Sektor Weltraum

Der Sektor Weltraum ist seit dem NIS2-Umsetzungsgesetz ein Sektor mit hoher Kritikalität. Unternehmen im Sektor werden ab 2024 abhängig ihrer Unternehmensgröße reguliert. Folgende Einrichtungen oder Betreiber kritischer Anlagen erbringen im Sektor Dienstleistungen:

Betreiber von Bodeninfrastrukturen weltraumgestützter Dienste

Bieten Unternehmen diese Dienstleistung anderen an und überschreiten dabei NIS2-Kriterien von Unternehmensgröße, werden sie zu besonders wichtigen oder wichtigen Einrichtungen. Betreiben sie so genannte kritische Anlagen, können sie auch zu Betreibern kritischer Anlagen (KRITIS) werden.

Die in NIS2 neu definierten Einrichtungen gehen über die bisherigen Betreiber Kritischer Infrastrukturen hinaus – mit mehr betroffenen Sektoren, viel mehr Unternehmen und umfangreicheren Cybersecurity-Pflichten. Die NIS2-Regulierung in Deutschland setzt ab 2024 neue EU-Regulierung um, kann sich als Entwurf bis dahin aber noch verändern.

NIS2 in Space

Unternehmen

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Der Sektor Forschung ist ab 2024 neu in NIS2 reguliert.

Es gibt drei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung:

Betreiber kritischer Anlagen (KRITIS-Betreiber) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
Besonders wichtige Einrichtungen werden nach Größe des Unternehmens im Sektor identifiziert, es gibt dabei zwei Optionen:
1. Unternehmen ab 250 Mitarbeitern oder
2. Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
Wichtige Einrichtungen werden nach Größe des Unternehmens im Sektor identifiziert, es gibt dabei zwei Optionen:
1. Unternehmen ab 50 Mitarbeitern oder
2. Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR

In den aktuellen Entwürfen ist der Sektor mit einer Art von Unternehmen definiert. Der Sektor ist formell auch (neuer) KRITIS-Sektor, dieser ist aktuell noch nicht konkretisiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Oktober 2023
Einrichtung	Definition
Bodeninfrastrukturen	Betreiber von Bodeninfrastrukturen zur Unterstützung weltraumgestützter Dienste, jedoch keine Anbieter öffentlicher elektronischer Kommunikationsnetze
kritische Anlage	noch nicht definiert

Pflichten

NIS2-Einrichtungen unterliegen ab 2024 der NIS2-Regulierung mit Pflichten für IT-Sicherheit:

Identifikation §28: Unternehmen müssen sich selbst als Einrichtung identifizieren
Registrierung §33: Meldung als Einrichtung und Registrierung beim BSI
Meldepflichten §32 §35 §36: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI, Teilnahme am Informationsaustausch
NIS2-Geltungsbereich: Scope im Unternehmen von NIS2 festlegen
Risikomanagement §30: Umsetzung von Maßnahmen für Cybersecurity, IT-Sicherheit und Management von Risiken (wie ISMS, BCM, RM) mit Sicherheitsstandards
Governance §38 §§60: Verantwortung von Cybersecurity durch Leitungsorgane, Sanktionen durch Behörden, Schulungen
Nachweise §64 §65: Das BSI kann Nachweise verlangen oder selbst Prüfungen durchführen oder anordnen

Die Betreiber kritischer Anlagen unterliegen dazu ab 2024 zusätzlichen NIS2-Pflichten:

Maßnahmen (§31): Besondere Anforderungen zum Risikomanagement und Systeme zur Angriffserkennung (SzA)
Prüfungen (§39): Regelmäßige Nachweisprüfungen für Maßnahmen

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich. Die Maßnahmen und Anforderungen werden teils noch in weitergehender Regulierung und Dokumenten durch Behörden konkretisiert werden müssen.

Weitere Informationen

Quellen

Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022