NIS-2: Die wichtigsten Punkte aus dem deutschen Umsetzungsgesetz

Was ist das NIS-2-Umsetzungsgesetz?

Die NIS-2-Richtlinie (Network and Information Security 2, NIS-2), ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau und einer hohen Cyber-Resilienz in der Europäischen Union . Die Vorschriften der NIS-2 werden in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) in deutsches Recht übertragen. Umgangssprachlich hat sich der Begriff NIS-2-Umsetzungsgesetz durchgesetzt.

Was ist der aktuelle Stand?

Bis zum 28. Mai 2024 hatten die Bundesländer Zeit, eine Stellungnahme zu dem Gesetzesentwurf abzugeben und mögliche Bedenken zu äußern.

Anfang Juni 2024 fanden außerdem eine Anhörung der Länder sowie verschiedener Verbände statt, in denen Anmerkungen und Bedenken zum Gesetzesentwurf geäußert werden konnten.

Die hieraus entstandenen Stellungnahmen und Empfehlungen werden nun geprüft. Es ist zu erwarten, dass weitere Diskussionen über mögliche Änderungen am Gesetzesentwurf folgen werden, um auf die vorgebrachten Anliegen einzugehen, bevor das Gesetz in den Bundestag eingebracht wird.

Wer ist betroffen?

Die NIS-2-Richtlinie gibt vor, dass alle als wichtig oder besonders wichtig eingestuften Einrichtungen zu ihrer Einhaltung verpflichtet sind. Darunter fallen vor allem Unternehmen bestimmter Branchen sowie Unternehmen, die bestimmte Schwellenwerte hinsichtlich ihres Umsatzes und der Anzahl der Mitarbeitenden erreichen. Zusätzlich werden Vorgaben für die Informationssicherheit der Bundesverwaltung gemacht.

Eine pauschale Antwort, welche Unternehmen konkret betroffen sind, lässt sich dabei nicht geben. Eines steht jedoch fest: NIS-2 wird deutlich mehr Unternehmen betreffen als NIS-1 und das IT-Sicherheitsgesetz. Die neue Richtlinie umfasst mehr Sektoren als NIS-1 und geringere Schwellenwerte als das IT-Sicherheitsgesetz und wird auch Unternehmen des Mittelstands betreffen. Dazu kommen noch weitere spezielle Regelungen, die unabhängig von der Größe eines Unternehmens greifen. Es ist also immer eine sorgfältige Einzelfallbetrachtung notwendig, um zu bestimmen, ob ein Unternehmen unter die NIS-2-Richtlinie fällt.

Ein Blick in den Referentenentwurf

Der Referentenentwurf für das NIS-2-Umsetzungsgesetz birgt für alle, die mit der NIS-2-Richtlinie bereits vertraut sind, keine großen Überraschungen: Die Vorgaben aus der europäischen Richtline überträgt er konsequent in deutsches Recht und bringt zusätzlich Klarheit in zahlreiche Aspekte.

Hier ist ein Überblick über die für betroffene Unternehmen wichtigsten und aus Sicht unseres Experten interessantesten Punkte aus dem Referentenentwurf:

Betroffene Unternehmen

1. Betreiber Kritischer Infrastrukturen (KRITIS) gelten automatisch als besonders wichtige Einrichtungen, unabhängig davon, ob sie die in NIS-2 definierte Schwellenwerten erreichen.
   (§28)
   
   
2. Bei der Prüfung, ob ein Unternehmen die Schwellenwerte zur Anzahl der Mitarbeitenden oder der Höhe des Jahresumsatzes erreicht, werden nur die Geschäftsbereiche berücksichtigt, die an der Erbringung der für NIS-2 relevanten Dienstleistung beteiligt sind.
   (§28)
   
   Hinweis: Dies könnte einen Rückschluss auf den Scope der Richtlinie innerhalb des Unternehmens ermöglichen. Aus unserer Sicht ist nach dem derzeitigen Referentenentwurf grundsätzlich das ganze Unternehmen im Scope. Durch die Einschränkung an dieser Stelle ist jedoch gegebenenfalls auch eine Einschränkung des Scopes auf die relevanten Dienstleistungen möglich.
   
   
3. Auch Unternehmen, die unter den Digital Operational Resilience Act (DORA) fallen, können vom NIS-2-Umsetzungsgesetz betroffen sein. Jedoch hat DORA als lex specialis Vorrang über NIS-2. Fällt ein Unternehmen also unter DORA, dann entfallen für dieses Unternehmen relevante Paragraphen des NIS2UmsuCG (§§30-32,§§35-36,§§38-39).
   (§28)

Mehr zu NIS-2 und DORA:
https://www.usd.de/nis-2-und-dora-warum-zwei-eu-rechtsvorschriften/

Maßnahmen

1. Im NIS-2-Umsetzungsgesetz werden Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik verlangt, die sich an europäischen und internationalen Normen orientieren sollen. Dabei werden im aktuellen Entwurf die drei Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit genannt. Das Schutzziel Authentizität entfällt. Aus unserer Sicht dürfte die konkrete Betrachtung dieses Schutzziels damit auch für Betreiber Kritischer Infrastrukturen entfallen.
   
   Die folgenden Maßnahmen müssen laut NIS-2-Umsetzungsgesetz mindestens berücksichtigt werden:
   
   
   • Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
   • Bewältigung von Sicherheitsvorfällen,
   • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
   • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
   • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
   • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
   • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
   • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
   • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
   • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
     (§30)
     
     
2. Das aus dem Kontext Kritischer Infrastrukturen (KRITIS) bekannte Konzept der Branchenspezifischen Sicherheitsstandards (B3S) wird weiterverfolgt und soll auch Anwendung für wichtige und besonders wichtige Einrichtungen finden.
   (§30)
   
   
3. Die bei Betreibern Kritischer Infrastrukturen (KRITIS) bekannte Einschränkung bei der Risikoakzeptanz sowie die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung betrifft weiterhin nur KRITIS-Betreiber. Wichtige und besonders wichtige Einrichtungen sind hiervon nicht betroffen.  
   (§31)
   
   
4. Die Geschäftsleitung ist verpflichtet, das ISMS im Unternehmen zu billigen und seine Umsetzung zu überwachen. Zu diesem Zweck muss die Geschäftsleitung regelmäßige Schulungen im Risikomanagement im Bereich der "Sicherheit in der Informationstechnik" absolvieren.
   (§38)
   
   
5. Die Einrichtung ist im Falle einer Pflichtverletzung durch die Geschäftsleitung verpflichtet, Ersatzansprüche gegenüber der Geschäftsleitung geltend zu machen. Dabei besteht für die Geschäftsleitung weiterhin die Möglichkeit, das Haftungsrisiko durch eine Versicherung zu minimieren.
   (§38)
   

Meldung + Nachweise

1. Besonders wichtige und wichtige Einrichtungen müssen sich innerhalb von 3 Monaten nach Erreichen eines Schwellenwertes beim BSI registrieren und mit dem BSI in Kontakt bleiben. Dies gilt auch für Unternehmen, die unter DORA fallen.
   (§33)
   
   
2. Bei Sicherheitsvorfällen besteht eine Meldepflicht an das BSI innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden mit einer detaillierteren Folgemeldung. Nach spätestens einem Monat muss eine Abschlussmeldung abgegeben werden. Ist der Fall noch nicht abgeschlossen, muss eine Fortschrittsmeldung erfolgen.
   (§32)
   
   
3. Im Fall eines erheblichen Sicherheitsvorfalls kann das BSI Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Sicherheitsvorfall zu unterrichten (z.B. durch eine Veröffentlichung auf der Internetseite).
   (§35)
   
   
4. Betreiber kritischer Anlagen (KRITIS) müssen Nachweise über die Einhaltung der Anforderungen alle drei Jahre erbringen. Der Zeitpunkt der letzten Nachweiserbringung bildet den Start des neuen Drei-Jahres-Zyklus. Das bedeutet beispielsweise: Wer einen Nachweis im Jahr 2023 erbracht hat, muss den nächsten erst im Jahr 2026 erbringen.
   (§39)
   
   
5. Besonders wichtige Einrichtungen müssen Nachweise über die Einhaltung der Anforderungen nach vorheriger Aufforderung durch das BSI erbringen. Diese Aufforderung kann ohne Anlass erfolgen. Hierfür kann ein externes Audit angewiesen werden. Sollte kein externes Audit durchgeführt werden, kann das BSI auch direkt System- und Dokumentennachweise einfordern und auch selbst eine Vorort-Prüfung durchführen.
   (§65)
   
   
6. Wichtige Einrichtungen müssen Nachweise über die Einhaltung der Anforderungen nach vorheriger Aufforderung durch das BSI erbringen. Diese Aufforderung erfolgt nur, wenn es Tatsachen-basierte Hinweise darauf gibt, dass die Einrichtung die Anforderungen nicht erfüllt.
   (§66)

Bußgelder

Bei Nichteinhalten der Vorgaben aus dem NIS-2-Umsetzungsgesetz drohen empfindliche Bußgelder. Je nach Schwere des Verstoßes können diese bis zu 10 Millionen Euro oder 2% des Jahresumsatzes eines Unternehmens betragen.
(§61)

Internationale Konzerne

International tätige Konzerne der nachfolgenden Bereiche müssen nur dann an das BSI berichten, wenn sich ihre Hauptniederlassung in Deutschland befindet. Unabhängig davon müssen sie sich beim BSI registrieren.
(§34 + §64)

1. DNS-Dienstanbieter,
2. Top Level Domain Name Registries,
3. Domain-Name-Registry-Dienstleister,
4. Anbieter von Cloud-Computing-Diensten,
5. Anbieter von Rechenzentrumsdiensten,
6. Betreiber von Content Delivery Networks,
7. Managed Service Provider,
8. Managed Security Service Provider
9. Anbieter von Online-Marktplätzen,
10. Online-Suchmaschinen
11. Plattformen für Dienste sozialer Netzwerke

Alle anderen internationalen Konzerne müssen sich mit den für sie geltenden nationalen Gesetzgebungen vertraut machen.

Ausblick

Nachdem klar ist, dass der neue Referentenentwurf zum NIS-2-Umsetzungsgesetz keine Überraschungen bereithält, gilt es, die Umsetzung der Sicherheitsanforderungen so bald wie möglich zu prüfen und sich bei Bedarf rechtzeitig externe Hilfe zu sichern. Der Zeitdruck für betroffene Unternehmen ist dabei groß, denn spätestens drei Jahre nach Inkrafttreten des NIS-2-Umsetzungsgesetzes können erstmalig Nachweise durch das BSI verlangt werden. Verlieren Sie also keine Zeit und bereiten Sie sich auf den Fall vor, dass Sie Sicherheitsmaßnahmen im Rahmen von NIS-2 nachweisen müssen. Durch regelmäßige Überwachungsaudits durch unabhängige Prüfer können Sie außerdem sicherstellen, dass Sie einer Aufforderung zu Nachweisen jederzeit nachkommen können und hier keine bösen Überraschungen erleben. Eine regelmäßige Auseinandersetzung mit Themen der Informationssicherheit ist aber nicht nur eine gute Vorbereitung auf NIS-2, sondern stärkt das Sicherheitsniveau und damit die Resilienz Ihres Unternehmens insgesamt.

---

Wir beobachten für Sie weiterhin die Umsetzung in das Nis2umsuCG und halten Sie zu relevanten Neuigkeiten auf dem Laufenden.

Haben Sie in der Zwischenzeit Fragen oder benötigen Unterstützung? Kontaktieren Sie uns, unsere Expert*innen sind gerne für Sie da.