Sektor Digitale Dienste
Der Sektor Anbieter digitaler Dienste ist seit dem NIS2-Umsetzungsgesetz ein kritischer Sektor. Unternehmen im Sektor werden ab 2024 abhängig von ihrer Unternehmensgröße reguliert. Drei Arten von Einrichtungen erbringen im Sektor Dienstleistungen:
- Anbieter von Online-Marktplätzen
- Anbieter von Online-Suchmaschinen
- Anbieter von Plattformen für Dienste sozialer Netzwerke
Bieten Unternehmen diese Dienstleistungen anderen an und überschreiten dabei NIS2-Kriterien von Unternehmensgröße, werden sie zu wichtigen Einrichtungen. Die Schwellenwerte beginnen ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz.
Die in NIS2 neu definierten Einrichtungen gehen über die bisherigen Betreiber Kritischer Infrastrukturen hinaus – mit mehr betroffenen Sektoren, viel mehr Unternehmen und umfangreicheren Cybersecurity-Pflichten. Die NIS2-Regulierung in Deutschland setzt ab 2024 neue EU-Regulierung um, kann sich als Entwurf bis dahin aber noch verändern.
NIS2 bei Anbietern Digitaler Dienste
Unternehmen
Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Der Sektor Digitale Dienste ist ab 2024 neu in NIS2 reguliert.
Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung:
- Betreiber kritischer Anlagen (KRITIS-Betreiber) sind im Sektor nicht definiert.
- Wichtige Einrichtungen werden nach Größe des Unternehmens im Sektor identifiziert, es gibt dabei zwei Optionen:
- Unternehmen ab 50 Mitarbeitern oder
- Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
In den aktuellen Entwürfen ist der Sektor mit drei Arten von Unternehmen definiert:
Einrichtung | Definition |
---|---|
Anbieter von Online-Marktplätzen | Dienst im Sinne des §312l Absatz 3 BGB |
Anbieter von Online-Suchmaschinen | Digitaler Dienst im Sinne Artikel 2 Nr. 5 Verordnung (EU) 2019/1150 |
Anbieter von Plattformen für Dienste sozialer Netzwerke | Plattform, auf der Endnutzer mit unterschiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen miteinander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken kö |
Pflichten
NIS2-Einrichtungen unterliegen ab 2024 der NIS2-Regulierung mit Pflichten für IT-Sicherheit:
- Identifikation §28: Unternehmen müssen sich selbst als Einrichtung identifizieren
- Registrierung §33: Meldung als Einrichtung und Registrierung beim BSI
- Meldepflichten §32 §35 §36: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI, Teilnahme am Informationsaustausch
- NIS2-Geltungsbereich: Scope im Unternehmen von NIS2 festlegen
- Risikomanagement §30: Umsetzung von Maßnahmen für Cybersecurity, IT-Sicherheit und Management von Risiken (wie ISMS, BCM, RM) mit Sicherheitsstandards
- Governance §38 §60: Verantwortung von Cybersecurity durch Leitungsorgane, Sanktionen durch Behörden, Schulungen
- Nachweise §65: Das BSI kann Nachweise verlangen oder Prüfungen anordnen
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich. Die Maßnahmen und Anforderungen werden teils noch in weitergehender Regulierung und Dokumenten durch Behörden konkretisiert werden müssen.
Für regulierte Anbieter digitaler Dienste werden Vorgaben der EU verbindlich, welche die §30 NIS2-Maßnahmen konkret für bestimmte Betreiber konkretisieren.
Regulierung und Standards
Weitere Gesetze
Anbieter digitaler Dienste unterliegen noch einer Vielzahl weitere Cybersecurity und IT-Regulierung auf nationaler und EU-Ebene.
Weitere Informationen
Quellen
- Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022