Das NIS2 Umsetzungsgesetz
Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit liegt seit Frühling 2023 als Entwurf vor, als NIS2UmsuCG. EU NIS2 definiert Mindeststandards für Cybersecurity, die vom Umsetzungsgesetz in die deutsche KRITIS-Regulierung überführt werden. Die Betroffenheit der deutschen Wirtschaft steigt deutlich – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI.
Ein Referentenentwurf zum Stand April 2023 des NIS2-Umsetzungsgesetzes liegt vor und muss nach Abstimmung in der Bundesverwaltung noch die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das die Artikel des BSI-Gesetzes deutlich umstrukturiert, ändert und ergänzt. Parallel wird das KRITIS-Dachgesetz Resilienz bei kritischen Betreibern regulieren.
Die Ausführungen beruhen auf einer Entwurfsversion von April 2023 von intrapol.org. Der Entwurf selbst und die Analysen unten sind als work in progress mit Vorsicht zu genießen.
Die Umsetzung von NIS2
Neue KRITIS-Regulierung in 2023
Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den (bisherigen) Betreibern kritischer Anlagen gibt es nun die besonders wichtigen und wichtigen Einrichtungen. Die Pflichten für Cybersicherheit bei betroffenen Unternehmen steigen und gehen über die bisherigen KRITIS-Pflichten hinaus.
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen besonders wichtigen und wichtigen Einrichtungen nach Unternehmensgröße (Mitarbeiter und EUR). Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
- Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitert sich analog zu NIS2 und werden deutlich mehr.
- UBI: Die Unternehmen im besonderen öffentlichen Interesse entfallen und werden in wichtige und teils auch besonders wichtige Einrichtungen integriert.
- Cybersecurity: Pflichten für Betreiber und Einrichtungen werden mit der NIS2-Umsetzung konkreter und detaillierter – u.a. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance.
- Aufsicht: Erweitert wird die staatliche Aufsicht durch Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch.
- Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern, die wie bisher mehrstufig verhängt werden. Die Höhe beträgt zwischen 100.000 und 20 Millionen EUR und ist bei wichtigen oder besonders wichtigen Einrichtungen teils an den weltweiten Gesamtumsatz im Vorgeschäftsjahr gekoppelt.
- Haftung: Geschäftsführer haften teilweise persönlich für die Umsetzung (und
Billigung
) der Sicherheitsmaßnahmen in ihrer Einrichtung.
Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung deutlich erweitert, die verschiedenen Gruppen an Betreibern führen zu einem Mehrklassen-System an Betreibern (und ggf. Unternehmensteilen) mit unterschiedlichen Stufen von Pflichten.
Betroffene Unternehmen
NIS2-Betreiber in Deutschland
Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung, die im neuen BSI-Gesetz reguliert werden. Diese beiden Gruppen müssen viele (teils neue) Cybersecurity-Pflichten erfüllen, die über bisherige KRITIS-Pflichten hinausgehen.
- Betreiber kritischer Anlagen (KRITIS-Betreiber) §28 (2-2c) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
- Besonders wichtige §28 (3) und wichtige Einrichtungen §28 (4) werden nach Größe des Unternehmens identifiziert, es gibt dabei mittlere und große Unternehmen:
- Mittlere Unternehmen
50 bis 249 Mitarbeiter und Umsatz bis zu 50 Mio. EUR oder Bilanz bis zu 43 Mio EUR - Großunternehmen
Mindestens 250 Mitarbeiter oder 50 Mio. EUR Umsatz oder Bilanz ab 43 Mio EUR
- Mittlere Unternehmen
Neben den kritischen Betreibern und Einrichtungen werden auch Bundeseinrichtungen vom BSI-Gesetz mit bestimmten Pflichten reguliert. §27 Einige andere Betreiber (digitale Dienste, UBI) gehen in die Gruppe der Einrichtungen 2 auf.
Das BSI ist zuständig für Betreiber und Einrichtungen in Deutschland; bei bestimmten IT-Unternehmen, die in der EU tätig sind und ihren Hauptsitz in Deutschland haben, soll das BSI zentral innerhalb der EU zuständig sein. Einige andere Unternehmen werden (bleiben) von weiteren Aufsichtsbehörden reguliert – BNetzA, BaFin.
Betreiber kritischer Anlagen (KRITIS)
Die bisherigen KRITIS-Betreiber (Kritische Infrastrukturen) sind in der NIS2-Umsetzung als Betreiber kritischer Anlagen definiert. §28 (2) Diese Betreiber sind eine eigene Klasse an Unternehmen, die in KRITIS-Sektoren so genannte kritische Dienstleistungen auf einzeln definierten KRITIS-Anlagen erbringen. Die deutsche KRITIS-Logik bleibt hier bestehen.
Kategorie | Sektoren |
---|---|
Kritische Anlagen | KRITIS: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Ernährung, Siedlungsabfallentsorgung, Bankwesen, Finanzmärkte, Digitale Infrastruktur* |
Die Sektoren der Betreiber werden in NIS2 leicht erweitert und teils auch umbenannt – unter anderen Digitale Infrastruktur, die leicht über Sektor IKT hinausgeht. Die Pflichten für Betreiber bleiben im Grunde bestehen (Identifikation, Registrierung, Meldungen bis zu Nachweisen), werden durch NIS2 aber leicht geändert.
Wichtig: Die Betreiber kritischer Anlagen werden automatisch auch zu Unternehmen der neuen NIS2-Gruppe besonders wichtigen Einrichtungen und erben damit auch deren Pflichten. §28 (3) Nr. 4
Besonders wichtige und wichtige Einrichtungen
Durch die NIS2-Umsetzung kommen zu den Betreibern kritischer Anlagen (KRITIS-Betreiber) zwei Gruppen von Unternehmen (Einrichtungen) hinzu §28 (3)-(4) – die besonders wichtigen Einrichtungen und wichtige Einrichtungen, mit eigenen Sektoren und Definitionen. Weitere Betreiber und auch KRITIS-Betreiber ordnen sich in diese Gruppen dann auch ein.
Es ist alles eher kompliziert.
Übersicht
Die besonders wichtigen Einrichtungen sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen sind sowohl Großunternehmen und mittlere Unternehmen in vielen Sektoren sowie weitere Unternehmen unabhängig ihrer Größe.
Kategorie | Größe | Sektoren |
---|---|---|
Besonders wichtig §28 (3) |
Großunternehmen | Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum |
unabhängig | Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste | |
Mittlere Unternehmen | Anbieter öffentlicher TK-Netze und TK-Dienste | |
unabhängig | Betreiber kritischer Anlagen (KRITIS-Betreiber) | |
unabhängig | Zentralregierung (Bundesministerien und Bundeskanzleramt) | |
Wichtig §28 (4) |
Mittlere | Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum |
Großunternehmen Mittlere Unternehmen |
Annex II: Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung | |
unabhängig | Vertrauensdienste | |
unabhängig | Hersteller Rüstungsgüter und VS-IT (UBI 1) | |
unabhängig | Betreiber Betriebsbereich obere Klasse (UBI 3) |
Unternehmensgröße
Die Einrichtungen werden nach Unternehmensgröße unterschieden – die Definitionen von Großunternehmen §2 (1) Nr. 12 und mittleren Nr. 23 divergieren etwas. Bei mittleren Unternehmen zählen Mitarbeiter und zusätzlich Umsatz oder Bilanz, bei Großunternehmen Mitarbeiter oder Umsatz oder Bilanz.
Unternehmen | Mitarbeiter | Umsatz | Bilanz | ||
---|---|---|---|---|---|
Mittlere Unternehmen | 50-249 | und | < 50 Mio. EUR | oder | < 43 Mio. EUR |
Großunternehmen | ≥ 250 | oder | ≥ 50 Mio. EUR | oder | ≥ 43 Mio. EUR |
De facto gibt es damit zwei Gruppen von Großunternehmen – a) über 250 Mitarbeitern und b) über 50 Mio EUR Umsatz bzw. 43 Mio EUR Bilanz.
Auswirkungen auf Unternehmen
Die Auswirkungen des NIS2-Umsetzungsgesetzes werden in großen Teilen der deutschen Wirtschaft spürbar werden – vor allem in der sehr großen Gruppe der Einrichtungen. Es gibt jedoch Unterschiede in der Betroffenheit und konkreten Pflichten.
Pflicht | Betreiber kritischer Anlagen |
Besonders wichtige Einrichtung |
Wichtige Einrichtung |
---|---|---|---|
Geltungsbereich | Anlage(n) | Unternehmen | Unternehmen |
Maßnahmen (Risikomanagement) §30 | ✓ | ✓ | ✓ |
Höhere Maßstäbe §30 (3) | ✓ | ||
Besondere Maßnahmen (SzA) §39 | ✓ | ||
Registrierung §32 §33 | ✓ | ✓ | ✓ |
Meldepflichten §31 | ✓ | ✓ | ✓ |
Nachweise §34 | * | ✓ | |
Informationsaustausch §35 §36 | * | ✓ | ✓ |
Governance Leitungsorgane §38 | * | ✓ | ✓ |
Geltungsbereich
Der genaue Geltungsbereich bei betroffenen Unternehmen für Maßnahmen (§§ 30-39) ist (noch) nicht exakt ausformuliert. Bei Betreibern kritischer Anlagen scheinen die Anlagen weiter der Scope zu sein, bei den besonders wichtigen und wichtigen Einrichtungen dann (wahrscheinlich) das ganze Unternehmen in Form der registrierten Legaleinheit.
Wie das in weiteren Entwürfen oder der Rechtsverordnung bestehen bleibt, wird sich zeigen. Der Geltungsbereich bestimmt der Aufwand bei der Umsetzung von Maßnahmen, Nachweise und Prüfungen
Ausschlüsse
Für einige Betreiber gibt es bestimmte Ausnahmen zu den NIS2-Maßnahmen:
- Von §30 (1) ausgeschlossen sind: DNS, TLD, Cloud-Computing, Rechenzentren, Content Delivery Networks, Managed Services und Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdienste §30 (5)
- Betreiber öffentlicher TK-Netze und TK-Dienste sind von §31 und §32 ausgeschlossen
- Die gematik ist von §31 und §32 ausgeschlossen
- Bestimmte Einrichtungen dürfen zur Wahrung nationaler Sicherheitsinteressen durch die Bundesregierung von §31, §32 und §33 befreit werden nach §37
- Von den besonders wichtigen und wichtigen Einrichtungen ausgeschlossen werden Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 (DORA)
Unternehmen im besonderen öffentlichen Interesse
Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen in den wichtigen Einrichtungen auf. Die UBI wurden im IT-Sicherheitsgesetz 2.0 in drei Gruppen definiert:
- Rüstung (UBI 1): Hersteller von Rüstung und Produkten für Verschlusssachen (VS) werden zu wichtigen Einrichtungen §28 (4) Nr. 4
- Wertschöpfung (UBI 2): Unternehmen erheblicher volkswirtschaftlicher Bedeutung werden nun nach Unternehmensgröße zu besonders wichtigen oder wichtigen Einrichtungen.
- Gefahrstoffe (UBI 3): Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffen) werden zu wichtigen Einrichtungen §28 (4) Nr. 5
Cybersecurity
Pflichten von Betreibern und Einrichtungen
Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu struktureirt.
In Kapitel 2 vom NIS2UmsuCG werden diese Pflichten aus dem BSI-Gesetz neu strukturiert und umfassen für Betreiber und Einrichtungen mindestens:
- Cybersecurity: Umsetzung von Maßnahmen zum Risikomanagement §30
- Meldepflichten: Vorfallsmeldungen ans BSI §31
- Registrierung: Identifikation und Meldung beim BSI §32 §33
- Nachweise: Prüfung zur Umsetzung und Nachweis ans BSI §34
- Informationspflichten: Kommunikation mit Behörden §35 §36
- Governance: Verbindliche Vorgaben für Leitungsorgane §38
- Zusätzliche KRITIS-Anforderungen: Für kritischen Anlagen §39
Die Auswirkungen und Regelungsbedarf unterscheiden sich zwischen Betreibern kritischer Anlagen (KRITIS) und auch zwischen den beiden Gruppen von Einrichtungen. Es bestehen Unterschiede im Geltungsbereich (kritische Anlage bei den Betreibern, Unternehmen bei den Einrichtungen) und der Auswahl geeigneter Maßnahmen
Risikomanagement
Besonders wichtige und wichtige Einrichtungen müssen technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)
Maßnahmen
Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorällen schützt. Die Maßnahmen müssen mindestens die folgenden Themen umfassen – welche von der EU noch erweitert werden könnten: §30 (4)
- Risikoanalyse
- Sicherheitsvorfälle
- Aufrechterhaltung
- Sicherheit der Lieferkette
- Sicherheit in der Entwicklung und Beschaffung
- Bewertung der Effektivität
- Schulungen und Cyberhygiene
- Kryptografie
- Personal, Zugriffe und Anlagen
- Multi-Faktor Authentisierung
- Sichere Kommunikation
- Sichere Notfallkommunikation
Eine genaue Konkretisierung der Maßnahmen ist noch nicht bekannt.
Angemessenheit
Die Maßnahmen müssen dem Risiko angemessen sein und den Stand der Technik einhalten. Sie sollen internationale und europäische Normen einhalten und dabei Umsetzungskosten vor dem Hintergrund gesellschaftlicher und wirtschaftlicher Auswirkungen von Ausfällen berücksichtigen. §30 (2)
Betreiber kritischer Anlagen
Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe zum Schutz der IT, Komponenten und Prozesse der betriebenen Anlagen. §30 (3)
Betreiber kritischer Anlagen müssen darüberhinaus weitere Anforderungen umsetzen:
- Systeme zur Angriffserkennung §39 (1)
- Nachweispflichten für SzA und KRITIS-Dachgesetz §39 (2)
Nachweise und Prüfungen
Die Umsetzung von Cybersecurity Maßnahmen muss dem BSI nachgewiesen werden.
Besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) müssen dem BSI die Umsetzung der §30 (1) Maßnahmen nach der Registrierung und dann alle zwei Jahre nachweisen. Der Nachweis kann durch Audits, Prüfungen oder Zertifizierungen erfolgen, analog der bisherigen KRITIS-Prüfungen. §34
Der Nachweis umfasst die festgestellten Mängel, einen Umsetzungsplan zur Beseitigung und ggf. Nachweise der Behebung von Mängeln. Im Gegensatz zu KRITIS-Prüfung werden die §34 Nachweisprüfungen nicht (unbedingt) auf eine bestimmte Anlage bzw. einen bestimmten Geltungsbereich beschränkt sein.
Betreiber kritischer Anlagen
Die Betreiber von kritischen Anlagen müssen, da sie auch besonders wichtige Einrichtungen sind, den Nachweis der §30 (1) Maßnahmen ebenfalls alle zwei Jahre dem BSI nachweisen.
Der Nachweis von Betreibern kritischer Anlagen soll analog der bisherigen KRITIS-Prüfungen erfolgen durch Audits, Prüfungen oder Zertifizierungen.
Zusätzlich müssen Betreiber kritischer Anlagen die Umsetzung von Systemen zur Angriffserkennung (SzA) als Teil des Nachweises erbringen. §39 (3)
Das BSI hat nach wie vor die Befugnis, von sich aus Betreiber kritischer Anlagen zu prüfen §39 (3) und Standards und Vorgaben für Nachweis-Prüfungen festzulegen. §39 (4) (5?).
Informationen und Meldewesen
Mit der NIS2-Umsetzung kommen auf die betroffenen Einrichtungen umfangreiche Informations- und Meldepflichten zu.
Meldung von Sicherheitsvorfällen
Besonders wichtige und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §31
- Erstmeldung (
frühe
) bei erheblichen Sicherheitsvorfällen innerhalb von 24h - Meldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Indikatoren)
- Zwischenmeldungen auf Nachfrage des BSI
- Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
- Vertrauensdienste müssen unverzüglich,
in jedem Fall innerhalb von 24 Stunden
melden - Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden
Die vom BSI eingerichtet Meldemöglichkeit soll (ist?) im Einvernehmen mit dem BBK eingerichtet werden – potenziell für das KRITIS-Dachgesetz.
Meldungen an Kunden und Öffentlichkeit
Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste
) zu unterrichten. §35
Einrichtungen aus dem Bankweisen, Digitalen Infrastruktur, Managed Services und Digitale Dienste müssen von einer erheblichen Cyberbedrohung
potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)
Das BSI meldet sich nach Möglichkeit
innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstütsungsangeboten und Informationen.
Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.
Registrierung
Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln. §32 §33
Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren. Zu den Daten gehören Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche (!), Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §32 (1)
Betreiber kritischer Anlagen müssen sich direkt nach Identifikation kritischer Anlagen beim BSI registrieren (am ersten Werktag danach). §32 (3)
Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren, ebenfalls Betreiber kritischer Anlagen. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §32 (2) (4), (5-7)
Bestimmte Einrichtungen müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §33 Dies umfasst EU-Betreiber, die in Deutschland nach §63 zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, MSP und Managed Service und Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Informationsaustausch
Besonders wichtige Einrichtungen müssen am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen.
Standards und Produkte
Vorgaben
EU-Vorgaben und Umsetzungsakte
Die EU-Kommission kann zur Definition der §30 (4) Maßnahmen noch eigene Vorgaben durch Durchführungsrechtsakte
(Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten.
Falls dies nicht eintritt, soll das Bundesinnnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen.
Branchenstandards
Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen.
Produkte
Zertifizierte Produkte
Verwenden besonders wichtige oder wichtige Einrichtungen ein bestimmtes IKT-Produkt, Dienst oder Prozess, die in der Rechtsverordnung nach §57 (6) bestimmt werden, müssen diese über eine Cybersicherheitszertifizierung gemäß Art. 49 der EU-Verordnung 2019/881 verfügen §30 (9) (9a).
Welche Produkte, Dienste oder Prozesse konkret betroffen sein werden, hängt dann noch von der Verordnung ab.
Qualität von Produkten
Zur Gewährleistung der Sicherheit der Lieferkette (§30 (4) 4) müssen besonders wichtige Einrichtungen die spezifischen Schwachstellen von Anbietern und Diensteanbietern sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis inkl. der Sicherheit der Entwicklungsprozesse berücksichtigen §30 (8).
Dabei muss die koordinierte Risikobewertung kritischer Lieferketten auf Ebene der Union (Art. 22 NIS2-Richtlinie) berücksichtigt werden.
Kritische Komponenten
Der Einsatz so genannter kritischer Komponenten muss durch Betreiber kritischer Anlagen (KRITIS-Betreiber) dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden – bis jetzt nur im TK-Sektor durch das TKG 2021.
Das Innenministerium darf den Einsatz kritischer Komponenten untersagen: §41 (2) (4)
Beeinträchtigung der öffentlichen Ordnung und Sicherheit
— wenn a) der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, b) der Hersteller annachteiligen Aktivitäten
gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, c) der Einsatz nicht mit densicherheitspolitischen Zielen
Deutschlands, der EU oder der NATO im Einklang ist.- Fehlende Vertrauenswürdigkeit basierend auf der Garantieerklärung des Herstellers, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten. §41 (5)
Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers eingesetzt werden. Die Erklärung muss Mindestanforderungen des Innenministeriums erfüllen und ist von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen. §41 (3)
Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)
Staat und BSI
Aufsicht
Zuständigkeiten
Das BSI ist zuständig für besonders wichtige und wichtige Einrichtungen und Betreiber kritischer Anlagen in Deutschland: §62
- Besonders wichtige und wichtige Einrichtungen, die in Deutschland niedergelassen sind
- Betreiber kritischer Anlagen, die auf deutschem Hoheitsgebiet betrieben werden
Für bestimmte Betreiber, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI für diese Einrichtungen zentral in der EU zuständig. §63
- DNS-Dienste, Domain Registries und TLD Registries
- Cloud Computing (Provider), Anbieter von Rechenzentren und Content Delivery Networks
- Managed Service und Managed Security Service Provider
- Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Überwachung
Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungsmaßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65
Für besonders wichtige Einrichtungen darf das BSI:
- Überprüfung der Umsetzung von Anforderungen bei den Einrichtungen §64 (1)
- Anweisungen zur Verhütung oder Behebung von Sicherheitsvorfällen §64 (2)
- Verbindliche Anweisungen zur Umsetzung der Verpflichtung nach Gesetz §64 (3)
- Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §64 (4)
- Überwachungsbeauftragter zur Überwachung der Pflichten nach §§28, 29, 37 (?) §64 (5)
- Entzug der Zulassung bei Nicht-Nachkommen von Anforderungen trotz Fristsetzung und Untersagung Leitungsaufgabe der Geschäftsführung§64 (6)
- und weiteres
Für wichtige Einrichtungen darf das BSI:
- Überprüfung der Einhaltung von Anforderungen (§30 Absatz 1 und §29) bei Einrichtungen, wenn das BSI Kenntnis erlangt §65 (1) und analog §64 Satz 2-4
- Verbindliche Anweisungen zur Umsetzung der Verpflichtung nach Gesetz §65 (1) Nr. 2
- Informationen anfordern um die Einhaltung zu Überprüfen §65 (2)
- Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §65 (3)
Meldestelle
§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §5 als zentrale allgemeine Meldestelle für Sicherheit in der IT, §40 als zentrale Meldestelle für Betreiber kritischer Anlagen und Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.
Sanktionen und Bußgelder
Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60 (fälschlicherweise §59 im Entwurf?). Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen differenzieren zwischen den verschiedenen Gruppen von Betreibern:
- Persönliche Haftung von Geschäftsführern §38
- Allgemeine Tatbestände §60 (5)
- Bußgelder für wichtige Einrichtungen §60 (6)
- Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen §60 (7)
Persönliche Haftung
Neben Bußgeldern für Unternehmen gibt es im NIS2-Umsetzungsgesetz auch persönliche Haftung von Geschäftführern besonders wichtiger und wichtiger Einrichtungen §38.
Diese müssen die vorgeschriebenen Risikomanagement-Maßnahmen für Cybersicherheit billigen
und die Umsetzung in der Einrichtung überwachen. Eine Auslagerung dieser Aufgaben an Dritte ist nicht zulässig.
Verletzen Geschäftsleiter ihre Billigungs- und Überwachungspflicht, haften sie der Einrichtung für den entstandenen Schaden. Die Amtshaftung bleibt davon unberührt.
Allgemeine Tatbestände
Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.
Höhe | Verstöße |
---|---|
2 Mio. EUR |
|
500.000 EUR |
|
100.000 EUR |
|
Wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.
Höhe | Verstöße |
---|---|
7 Mio. EUR oder 1,4% Umsatz |
|
500.000 EUR |
Registrierungspflicht bereits über allgemeine Bußgelder geregelt |
100.000 EUR |
|
Betreiber kritischer Anlagen und besonders wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (7) für Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen definiert.
Höhe | Verstöße |
---|---|
10 Mio. EUR oder 2% Umsatz |
|
500.000 EUR |
|
100.000 EUR |
|
Bundeseinrichtungen
Die Pflichten besonders wichtiger Einrichtungen sind auf Einrichtungen der Bundesverwaltung anzuwenden, sofern keine expliziten Abweichungen geregelt sind §29 (fälschlicherweise §27 im Entwurf?).
Einrichtungen der Bundesverwaltung im Sinne von NIS2 sind:
- Stellen des Bundes
- Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
- Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen
Wichtig: Teile der Bundesverwaltung können parallel als besonders wichtige Einrichtung und teils auch als KRITIS reguliert werden.
Differenzierung und Ausschlüsse
Betreffende Einrichtungen der Bundesverwaltung werden wie folgt differenziert:
- Einrichtungen der Bundesverwaltung müssen die Anforderungen besonders wichtiger Einrichtungen aus Kapitel 2 (§§ 30-42) umsetzen §29 (1)
- Einrichtungen der Bundesverwaltung, die besonders wichtige oder wichtige Einrichtungen sind, müssen die Anforderungen aus Kapitel 2 (§§ 30-42) umsetzen §29 (2)
- Einrichtungen der Bundesverwaltung, die gemäß Rechtsverordnung nach §57 dem Sektor Zentralregierung angehören, müssen die Anforderungen aus Kapitel 3 (§§ 43-50) vorrangig und Kapitel 2 umsetzen [Entwurf etwas unklar] §29 (2)
Aus den regulierten Bundeseinrichtungen werden folgende ausgeschlossen:
- Streitkräfte und militärischer Abschirmdienst
Anforderungen
Unter Berücksichtigung der genannten Differenzierung werden an alle Bundeseinrichtungen folgende Anforderungen an Cybersicherheit gestellt:
- alle Risikomanagementmaßnahmen nach §30
- Meldepflichten für Sicherheitsvorfälle nach §31
- Registrierungspflichten nach §32§33
- Nachweispflichten nach §34
- Unterrichtungspflichten nach §35
- Billigungs- und Überwachungspflichten nach §38
- (§39 Angriffserkennung ist wohl nicht relevant)
Bundeseinrichtungen, die der Zentralregierung angehören, müssen zusätzlich erfüllen:
- Informationssicherheitsmanagement unter Berücksichtigung von IT-Grundschutz bzw. Mindeststandards für die Sicherheit der Informationstechnik des Bundes §43 §44 (1)
Steuerung
Es soll einen Koordinator für Informationssicherheit auf Bundesebene, gestellt durch die Bundesregierung geben – einen Bundes-CISO. §48§49§50 Einrichtungen der Bundesverwaltung müssen auf verschiedenen Ebenen einen ISB inkl. Vertretung bestellen:
- auf Einrichtungsebene: der ISB ist für den Aufbau und die Aufrechterhaltung des Informationssicherheitsprozesses der Einrichtung verantwortlich §45
- auf Ressortebene: der ISB initiiert und koordiniert jeweils die Fortschreibung von Informationssicherheitsleitlinien für sein oder ihr Ressort §46
- für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes: wegen der zunehmenden Bedeutung und Größe von Digitalisierungsvorhaben ist es fachlich erforderlich, dass Informationssicherheit dort durch eigene ISBs umgesetzt wird §47
Roadmap
Gesetzgebung
Das IT-Sicherheitsgesetz 2.0 nahm 2021 einige Änderungen von NIS2 schon vorweg — neue Sektoren, mehr Cyber Security Anforderungen und Sanktionen. Andere Vorkehrungen, die Betroffenheit mittlerer und großer Unternehmen und bestimmte Maßnahmen, fehlten jedoch noch und müssen durch ein Änderungsgesetz noch umgesetzt werden.
Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, NIS2UmsuCG, ändert das
BSI-Gesetz als Artikelgesetz deutlich, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen
.
Version | Status | Datum | Akteur |
---|---|---|---|
NIS | Deadline nationale Umsetzung | Mai 2018 | Mitgliedstaaten |
IT-Sicherheitsgesetz 2.0 | Inkrafttreten | Mai 2021 | Bundesrat |
NIS2 | EU 2022/2555 Final | Dez 2022 | Amtsblatt |
NIS2-Umsetzungsgesetz | Entwurf NIS2-Umsetzung DE | Mai 2023 | Bundesverwaltung |
Rechtsverordnung | fehlt noch | bis Oct 24 | Bundesverwaltung |
NIS2 | Deadline Umsetzung | bis Oct 24 | Mitgliedstaaten |
In Deutschland wird NIS2 zu einer deutlichen Erweiterung der erfassten Einrichtungen führen
und Befugnisse und Handlungsmöglichkeiten für die national zuständigen Behörden erweitert
werden.
Die deutsche KRITIS-Methodik von Anlagen wird in der Gruppe der kritischen Betreibern beibehalten: das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritisverordnung berücksichtigt wird.
Aufwände
Der Entwurf vom NIS2-Umsetzungsgesetz schätzt Aufände für die Umsetzung von NIS2 in der Wirtschaft und der Verwaltung. Die Zahlen basieren auf einer Folgekostenschätzung des statistischen Bundesamts.
Wirtschaft
- Laufende Kosten (Erfülungsaufwand) von 1,65 Mrd. EUR
- Einmalige Personalkosten von 1,37 Mrd. EUR
Verwaltung
- Planstellen noch nicht bekannt
Fristen und Umsetzung
Im Gesetz sind Fristen zur Umsetzung von Anforderungen als Entwurf vorgesehen. Viele Regelmaßnahmen bleiben bestehen, einige neue Maßnahmen müssen zwei oder drei Jahre nach Inkrafttreten des Gesetzes erstmalig umgesetzt werden: ab 2025 oder 2026.
Besonders wichtige Einrichtungen
- Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)
- Nachweise über Maßnahmenumsetzung erstmals frühestens zwei Jahre und spätestens drei Jahre nach Inkrafttreten des Gesetzes §34 (1)
- Nachweise über Maßnahmenumsetzung dann zu einem vom BSI bei der Registrierung festgelegten Zeitpunkt und anschließend alle 2 Jahre §34 (1)
- Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (10)
Wichtige Einrichtungen
- Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)
Betreiber kritischer Anlagen
- Registrierung am nächsten Werktag nach Identifizierung §32 (3)
- Nachweise über Maßnahmenumsetzung zu einem vom BSI bei der Registrierung festgelegten Zeitpunkt* und anschließend alle 2 Jahre §34 (1)
Ergänzende Rechtsverordnung
Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen gemäß §57 konkretisiert werden:
- Als kritisch anzusehende Dienstleistungen, deren als bedeutend anzusehender Versorgungsgrad sowie welche Anlagen oder Teile davon als kritische Anlagen im Sinne des Gesetzes gelten §57 (1) 1
- Konkrete Einrichtungsarten, die besonders wichtige Einrichtungen sind §57 (1) 2
- Konkrete Einrichtungsarten, die wichtige Einrichtungen sind §57 (1) 3
- Details über die Erteilung von Sicherheitszertifikaten und Anerkennung nach §54 §57 (2)
- Einzelheiten des IT-Sicherheitskennzeichens nach §52, sowie Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und der Freigabe, sowie der Verweis auf Sicherheitsinformationen §57 (3)
- Welche durch eine besonders wichtige Einrichtung oder wichtige Einrichtung eingesetzten Produkte, Dienste oder Prozesse gemäß §30 (9) über eine Cybersicherheitszertifizierung verfügen müssen §57 (4)
Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Quellen
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol-Mirror, Stand 3. April 2023
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022