Hände von Mann mit Handy mit Sicherheitsmodul vor Bildschirm

Ratgeber

NIS-2 und Kritis: Pflichten für wichtige und besonders wichtige Unternehmen

Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt.

Geschätzt bundesweit ca. 30.000 Unternehmen sind davon ab spätestens 18.10.2024 betroffen und müssen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.

Inhalt

Aktueller Stand, 24.07.2024: Bundeskabinett hat beschlossen

Am 24.07.2024 beschloss das Bundeskabinett das " NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz"

Im nächsten Schritt wird der Gesetzentwurf dem Bundestag zur Beratung vorgelegt: Informationen zum aktuellen Stand bis zur Verkündung und Gültigkeit finden Sie hier.

Dort finden sie auch die Stellungnahme der Deutsche Industrie- und Handelskammer, an der die IHK für München und Oberbayern mitwirkte.

Eine Forderung der IHK-Organisation wurde erfüllt: Mit der " NIS-2-Betroffenheitsprüfung" bietet das BSI "das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird" an.

zurück zur Übersicht

Was ist NIS-2?

Besonders relevant ist die IT-Sicherheit für Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung

  • nachhaltig wirkende Versorgungsengpässe,
  • erhebliche Störungen der öffentlichen Sicherheit
  • oder andere dramatische Folgen eintreten würden.

Durch das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) werden betroffene Einrichtungen in die Pflicht genommen und mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Stelle dafür definiert. "NIS" steht dabei für "Network and Information Security".

Bisher wurden ca. 2.000 Unternehmen als „KRITIS-Betreiber“ eingestuft, was sich aus der Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten ergab.

2023 beschloss die EU die NIS-2-Richtlinie, welche bis zum 17.10.2024 von Deutschland umgesetzt werden muss: EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)

Dadurch wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (inkl. der ca. 2.000 KRITIS-Unternehmen).

zurück zur Übersicht

NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das NIS2UmsuCG ist ein Änderungsgesetz, welches diverse Gesetze ändert.

Mit Stand 24.07.2024 gibt es einen vom Bundeskabinett beschlossenen Regierungsenentwurf.

Zusammen mit der DIHK hat die IHK für München und Oberbayern zur NIS-2 Umsetzung 2023 und 2024 Stellung genommen.

Das Ziel des Gesetzes, ein hohes gemeinsames Sicherheitsniveau sicherzustellen, unterstützt die DIHK und die IHK für München und Oberbayern ausdrücklich. Das Ziel kann aber nur erreicht werden, wenn

  • die Maßnahmen angemessen sind
  • und den Unternehmen nicht zusätzliche bürokratische Pflichten auferlegt werden.

Es dürfen nicht unnötig Kapazitäten gebunden werden, die stattdessen gezielter für Cybersicherheitsmaßnahmen in den Unternehmen genutzt werden könnten.

Zudem sollte das Miteinander von Staat und Wirtschaft, insbesondere der Informationsrückfluss aus den zusätzlichen Meldepflichten einer größeren Anzahl von Unternehmen konkretisiert und gemeinsam an den Bedarfen der Unternehmen ausgerichtet werden.

zurück zur Übersicht

Welche Unternehmen sind vom NIS2UmsuCG betroffen?

Ob Unternehmen gemäß §28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.

Prüfen Sie, ob Ihr Unternehmen von der NIS-2 Umsetzung betroffen ist!

Dazu stellt das BSI eine " NIS-2 Betroffenheitsprüfung" bereit. Kriterien sind

Hinzu kommen spezielle IT-Einrichtungen wie beispielsweise qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter. Gegebenenfalls kann das BSI auch eine Betroffenheit anordnen.

zurück zur Übersicht

Was müssen betroffene Unternehmen tun?

Wird eine Betroffenheit festgestellt, bestehen diverse Pflichten, die insbesondere von der Einstufung ("wichtig" oder "besonders wichtig") abhängen. Daher ist es essentiell, das NIS2UmsuCG sorgfältig zu studieren.

Zahlreiche Fragen zu NIS-2 beantwortet das BSI in einem FAQ-Katalog.

Folgende Pflichten sind für betroffenen Unternehmen ggf. relevant:

  • Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
    Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
  • Meldepflichten (§32)
  • Registrierungspflicht (§33, §34)
  • Unterrichtungspflichten (§35)
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)

Für ‚Betreiber kritischer Anlagen‘ gelten zusätzliche spezifische Anforderungen.

Zusätzlich zu den Gesetzesänderungen des NIS2UmsuCG soll es Rechtsverordnungen geben (siehe §56 "Ermächtigung zum Erlass von Rechtsverordnungen"), für die bisher (Stand 24.07.2024) keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:

  • Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§56 Abs. 1).
  • IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§56 Abs. 2).
  • Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§56 Abs.3).
  • Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§56 Abs. 4).

Seitens der EU gibt es hierzu den Entwurf einer " Durchführungsverordnung Cybersicherheitsrisikomanagement und Berichtspflichten für digitale Infrastrukturen, Anbieter und IKT-Servicemanager", da "einige Betreiber aus den digitalen Sektoren grenzüberschreitend tätig sind".

zurück zur Übersicht

Welche Folgen drohen bei Nichtbeachtung?

  • Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen (§65).
  • Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung.
  • Zudem existiert eine persönliche Haftung der Geschäftsleiter (§38, §61).

zurück zur Übersicht

Aufsichts- und Durchsetzungsmaßnahmen

§61 regelt die "Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen", §62 regelt die "Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen":

  • §61 (3): "Das Bundesamt kann auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfüllung einzelner oder aller der in Absatz 1 genannten Verpflichtungen anordnen."
  • Unabhängig davon kann aber das Bundesamt Maßnahmen anordnen, insbesondere wenn Gefahr im Verzug ist (§61 (6)).

Fristen für die Registrierungspflicht § 33

§33 regelt die "Registrierungspflicht", für bestimmte Einrichtungsarten gelten "Besondere Registrierungspflichten" (§ 34):

  • §33 (1): "Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der genannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit Angaben zu übermitteln."
  • Achtung, §33 (3): "Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einvernehmen mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird."

zurück zur Übersicht

Die IHK für München und Oberbayern ist regionaler Partner der Transferstelle Cybersicherheit im Mittelstand

regionaler_partner_cybersicher_4fs

IHK Videos

Cyber-Angriff auf einen bayerischen Mittelständler im Gesundheitswesen (YouTube)
IT-Notfall: Wie vorbereiten? Was tun im Ernstfall? (YouTube)
IT-Sicherheit im Homeoffice- sicher zu Hause arbeiten (YouTube)
Cybercrime - Phänomene, Szenarien & Schutzmöglichkeiten (YouTube)

IHK Ratgeber

Datenschutz im Unternehmen

IHK Position

IT-Sicherheit für Unternehmen - Grundlage der Digitalisierung

BIHK-Webinarreihe "IT-Sicherheit - Prävention und Notfallhilfe"

Hier finden Sie alle Termine der Webinarreihe

IHK Newsletter

Anmeldung zum IHK Digitalisierungs-Newsletter