Mehrfach-Regulierung
Viele Unternehmen stehen vor der Herausforderung, dass sie als KRITIS-Betreiber oder NIS2-Einrichtung durch mehrere Gesetze reguliert werden, die jeweils Vorgaben und Anforderungen an die Cybersicherheit stellen. Teilweise werden in Gesetzen, die ein Unternehmen anwenden muss, aber auch wieder Ausnahmen definiert – sowohl in NIS2 als auch in KRITIS.
Mit der NIS2-Regulierung müssen viele Unternehmen neue Cybersecurity Pflichten umsetzen. Der Geltungsbereich, in dem Unternehmen diese Maßnahmen umsetzen müssen, erweitert sich durch NIS2 meist auf die ganze Einrichtung. In einigen Sektoren fallen Unternehmen aber auch unter zusätzliche Sektor-Regulierung neben NIS2.
Die Ausführungen beruhen auf dem NIS2-Entwurf von Juni 2024. Die Regeln und Ausnahmen haben sich abermals geändert mit nun weniger Doppel-Regulierung.
Betreiber mit Mehrfach-Regulierung in TKG und EnWG
Betreiber in Energie und Telekommunikation unter EU NIS2
Keynote ∙ CSK-Summit 2024 <kes> ∙ Juli 2024
NIS2-Sonderregeln
Mehr Regulierung
Das NIS2-Umsetzungsgesetz gilt für eine große Zahl an Unternehmen, die in NIS2-Sektoren anhand der Unternehmensgröße als NIS2-relevante Einrichtungen identifiziert werden. Es betrifft auch Unternehmen, die bereits als KRITIS-Betreiber reguliert sind und aufgrund ihrer Rolle ebenfalls als besonders wichtige Einrichtung gelten.
Viele Unternehmen müssen generelle Anforderungen aus NIS2 umsetzen und zusätzlich besondere KRITIS-Anforderungen und ggf. sektorspezifische Vorgaben aus weiteren Gesetzen.
Sektoren mit NIS2-Ausnahmen
In NIS2 sind in einigen Sektoren bestimmte Unternehmen aus den besonders wichtigen und wichtigen Einrichtungen ausgenommen, weil sie separat reguliert sind. Das betrifft:
| Sektor | Ausnahmeregel für | Reguliert durch | NIS2-Anpassung |
|---|---|---|---|
| TK | TK-Netze und Dienste | §165 TKG (neu) Sicherheitskatalog 2.0 |
äquivalent im TKG |
| Energie | Energieversorgungsnetze Energieanlagen |
§5c EnWG (neu) IT‑Sicherheitskatalog §5c (1) IT‑Sicherheitskatalog §5c (2) |
äquivalent im EnWG Kataloge noch unbekannt |
| Finanzen | Finanzunternehmen | DORA | deutlich komplexer |
Die genannten Einrichtungen sind von NIS2 ausgenommen, weil sie spezialgesetzlicher Regelung durch TKG, EnWG und DORA unterliegen. Diese spezialgesetzlichen Regelungen sollen (werden) Anforderungen aus NIS2 enthalten, sowie vertiefende Anforderungen.
NIS2-Anforderungen
Unternehmen, die von Ausnahmen in NIS2 betroffen sind, müssen nicht weniger tun – sie erben die Vorgaben lediglich aus anderer Quelle: den Spezialgesetzen. Das kann dazu führen, dass die Unternehmen in verschiedenen Unternehmensteilen unterschiedliche Gesetze erfüllen und Prozesse wie z. B. im Meldewesen oft auch unterschiedlich ausgestalten müssen.
Diese Unternehmen müssen trotzdem grundlegende Anforderungen aus NIS2 umsetzen:
- Registrierungspflichten beim BSI aus §33
- Pflichten für Leitungsorgane §38
Die Ausnahme für die Unternehmen mit Anlagen unter Sektorregulierung betrifft u.a. die folgenden NIS2-Anforderungen
- Risikomanagementmaßnahmen §30
- Besondere Anforderungen an Risikomanagementmaßnahmen für KRITIS-Betreiber §31
- Meldepflichten §32
- Unterrichtungspflichten §35
- Nachweispflichten für KRITIS-Betreiber §39
Ausnahme von der Ausnahme
Die spezialgesetzlichen Regelungen beziehen sich meist nur auf die betrieben Anlage. Unternehmen können aufgrund anderer, weiterer NIS2-Services und Anlagen (dort) dann weiterhin unter alle NIS2-Pflichten fallen.
KRITIS und NIS2
Umsetzung
Die bisherigen KRITIS-Betreiber werden mit der kommenden NIS2-Gesetzgebung zu Betreibern kritischer Anlagen, wenn sie eine Anlage (KRITIS-Verordnung) über Schwellenwerten betreiben. Als Betreiber kritischer Anlagen gelten sie unabhängig von der Unternehmensgröße ebenfalls als besonders wichtige Einrichtung – sie vereinen also zwei regulierte Unternehmenstypen.
Die Unternehmen unterliegen als Einrichtung der NIS2-Regulierung und müssen im Bereich der KRITIS-Anlage zusätzliche erhöhte Anforderungen für Betreiber kritischer Anlagen umsetzen.
Ein Stadtwerk betreibt eine Kläranlage, die mehr als 500 Tsd. Einwohner versorgt – die damit eine kritische Anlage über KRITIS-Schwellenwerten ist. In dieser Konstellation gilt das Stadtwerk als Betreiber einer kritischen Anlage und somit auch als besonders wichtige Einrichtung.
Geltungsbereich
Das Stadtwerk hat verschiedene Geltungsbereiche für die mehrfachen Vorgaben: Einerseits der NIS2-Geltungsbereich der besonders wichtigen Einrichtung, hier das ganze Unternehmen. Andererseits der KRITIS-Geltungsbereich der kritischen Anlage, im Beispiel die Kläranlage.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen | ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Kläranlage | Systeme, Komponenten und Prozesse | NIS2 und KRITIS-Anforderungen §30§31§32§33§35§38§39 KRITIS-DachG |
NIS2-Maßnahmen
Als NIS2-Einrichtung muss das Stadtwerk im Unternehmen Prozesse zum Risikomanagement, Sicherheitsmanagement (ISMS), Incident Management, Business Continuity Management, Lieferantenmanagement nach Stand der Technik wirksam implementieren. §30
Zusätzlich muss Meldewesen für Sicherheitsvorfälle §32 sowie Identifizierung/Registrierung als NIS2-Einrichtung §33 implementiert werden. Erforderliche Unterrichtungspflichten §35 sowie Umsetzungs-, Überwachungs- und Schulungspflichten §38 müssen verankert werden.
KRITIS-Maßnahmen
Für den Geltungsbereich der Kläranlage muss das Stadtwerk zusätzliche Maßnahmen umsetzen:
- Risikomanagement für die Verhältnismäßigkeit von Maßnahmen anpassen, da für KRITIS-Anlagen auch aufwändigere Maßnahmen als verhältnismäßig gelten. §31 (1)
- Prozesse und Systeme zur Angriffserkennung §31 (2) implementieren.
- Prozesse zur Meldung von Sicherheitsvorfällen anpassen, da für KRITIS-Anlagen auch Angaben zur Art der betroffenen Anlage, der kritischen Dienstleistungen sowie zu den Auswirkungen eines Vorfalls auf die Dienstleistung übermittelt werden müssen.
- Prozesse zur Registrierung anpassen, da in der Registrierung für KRITIS-Anlagen auch die kritische Dienstleistung, die öffentlichen IP-Adressbereiche der betriebenen Anlage sowie die ermittelte Anlagenkategorie und Versorgungskennzahl angegeben werden müssen.
Das Stadtwerk muss die Umsetzung dieser Maßnahmen im KRITIS-Geltungsbereich der Kläranlage weiterhin alle drei Jahre mit KRITIS-Prüfung prüfen lassen. §39
Außerdem gilt für den Geltungsbereich der Kläranlage vermutlich auch das KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement, dedizierte Resilienzmaßnahmen und -pläne, BCM, Personalsicherheit, physische Sicherheit.
TKG und NIS2
Mehrfach-Regulierung im TK-Sektor
Bestimmte Betreiber in der Telekommunikation unterliegen mehrfacher Regulierung: Neben TKG und BNetzA werden einige Unternehmen auch als Einrichtung durch NIS2 reguliert.
Beispiel: Ein Anbieter mit über 50 Mitarbeitern betreibt ein öffentliches Telekommunikationsnetz. Das Netz fällt unter das TKG und der Anbieter damit unter die Regulierung der BNetzA. Im NIS2 Sektor IT und TK wird das Unternehmen auch eine besonders wichtige Einrichtung (NIS2).
Geltungsbereich
Der Anbieter hat verschiedene Geltungsbereiche: Einerseits den NIS2-Geltungsbereich der ganzen Einrichtung, andererseits den Bereich des TK-Betriebs, in dem TKG und BNetzA-Sicherheitskatalog gelten und der von NIS2-Pflichten ausgenommen ist. Die Abdeckung der ganzen IT ist im aktuellen Entwurf (Juni 2024) etwas unklar.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen Einrichtung |
ganze Legaleinheit | NIS2-Anforderungen §33§38 |
| Telefonnetz* TK-Anbieter |
TK- und DV-Systeme | Sicherheitsanforderungen TKGKatalog BNetzA NIS2-Anforderungen §33§38 |
| restliche IT | etwas unklar |
NIS2-Maßnahmen
Mit dem Juni 2024 Gesetzesentwurf verbleiben nur wenige NIS2-Pflichten für die doppel-regulierte NIS2-Einrichtung: Identifizierung/Registrierung als NIS2-Einrichtung §33 sowie Umsetzungs-, Überwachungs- und Schulungspflichten §38.
TK-Maßnahmen
Für den Geltungsbereich des TK-Netzes muss das Unternehmen von NIS2 abweichend u.a. folgende Maßnahmen nach TKG und zugehörigem Sicherheitskatalog 2.0 umsetzen:
- Benennung Sicherheitsbeauftragten §166 (1) TKG
- Erstellung eines Sicherheitskonzepts und Vorlage bei der BNetzA §166 (1-3) TKG
- Maßnahmen aus dem Sicherheitskatalog der BNetzA implementieren § 167 (2) TKG
Die grundsätzlichen NIS2-Pflichten aus §33§38 gelten hier auch.
EnWG und NIS2
Mehrfach-Regulierung in der Energie
Unternehmen im Energie-Sektor sind je nach Unternehmensgröße besonders wichtige oder wichtige Einrichtung in NIS2. Einige Unternehmen sind zusätzlich Betreiber kritischer Anlagen (KRITIS), wenn sie kritische Anlagen über Schwellenwerten nach KRITIS-Verordnung betreiben. Betreiber von KRITIS-Anlagen sind zusätzlich zu NIS2 vom EnWG betroffen.
Beispiel: Ein Unternehmen betreibt als Energieversorger mit über 50 Mitarbeitern ein örtliches Stromverteilernetz – das als kritische Anlage auch unter das EnWG fällt. In dieser Konstellation ist das Unternehmen ein Betreiber einer kritischen Anlage (KRITIS), dadurch auch besonders wichtige Einrichtung und Betreiber einer Energieanlage, die unter das EnWG fällt.
Geltungsbereich
Der Betreiber hat verschiedene Geltungsbereiche: Einerseits den NIS2-Geltungsbereich der ganzen Einrichtung, andererseits den Geltungsbereich der kritischen Anlage Stromverteilnetz, in dem EnWG und BNetzA-Sicherheitskatalog gelten und der von NIS2-Pflichten ausgenommen ist. Die Abdeckung der ganzen IT ist im aktuellen Entwurf (Juni 2024) etwas unklar.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen Einrichtung |
ganze Legaleinheit | NIS2-Anforderungen §33§38 |
| Betrieb des Stromverteilnetzes Anlage Stromverteilnetz |
Systeme, Komponenten und Prozesse | Sicherheitsanforderungen §5c EnWGIT-SiKat BNetzA Resilienz-Anforderungen KRITIS-DachG NIS2-Anforderungen §33§38 |
| restliche IT | etwas unklar |
Ob der Geltungsbereich des ISMS des Sicherheitskataloges (zukünftig) die ganze IT der Einrichtung beinhalten soll, wird sich zeigen.
NIS2-Maßnahmen
Mit dem Juni 2024 Gesetzesentwurf verbleiben nur wenige NIS2-Pflichten für die doppel-regulierte NIS2-Einrichtung: Identifizierung/Registrierung als NIS2-Einrichtung §33 sowie Umsetzungs-, Überwachungs- und Schulungspflichten §38.
EnWG-Maßnahmen
Im Stromverteilnetz muss das Unternehmen Maßnahmen nach EnWG umsetzen:
- Ein ISMS nach ISO/IEC 27001 implementieren mit Governance, Risikomanagement, regelmäßiger Überprüfung und kontinuierliche Verbesserung. §5c EnWGIT-SiKat BNetzA
- Einen Netzstrukturplan erstellen. §5c EnWGIT-SiKat BNetzA
- Prozesse zum Incident Management, Business Continuity Management, Lieferantenmanagement nach Stand der Technik implementieren (inhaltlich recht deckungsgleich zu den NIS2-Anforderungen) – spezifisch für den Netzbetrieb.
- Prozesse zum Meldewesen implementieren, die inhaltlich vermutlich ähnlich zu den NIS2-Anforderungen aus §32 sind, formal aber aus §5c (6) EnWG abgeleitet sind.
- Prozesse zum Nachweis der Erfüllung der Anforderungen implementieren §5c (4) EnWG.
Die grundsätzlichen NIS2-Pflichten aus §33§38 gelten ohne Ausnahme.
Außerdem gilt für den Geltungsbereich des Stromverteilnetzes vermutlich auch das KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement, dedizierte Resilienzmaßnahmen und -pläne, BCM, Personalsicherheit, physische Sicherheit.
DORA und NIS2
Mehrfach-Regulierung im Finanzsektor
Finanzunternehmen, die durch DORA reguliert werden, gelten aufgrund der NIS2-Definitionen von besonders wichtigen und wichtigen Einrichtungen in §28 BSIG-E (NIS2UmsuCG) zwar als Einrichtungen, sind aber von nahezu allen NIS2-Pflichten ausgenommen. Lediglich die Verpflichtung zur Registrierung beim BSI nach §33 bleibt bestehen.
Eine Doppelregulierung mit DORA und NIS2 ist für Unternehmen im Sektor IT und TK möglich, die als NIS2-Einrichtung gelten und nach DORA als (kritische) IKT-Drittdienstleister eingestuft werden.
Das kann z. B. Cloud Provider, Anbieter von TK-Lösungen oder Managed Services Provider betreffen.
Auch gruppeninterne IT-Dienstleister
sind im aktuellen NIS2-Entwurf nicht ausgenommen und könnten damit sowohl DORA- als auch NIS2-Pflichten umsetzen müssen.
Ein Unternehmen ist mit über 250 Mitarbeitern als Managed Services Provider tätig und damit eine besonders wichtige Einrichtung (NIS2). Es betreibt Software als Services, die Europa durch Banken eingesetzt werden. Im Rahmen von DORA wurde es durch die European Supervisory Authorities (ESA) als kritischer IKT-Drittdienstleister eingestuft.
Geltungsbereich
Der Betreiber hat verschiedene, aber sehr ähnliche Geltungsbereiche für die mehrfachen Vorgaben. Einerseits der NIS2-Geltungsbereich der Einrichtung, hier das ganze Unternehmen. Andererseits der DORA-Geltungsbereich, in dem Dienste für Finanzunternehmen erbracht werden, und DORA (auch) gilt.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen Einrichtung |
ganze Legaleinheit | NIS2-Anforderungen §33 |
| Dienstleistungen für Finanzsektor |
IKT-Systeme und Prozesse zur Bereitstellung kritischer oder wichtiger Funktionen für Finanzunternehmen | zusätzlich Anforderungen DORA |
NIS2-Maßnahmen
Mit dem Juni 2024 Gesetzesentwurf verbleiben nur wenige NIS2-Pflichten für DORA und NIS2-Einrichtungen: Identifizierung/Registrierung als NIS2-Einrichtung §33.
DORA-Maßnahmen
Als kritischer IKT-Drittdienstleister nach DORA unterliegt das Unternehmen der Aufsicht durch die zuständige Überwachungsbehörde (EIOPA, ESMA oder EBA) und muss über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management der IKT-Risiken
verfügen.
Dies bedeutet: IKT-Anforderungen zur Sicherstellung von Qualitäts- und Sicherheitszielen, physische Sicherheit, Risikomanagement, Governance-Regelungen, Meldewesen für IKT-bezogene Sicherheitsvorfälle, Tests, Audits und die Übernahme einschlägiger nationaler und internationaler Normen.
Art. 33 (2), (3) DORA
Weitere Informationen
Literatur
- Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft zum Diskussionspapier des Bundesministeriums des Innern und für Heimat zu wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland, Gesamtverband der Deutschen Versicherungswirtschaft e. V., 20. Oktober 2023, Webseite des BMI
- Überwachungsrahmen für kritische IKT-Drittdienstleister, Die BaFin informiert über Kapitel V, Abschnitt II, Artikel 31 bis 44 DORA, Bundesanstalt für Finanzdienstleistungsaufsicht, o.D.
Quellen
- Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, 24.06.2024
- Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, 07.05.2024