Mehrfach-Regulierung
Viele Unternehmen stehen vor der Herausforderung, dass sie als KRITIS-Betreiber oder NIS2-Einrichtung durch mehrere Gesetze reguliert werden, die jeweils Vorgaben und Anforderungen an die Cybersicherheit stellen. Teilweise werden in Gesetzen, die ein Unternehmen anwenden muss, aber auch wieder Ausnahmen definiert – sowohl in NIS2 als auch in KRITIS.
Mit der NIS2-Regulierung müssen viele Unternehmen neue Cybersecurity Pflichten umsetzen. Der Geltungsbereich, in dem Unternehmen diese Maßnahmen umsetzen müssen, erweitert sich durch NIS2 meist auf die ganze Einrichtung. In einigen Sektoren fallen Unternehmen aber auch unter zusätzliche Sektor-Regulierung neben NIS2.
Die Ausführungen beruhen auf dem NIS2-Entwurf von Mai 2024. Die auf dieser Seite dargestellten Beispiele für Mehrfach-Regulierung sind idealisierte, vereinfachte Darstellungen.
NIS2-Sonderregeln
Mehr Regulierung
Das NIS2-Umsetzungsgesetz gilt für eine große Zahl an Unternehmen, die in NIS2-Sektoren anhand der Unternehmensgröße als NIS2-relevante Einrichtungen identifiziert werden. Es betrifft auch Unternehmen, die bereits als KRITIS-Betreiber reguliert sind und aufgrund ihrer Rolle ebenfalls als besonders wichtige Einrichtung gelten.
Viele Unternehmen müssen generelle Anforderungen aus NIS2 umsetzen und zusätzlich besondere KRITIS-Anforderungen und ggf. sektorspezifische Vorgaben aus weiteren Gesetzen.
Sektoren mit NIS2-Ausnahmen
In NIS2 sind in einigen Sektoren bestimmte Unternehmen aus den besonders wichtigen und wichtigen Einrichtungen ausgenommen, weil sie separat reguliert sind. Das betrifft:
| Sektor | Ausnahmeregel für | Reguliert durch | NIS2-Anpassung |
|---|---|---|---|
| TK | TK-Netze und Dienste | §165 TKG (neu) Sicherheitskatalog 2.0 |
äquivalent im TKG |
| Energie | Energieversorgungsnetze Energieanlagen |
§5c EnWG (neu) IT‑Sicherheitskatalog §5c (1) IT‑Sicherheitskatalog §5c (2) |
äquivalent im EnWG Kataloge noch unbekannt |
| Finanzen | Finanzunternehmen | DORA | deutlich komplexer |
Die genannten Einrichtungen sind von NIS2 ausgenommen, weil sie spezialgesetzlicher Regelung durch TKG, EnWG und DORA unterliegen. Diese spezialgesetzlichen Regelungen sollen die Anforderungen aus NIS2 enthalten, sowie vertiefende Anforderungen.
NIS2-Anforderungen
Unternehmen, die von diesen Ausnahmen in NIS2 betroffen sind, müssen also nicht weniger tun – sie erben die Vorgaben lediglich aus anderer Quelle: den Spezialgesetzen. Das kann dazu führen, dass die Unternehmen in verschiedenen Unternehmensteilen unterschiedliche Gesetze erfüllen und Prozesse wie z. B. im Meldewesen oft auch unterschiedlich ausgestalten müssen.
Diese Unternehmen müssen trotzdem die grundlegenden Anforderungen aus NIS2 umsetzen:
- Risikomanagementmaßnahmen aus §30 (DORA-Finanzunternehmen ausgenommen)
- Registrierungspflichten beim BSI aus §33§34
Die Ausnahme für die genannten Unternehmen betrifft die folgenden NIS2-Anforderungen:
- Besondere Anforderungen an Risikomanagementmaßnahmen für KRITIS-Betreiber §31
- Meldepflichten §32
- Unterrichtungspflichten §35
- Nachweispflichten für KRITIS-Betreiber §39
Ausnahme von der Ausnahme
Die spezialgesetzlichen Regelungen beziehen sich meist nur auf IT-Systeme, die zur Erbringung der kritischen Versorgungsdienstleistung im jeweiligen Sektor notwendig sind, z. B. Systeme für einen sicheren Netz- bzw. Anlagenbetrieb (Energie-Betreiber) oder Systeme für den Betrieb von TK-Netzen (TK-Betreiber).
Für alle anderen IT-Systeme, Komponenten und Prozesse außerhalb der spezialgesetzlichen Regelung gelten nach wie vor die allgemeinen NIS2-Anforderungen, sofern das Unternehmen generell als NIS2-Einrichtung gilt – so das BMI in der Erklärung zur Ausnahmeregelung (Abschnitt B. Besonderer Teil, S. 121 NIS2UmsuCG).
KRITIS und NIS2
Umsetzung
Die bisherigen KRITIS-Betreiber werden mit der kommenden NIS2-Gesetzgebung zu Betreibern kritischer Anlagen, wenn sie eine Anlage (KRITIS-Verordnung) über Schwellenwerten betreiben. Als Betreiber kritischer Anlagen gelten sie unabhängig von der Unternehmensgröße ebenfalls als besonders wichtige Einrichtung – sie vereinen also zwei regulierte Unternehmenstypen.
Die Unternehmen unterliegen als Einrichtung der NIS2-Regulierung und müssen im Bereich der KRITIS-Anlage zusätzliche erhöhte Anforderungen für Betreiber kritischer Anlagen umsetzen.
Ein Stadtwerk betreibt eine Kläranlage, die mehr als 500 Tsd. Einwohner versorgt – die damit eine kritische Anlage über KRITIS-Schwellenwerten ist. In dieser Konstellation gilt das Stadtwerk als Betreiber einer kritischen Anlage und somit auch als besonders wichtige Einrichtung.
Geltungsbereich
Das Stadtwerk hat verschiedene Geltungsbereiche für die mehrfachen Vorgaben: Einerseits der NIS2-Geltungsbereich der besonders wichtigen Einrichtung, hier das ganze Unternehmen. Andererseits der KRITIS-Geltungsbereich der kritischen Anlage, im Beispiel die Kläranlage.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen | ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Kläranlage | Systeme, Komponenten und Prozesse | NIS2 und KRITIS-Anforderungen §30§31§32§33§35§38§39 KRITIS-DachG |
NIS2-Maßnahmen
Als NIS2-Einrichtung muss das Stadtwerk im Unternehmen Prozesse zum Risikomanagement, Sicherheitsmanagement (ISMS), Incident Management, Business Continuity Management, Lieferantenmanagement nach Stand der Technik wirksam implementieren. §30
Zusätzlich muss Meldewesen für Sicherheitsvorfälle §32 sowie Identifizierung/Registrierung als NIS2-Einrichtung §33 implementiert werden. Erforderliche Unterrichtungspflichten §35 sowie Billigungs-, Überwachungs- und Schulungspflichten §38 müssen verankert werden.
KRITIS-Maßnahmen
Für den Geltungsbereich der Kläranlage muss das Stadtwerk zusätzliche Maßnahmen umsetzen:
- Risikomanagement für die Verhältnismäßigkeit von Maßnahmen anpassen, da für KRITIS-Anlagen auch aufwändigere Maßnahmen als verhältnismäßig gelten. §31 (1)
- Prozesse und Systeme zur Angriffserkennung §31 (2) implementieren.
- Prozesse zur Meldung von Sicherheitsvorfällen anpassen, da für KRITIS-Anlagen auch Angaben zur Art der betroffenen Anlage, der kritischen Dienstleistungen sowie zu den Auswirkungen eines Vorfalls auf die Dienstleistung übermittelt werden müssen.
- Prozesse zur Registrierung anpassen, da in der Registrierung für KRITIS-Anlagen auch die kritische Dienstleistung, die öffentlichen IP-Adressbereiche der betriebenen Anlage sowie die ermittelte Anlagenkategorie und Versorgungskennzahl angegeben werden müssen.
Das Stadtwerk muss die Umsetzung dieser Maßnahmen im KRITIS-Geltungsbereich der Kläranlage weiterhin alle drei Jahre mit KRITIS-Prüfung prüfen lassen. §39
Außerdem gilt für den Geltungsbereich der Kläranlage vermutlich auch das KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement, dedizierte Resilienzmaßnahmen und -pläne, BCM, Personalsicherheit, physische Sicherheit.
TKG und NIS2
Mehrfach-Regulierung im TK-Sektor
Bestimmte Betreiber in der Telekommunikation unterliegen mehrfacher Regulierung: Neben TKG und BNetzA werden einige Unternehmen auch als Einrichtung durch NIS2 reguliert.
Beispiel: Ein Anbieter mit über 50 Mitarbeitern betreibt ein öffentliches Telekommunikationsnetz. Das Netz fällt unter das TKG und der Anbieter damit unter die Regulierung der BNetzA. Im NIS2 Sektor IT und TK wird das Unternehmen auch eine besonders wichtige Einrichtung (NIS2).
Geltungsbereich
Der Anbieter hat verschiedene Geltungsbereiche für die mehrfachen Vorgaben: Einerseits der NIS2-Geltungsbereich der Einrichtung, das ganze Unternehmen. Andererseits der Bereich des TK-Betriebs, in dem TKG und BNetzA-Sicherheitskatalog gelten und der von den NIS2-Pflichten ausgenommen ist.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen Einrichtung |
ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Telefonnetz* TK-Anbieter |
TK- und DV-Systeme | Sicherheitsanforderungen TKGKatalog BNetzA NIS2-Anforderungen §30§33§38 |
NIS2-Maßnahmen
Als NIS2-Einrichtung muss der TK-Anbieter im Unternehmen Prozesse zum Risikomanagement, Sicherheitsmanagement (ISMS), Incident Management, Business Continuity Management, Lieferantenmanagement usw. nach Stand der Technik wirksam implementieren. §30
Zusätzlich muss Meldewesen für Sicherheitsvorfälle §32 sowie Identifizierung/Registrierung als NIS2-Einrichtung §33 implementiert werden. Erforderliche Unterrichtungspflichten §35 sowie Billigungs-, Überwachungs- und Schulungspflichten §38 müssen verankert werden.
TK-Maßnahmen
Für den Geltungsbereich des TK-Netzes muss das Unternehmen von NIS2 abweichend u.a. folgende Maßnahmen nach TKG und zugehörigem Sicherheitskatalog 2.0 umsetzen:
- Benennung Sicherheitsbeauftragten §166 (1) TKG
- Erstellung eines Sicherheitskonzepts und Vorlage bei der BNetzA §166 (1-3) TKG
- Maßnahmen aus dem Sicherheitskatalog der BNetzA implementieren § 167 (2) TKG
Die grundsätzlichen NIS2-Pflichten aus §30§33§38 gelten hier auch.
EnWG und NIS2
Mehrfach-Regulierung in der Energie
Unternehmen im Energie-Sektor sind je nach Unternehmensgröße besonders wichtige oder wichtige Einrichtung in NIS2. Einige Unternehmen sind zusätzlich Betreiber kritischer Anlagen (KRITIS), wenn sie kritische Anlagen über Schwellenwerten nach KRITIS-Verordnung betreiben. Betreiber von KRITIS-Anlagen sind zusätzlich zu NIS2 vom EnWG betroffen.
Beispiel: Ein Unternehmen betreibt als Energieversorger mit über 50 Mitarbeitern ein örtliches Stromverteilernetz – das als kritische Anlage auch unter das EnWG fällt. In dieser Konstellation ist das Unternehmen ein Betreiber einer kritischen Anlage (KRITIS), dadurch auch besonders wichtige Einrichtung und Betreiber einer Energieanlage, die unter das EnWG fällt.
Geltungsbereich
Der Betreiber hat verschiedene Geltungsbereiche für die mehrfachen Vorgaben: Einerseits der NIS2-Geltungsbereich der Einrichtung, hier das ganze Unternehmen. Andererseits der (KRITIS) Geltungsbereich der kritischen Anlage Stromverteilnetz, in dem das EnWG und der BNetzA-Sicherheitskatalog gelten und der von den NIS2-Pflichten ausgenommen ist.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen Einrichtung |
ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Betrieb des Stromverteilnetzes Anlage Stromverteilnetz |
Systeme, Komponenten und Prozesse | Sicherheitsanforderungen §5c EnWGIT-SiKat BNetzA Resilienz-Anforderungen KRITIS-DachG NIS2-Anforderungen §30§33§38 |
Der IT-Sicherheitskatalog der BNetzA für Betreiber von Energieversorgungsnetzen enthält spezifische Anforderungen für den Stromnetzbetrieb – der Geltungsbereich muss mindestens die TK- und EDV-Systeme umfassen, die direkter Teil der Netzsteuerung sind mit unmittelbarem Einfluss auf die Netzfahrweise, sowie alle TK- und EDV-Systeme, die nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte.
NIS2-Maßnahmen
Als NIS2-Einrichtung muss der Betreiber im Unternehmen Prozesse zum Risikomanagement, Sicherheitsmanagement (ISMS), Incident Management, Business Continuity Management, Lieferantenmanagement usw. nach Stand der Technik wirksam implementieren. §30
Zusätzlich muss Meldewesen für Sicherheitsvorfälle §32 sowie Identifizierung/Registrierung als NIS2-Einrichtung §33 implementiert werden. Erforderliche Unterrichtungspflichten §35 sowie Billigungs-, Überwachungs- und Schulungspflichten §38 müssen verankert werden.
EnWG-Maßnahmen
Im Stromverteilnetz muss das Unternehmen Maßnahmen nach EnWG umsetzen:
- Ein ISMS nach ISO/IEC 27001 implementieren mit Governance, Risikomanagement, regelmäßiger Überprüfung und kontinuierliche Verbesserung. §5c EnWGIT-SiKat BNetzA
- Einen Netzstrukturplan erstellen. §5c EnWGIT-SiKat BNetzA
- Prozesse zum Incident Management, Business Continuity Management, Lieferantenmanagement nach Stand der Technik implementieren (inhaltlich recht deckungsgleich zu den NIS2-Anforderungen) – spezifisch für den Netzbetrieb.
- Prozesse zum Meldewesen implementieren, die inhaltlich vermutlich ähnlich zu den NIS2-Anforderungen aus §32 sind, formal aber aus §5c (6) EnWG abgeleitet sind.
- Prozesse zum Nachweis der Erfüllung der Anforderungen implementieren §5c (4) EnWG.
Die grundsätzlichen NIS2-Pflichten aus §30§33§38 gelten ohne Ausnahme.
Außerdem gilt für den Geltungsbereich des Stromverteilnetzes vermutlich auch das KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement, dedizierte Resilienzmaßnahmen und -pläne, BCM, Personalsicherheit, physische Sicherheit.
DORA und NIS2
Mehrfach-Regulierung im Finanzsektor
Finanzunternehmen, die durch DORA reguliert werden, gelten aufgrund der NIS2-Definitionen von besonders wichtigen und wichtigen Einrichtungen in §28 BSIG-E (NIS2UmsuCG) zwar als Einrichtungen, sind aber von nahezu allen NIS2-Pflichten ausgenommen. Lediglich die Verpflichtung zur Registrierung beim BSI nach §33 bleibt bestehen.
Eine Doppelregulierung mit DORA und NIS2 ist für Unternehmen im Sektor IT und TK möglich, die als NIS2-Einrichtung gelten und nach DORA als (kritische) IKT-Drittdienstleister eingestuft werden.
Das kann z. B. Cloud Provider, Anbieter von TK-Lösungen oder Managed Services Provider betreffen.
Auch gruppeninterne IT-Dienstleister
sind im aktuellen NIS2-Entwurf nicht ausgenommen und könnten damit sowohl DORA- als auch NIS2-Pflichten umsetzen müssen.
Ein Unternehmen ist mit über 250 Mitarbeitern als Managed Services Provider tätig und damit eine besonders wichtige Einrichtung (NIS2). Es betreibt Software als Services, die Europa durch Banken eingesetzt werden. Im Rahmen von DORA wurde es durch die European Supervisory Authorities (ESA) als kritischer IKT-Drittdienstleister eingestuft.
Geltungsbereich
Der Betreiber hat verschiedene, aber sehr ähnliche Geltungsbereiche für die mehrfachen Vorgaben. Einerseits der NIS2-Geltungsbereich der Einrichtung, hier das ganze Unternehmen. Andererseits der DORA-Geltungsbereich, in dem Dienste für Finanzunternehmen erbracht werden, und DORA (auch) gilt.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen Einrichtung |
ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Dienstleistungen für Finanzsektor |
IKT-Systeme und Prozesse zur Bereitstellung kritischer oder wichtiger Funktionen für Finanzunternehmen | zusätzlich Anforderungen DORA |
NIS2-Maßnahmen
Als NIS2-Einrichtung muss der Betreiber im Unternehmen Prozesse zum Risikomanagement, Sicherheitsmanagement (ISMS), Incident Management, Business Continuity Management, Lieferantenmanagement usw. nach Stand der Technik wirksam implementieren. §30
Zusätzlich muss Meldewesen für Sicherheitsvorfälle §32 sowie Identifizierung/Registrierung als NIS2-Einrichtung §33 implementiert werden. Erforderliche Unterrichtungspflichten §35 sowie Billigungs-, Überwachungs- und Schulungspflichten §38 müssen verankert werden.
DORA-Maßnahmen
Als kritischer IKT-Drittdienstleister nach DORA unterliegt das Unternehmen der Aufsicht durch die zuständige Überwachungsbehörde (EIOPA, ESMA oder EBA) und muss über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management der IKT-Risiken
verfügen.
Dies bedeutet: IKT-Anforderungen zur Sicherstellung von Qualitäts- und Sicherheitszielen, physische Sicherheit, Risikomanagement, Governance-Regelungen, Meldewesen für IKT-bezogene Sicherheitsvorfälle, Tests, Audits und die Übernahme einschlägiger nationaler und internationaler Normen.
Art. 33 (2), (3) DORA
Weitere Informationen
Literatur
- Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft zum Diskussionspapier des Bundesministeriums des Innern und für Heimat zu wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland, Gesamtverband der Deutschen Versicherungswirtschaft e. V., 20. Oktober 2023, Webseite des BMI
- Überwachungsrahmen für kritische IKT-Drittdienstleister, Die BaFin informiert über Kapitel V, Abschnitt II, Artikel 31 bis 44 DORA, Bundesanstalt für Finanzdienstleistungsaufsicht, o.D.
Quellen
- Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, Intrapol, 07.05.2024