IHK Ratgeber

NIS-2, Kritis: Pflichten für wichtige und besonders wichtige Unternehmen

it_sicherheit_adobestock_song_about_summer

Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt.

Geschätzt bundesweit ca. 30.000 Unternehmen sind davon ab spätestens 18.10.2024 betroffen und müssen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.

Inhalt

Was ist NIS-2 und Kritis?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden" als kritische Infrastruktur (KRITIS-Unternehmen).

Was müssen KRITIS-Betreiber tun?

Unternehmen können anhand ihrer Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten feststellen, ob sie als „KRITIS-Betreiber“ gelten und somit diverse Pflichten erfüllen müssen:

  • eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
  • IT-Störungen oder erhebliche Beeinträchtigungen zu melden,
  • IT-Sicherheit auf dem "Stand der Technik" zu gewährleisten,
  • und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.

Mit der von der EU im Jahr 2023 beschlossenen NIS-2-Richtlinie wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (davon ca. 2.000 KRITIS-Unternehmen).

"NIS" steht hierbei für "Network and Information Security".

EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)

Deutschland muss die NIS-2 Richtlinie bis zum 17.10.2024 umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“.

NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das NIS2UmsuCG ist ein Änderungsgesetz, welches diverse Gesetze ändert.

Mit Stand 19.03.2024 gibt es noch keinen finalen Entwurf. Es liegen mehrere Referententwürfe, sowie ein Diskussionspapier vor.

Zusammen mit der DIHK hat die IHK für München und Oberbayern dazu Stellung genommen:

Das Ziel des Gesetzes, ein hohes gemeinsames Sicherheitsniveau sicherzustellen, unterstützt die DIHK und die IHK für München und Oberbayern ausdrücklich. Das Ziel kann aber nur erreicht werden, wenn die Maßnahmen angemessen sind und den Unternehmen nicht zusätzliche bürokratische Pflichten auferlegt werden. Dies bindet unnötig Kapazitäten, die stattdessen gezielter für Cybersicherheitsmaßnahmen in den Unternehmen genutzt werden könnten.

Zudem sollte das Miteinander von Staat und Wirtschaft, insbesondere der Informationsrückfluss aus den zusätzlichen Meldepflichten einer größeren Anzahl von Unternehmen konkretisiert und gemeinsam an den Bedarfen der Unternehmen ausgerichtet werden.

zurück zur Übersicht

Welche Unternehmen sind vom NIS2UmsuCG betroffen?

Unternehmen werden nicht automatisch informiert, ob sie betroffen sind; sie sind verpflichtet, dies eigenständig zu prüfen.

Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.

Daher: Prüfen Sie, ob Ihr Unternehmen von der NIS-2 Umsetzung betroffen ist.

Ein Unternehmen ist betroffen, wenn es

  • Schwellwerte für die Anzahl Mitarbeiter und Jahresumsatz / Jahresbilanzsumme überschreitet und
  • in einem bestimmten Sektor tätig ist.

Schwellwerte

  • "Besonders wichtig", relevant für Unternehmen in den "Sektoren mit hoher Kritikalität":
    • ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz ODER 43 Millionen Euro Jahresbilanzsumme
    • Betreiber kritischer Anlagen ("KRITIS-Betreiber")
  • "Wichtig", relevant für Unternehmen in "Sonstigen kritischen Sektoren":
    • ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz ODER 10 Millionen Euro Jahresbilanzsumme

Sektoren

In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.

Das NIS2UmsuCG wird diese Systemtik sehr wahrscheinlich in ganz ähnlicher und konkreterer Form übernehmen, allerdings entwickelt sich diese Umsetzung noch.

NIS2UmsuCG hierzu:

  • "wichtige Einrichtungen":
    • Große und Mittlere Unternehmen aus Post / Kurier, Siedlungsabfallentsorgung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
    • Vertrauensdienste
  • "besonders wichtige Einrichtungen":
    • Großunternehmen aus Energie, Transport / Verkehr, Finanzen / Versicherungen, Gesundheit, Wasser / Abwasser, IT und TK, Weltraum
    • Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
    • Anbieter öffentlicher TK-Netze und TK-Dienste
    • Betreiber kritischer Anlagen (KRITIS-Betreiber)

zurück zur Übersicht

Was müssen betroffene Unternehmen tun?

Das NIS2UmsuCG listet erforderliche Maßnahmen unter den Abschnitten ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf.

Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird.

Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.

Folgende Pflichten sind für alle betroffenen Unternehmen relevant:

  • Risikomanagementmaßnahmen
  • Business Continuity Management
  • Meldepflichten
  • Registrierungspflicht
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
  • Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung

Für ‚Betreiber kritischer Anlagen‘ gelten zusätzliche spezifische Anforderungen.

Zusätzlich zu den Gesetzesänderungen des NIS2UmsuCG soll es Rechtsverordnungen geben (siehe §57 "Ermächtigung zum Erlass von Rechtsverordnungen"), für die bisher (Stand 19.03.2024) keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:

  • Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§57 Abs. 4).
  • Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§57 Abs. 1).
  • IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§57 Abs. 2).
  • Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§57).

zurück zur Übersicht

Welche Folgen drohen bei Nichtbeachtung?

Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen.

Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung.

Zudem existiert eine persönliche Haftung der Geschäftsleiter.

zurück zur Übersicht

Webinar am 28.05.2024

regionaler_partner_cybersicher_4fs

Die IHK für München und Oberbayern ist regionaler Partner der Transferstelle Cybersicherheit im Mittelstand

IHK Videos

Veranstaltungen

Weitere Termine für Ihre IT-Sicherheit

IHK Ratgeber

IHK Position

BIHK-Webinarreihe "IT-Sicherheit - Prävention und Notfallhilfe"