NIS-2-Umsetzungsgesetz

Die Richtlinie (EU) 2022/2555 mit dem Titel „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheits­­niveaus von Netz- und Informationssystemen in der Union“, bekannt als NIS-2-Richtlinie, ist eine Weiterentwicklung der ersten derartigen Richtlinie von 2016. Ziel ist es, die Cyber-Resilienz und die Sicherheits­standards innerhalb der Euro­päischen Union weiter zu harmonisieren und zu verbessern. Das deutsche NIS-2-Umsetzungsgesetz überführt diese europäische Richtlinie in nationales Recht.

Das NIS-2-Umsetzungsgesetz erweitert den Anwendungs­bereich der Regulierung auf weitere Sektoren und Unter­nehmen. Dies schließt nun auch kleinere Unternehmen ein, die zuvor nicht abgedeckt waren. Dabei unterscheidet das Gesetz drei Gruppen von Einrichtungen in den jeweiligen Sektoren (z. B. Energie, Wasser und Abwasser, Entsorgung):

• besonders wichtige Einrichtungen: Unter­nehmen ab 250 Mitarbeitern oder über einem Jahresumsatz von 50 Mio. EUR und und einer Bilanzsumme von über 43 Mio. EUR sowie einige Sonderfälle, wie z. B. kritische Anlagen unabhängig der Unternehmensgröße und des Umsatzes
• wichtige Einrichtungen: Unternehmen ab 50 Mitarbeitern oder über einem Jahresumsatz von 10 Mio. EUR
• Betreiber kritischer Anlagen (KRITIS­Betreiber): Über­schreitung von anlagen­spezifischen Schwellenwerten, in der Regel entsprechend 500.000 versorgten Personen.

In Deutschland werden durch das NIS-2-Umsetzungs­­­gesetz zukünftig ca. 30.000 Unternehmen von den Vor gaben betroffen sein, die bishe­rige Regulierung für den Bereich der Kritischen Infrastruktur durch das BSI-Gesetz umfasst lediglich ca. 2.900 Unternehmen.

Inhaltlich werden durch das NIS-2-Umsetzungs­gesetz strengere Anforderungen an die IT- und Informationssicher­heit gestellt, um das technische und organisatorische Sicher­heits­niveau zu verbessern. Dies umfasst unter anderem die Implementierung fortschrittlicher Technologien zur Überwa­chung und Abwehr von Cyber-Angriffen sowie die Schulung des Personals im Bereich der Cyber-Sicherheit. Zudem wer­den weitreichende Maßnahmen zum Risikomanagement, zur Vorfallserkennung und -bewältigung sowie zu Mindest­standards für Cyber-Sicherheit gefordert. Betroffene Unter­nehmen müssen beispielsweise Sicherheits­vorfälle, wie Hacker-Angriffe oder schwer­wiegende IT-Störungen, zu­künftig schneller und umfassender an die Behörden melden. Für den Einsatz von bestimmten IKT-Produkten, -Diensten und -Prozessen werden durch das NIS-2-Umsetzungsgesetz obligatorische Cyber-Sicherheitszertifizierungen gefordert.

Die allgemeinen Sorgfalts­pflichten von Leitungs­organen und das gesellschaftsrechtlich gefor­derte Risikomanage­ment umfassen bereits heute die Verpflichtung der Unternehmensl­eitung, angemessene Maßnahmen für die IT- Sicherheit zu realisieren. Diese Verpflichtungen werden durch eine explizite Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter durch das NIS-2-Umsetzungsgesetz bekräftigt und konkretisiert.

Ein Nachweis der Umsetzung durch ent­sprechen­de Prü­fungen ist für Betreiber kritischer Anlagen obligatorisch. Für besonders wichtige und wichtige Einrichtungen sieht das NIS-2-Umsetzungs­gesetz ebenfalls in Teilen entspre­chende Nachweispflichten vor. Bei Nichteinhaltung der Vorschriften des NIS-2-Umsetzungs­gesetzes drohen erhebliche Geldbu­ßen zwischen 100.000 und 20 Mio. EUR, teils gekoppelt an den weltweiten Umsatz, sowie weitere Sanktionen.

KRITIS-Dachgesetz

Das KRITIS-Dachgesetz zielt darauf ab, den Schutz von KRITIS-Betreibern vor physischen Angriffen und die Resilienz (Widerstandsfähig­keit) zu verbessern. Betroffen sind Betreiber kritischer Anlagen (KRITIS) in den meisten KRITIS-Sektoren.

Das KRITIS-Dachgesetz sieht eine zentrale Koordination und Zusammenarbeit zwischen verschiedenen Behörden und KRITIS-Betreibern vor, um Sicherheitsmaßnahmen effektiv zu gestalten und umzusetzen. Es werden einheit­liche Sicherheitsstandards festgelegt, die für alle KRITIS-Betreiber gelten. Diese Standards werden kontinuierlich aktualisiert, um den sich wandelnden Bedrohungslagen ge­recht zu werden. Die Aufsicht hierüber führt das Bundesamt für Sicherheit in der Informations­technik (BSI) gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastro­phenhilfe (BBK) sowie teilweise in Zusammenarbeit mit Landesbehörden.

Betreiber kritischer Infrastrukturen müssen gemäß KRITIS-Dachgesetz regelmäßige Risikoanalysen durchführen und ihre Sicher­­heitsmaßnahmen entsprechend anpassen. Betroffene Unternehmen müssen zudem im Rahmen des Business Continuity Managements (BCM) individuelle Notfallpläne entwickeln und regelmäßige Krisen­manage­ment­übungen durchführen, um ihre Reaktionsfähigkeit bei Sicherheitsvorfällen zu gewährleisten.

FAZIT

Das NIS-2-Umsetzungsgesetz und das KRITIS-Dachgesetz stellen wesentliche Schritte zur Verbesserung der Sicherheit und Resilienz kritischer Infrastrukturen in Deutschland dar. Auch für Energieversorgungs­unter­nehmen bedeuten diese Gesetze eine erhebliche Erhöhung der Anforderungen an ihre Sicher­heits­maßnahmen und Meldepflichten. Die hierzu notwendigen Investitionen in Cyber-Sicherheits­lösungen und die Anpassung interner Prozesse werden zusätzliche personelle und finanzielle Ressourcen erfordern, jedoch das Sicherheits­niveau und die Resilienz nachhaltig verbessern und damit einen wesentlichen Beitrag auch zur Sicherung des nachhaltigen Geschäftserfolgs der betroffenen Unter­nehmen leisten.

Gern unterstützen die erfahrenen Berater der CONSULECTRA Sie bei der Umsetzung der neuen und geänderten Anfor­derungen. Wir analysieren dazu die bereits umgesetzten Maßnahmen in Ihrem Unter­nehmen und beraten Sie darauf aufbauend bei der Entwicklung einer individu­ellen Strategie, um fristgerecht die gesetzlich geforderten Maßnahmen zu etablieren. Dabei fokussieren wir uns auf die konkreten An­forderungen und Bedürfnisse Ihres Unter­nehmens, um nicht nur den gesetzlichen Auflagen gerecht zu werden, sondern insbesondere ein angemessenes Niveau an Sicherheit und Resilienz unter Berücksichtigung der Wirtschaftlichkeit zu gewährleisten.