse" (kurz UBI) vor allem aus dem Chemie- und Rüstungssektor. Diese sind auch bereits reguliert, jedoch nicht in derselben Tiefe und Härte wie die KRITIS. Der Grund für den Aufschrei in vielen Branchen und Verbänden: Nach der Umsetzung von NIS2 und CER in Deutschland erfasst die Regulierung rund 30 000 Einrichtungen.
Stand der Gesetzgebung
Während bei der Umsetzung des gleichzeitig anstehenden KRITIS-Dachgesetzes neben der Ressortabstimmung bereits die Länder- und Verbändeanhörungen für den zweiten Referentenentwurf abgeschlossen sind, gibt es beim NIS2UmsuCG kaum Fortschritte. Ein erster Referentenentwurf kursierte inoffiziell bereits im Sommer 2023, das federführende Bundesministerium des Innern und für Heimat veröffentlichte jedoch keine offizielle Version. Um wenigstens etwas Transparenz zu schaffen, lud man im Herbst Verbände und Organisationen der Zivilgesellschaft ein, ein Diskussionspapier zu wirtschaftsrelevanten Aspekten des NIS2UmsuCG zu kommentieren.
Über die Ursachen der Verzögerung lässt sich nur spekulieren. Möglich ist, dass die Ressortabstimmung auf erheblichen Widerstand einzelner Bundesministerien gestoßen ist. Im weiteren Verlauf wäre dann eine Anhörung der Länder sowie der Verbände und der Zivilgesellschaft der nächste Schritt – ob und wann es dazu kommen wird, ist derzeit unklar. Der Zeitplan, den Gesetzentwurf durchs Kabinett und das anschließende parlamentarische Verfahren zu bringen, ist mittlerweile äußerst eng – und eine Fristüberschreitung des Startdatums 18. Oktober 2024 nicht mehr unwahrscheinlich.
