NIS2 Umsetzungsgesetz – Handlungsbedarf für betroffene Unternehmen trotz vieler offener Fragen

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​zuletzt aktualisiert am 7. Oktober​​​​ 2024 | Lesedauer ca. 4​ Minuten 

 

Am 17. Oktober 2024 läuft die Frist für den deutschen Gesetzgeber ab, die NIS2 Richtlinie in nationales Recht umzusetzen. Mit Blick auf den aktuellen Stand des Gesetzge­bungs​­​verfahrens dürfte eine fristgerechte Umsetzung nicht mehr gelingen, jedoch liegt seit dem 2. Oktober 2024 der Gesetzentwurf der Bundesregierung vor. Trotz der Verzögerung der Gesetzgebung sollten Unternehmen bereits jetzt handeln und prüfen, welche direkten oder indirekten Folgen sich aus dem deutschen Umsetzungsgesetz für sie ergeben. Der vorliegende Beitrag stellt offene Fragen sowie den anstehenden Handlungsbedarf unter Berücksichtigung des aktuellen Gesetzent­wurfs der Bundesregierung dar.
 

 

Überblick 

Trotz stetig steigender Bedrohungslage weisen öffentliche und private Stellen im Bereich Cybersicherheit teilweise noch erhebliche Defizite auf. Was sich in der Theorie in Statistiken und Berichten widerspiegelt  hat in der Praxis oft schwerwiegende Folgen. In den vergangenen Jahren häufte sich die mediale Berichterstattung über Cyberangriffe auf öffentliche Einrichtungen und Unternehmen aller Branchen und Größen. Auf diese Entwicklung reagierte die EU und brachte verschiedene Regularien zur Stärkung der Resilienz im Bereich Cybersicherheit auf den Weg. Hierzu gehört insbesondere auch die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union („NIS-2“). Hierdurch soll EU-weit die Einhaltung eines hohen Cybersicherheitsniveaus durch öffentliche Stellen und Unternehmen gewährleistet werden. Zur Umsetzung der Richtlinie in nationales Recht haben die Mitgliedstaaten bis zum 17. Oktober 2024 Zeit. In Deutschland liegt seit dem 2. Oktober der Gesetzentwurf der Bundesregierung zum Umsetzungsgesetz vor. Die weitere Zeitplanung des Bundesministeriums des Inneren und für Heimat stellt sich wie folgt darf (Änderungen vorbehalten): 

​Zeitplan Gesetzgebungsverfahren NIS2-Umsetzung
​​​Bundestag 1. Lesung
​​10./11. Oktober 2024
​Ausschüsse, Anhörung
​Beschluss Anhörung: 16. Oktober 2024
Anhörung: 4. November 2024
Abschluss IA: 13. November 2024
​Bundestag 2./3. Lesung
​5./6. Dezember 2024
​Bundesrat 2. Durchgang
​14. Februar 2025
​Inkrafttreten
​​März 2025

Auch bei verspätetem Inkrafttreten sollten sich Unternehmen bereits jetzt mit den Anforderungen beschäftigen, die sich aus den geplanten Neuerungen u.a. des BSIG ergeben. 
 

Betroffenheit und offene Fragen 

Zunächst stellt sich für viele Organisationen die Frage der eigenen Betroffenheit. Auf den ersten Blick mag die Betroffenheitsanalyse anhand der Schwellenwerte und der in den Anlagen zum Entwurf aufgeführten Sektoren trivial erscheinen. Je nach Geschäftstätigkeit sowie Mitarbeiter- oder Umsatzzahlen werden betroffene Einrichtungen als wichtig oder besonders wichtig eingestuft. KRITIS Betreiber, die bereits unter das aktuelle BSIG fallen, finden sich dabei in der Kategorie besonders wichtiger Betreiber wieder. Erst bei genauerer Betrachtung der Sektorenzugehörigkeit und Berechnung der Schwellenwerte („size-cap“) ergeben sich für viele potenziell Betroffene eine Handvoll Folgefragen. Die vom BSI veröffentlichte automatische NIS-2-Betroffenheitsprüfung kann hier bestenfalls bereits eine erste Orientierung bieten. Die konkrete Zuordnung der eigenen Geschäftstätigkeit zu den betroffenen Sektoren nehmen das Tool sowie vergleichbare „NIS2-Checker“ den Nutzern nicht ab. Für die entscheidende Weichenstellung der Betroffenheitsanalyse stehen viele Unternehmen somit weiterhin vor der Herausforderung zu bewerten, inwiefern sie unter die häufig nur schwer greifbaren Definitionen der Anlagen zum Entwurf oder Kategorisierungen der Statistischen Systematik der Wirtschaftszweige fallen. 
  
Zu weiterer Rechtsunsicherheit tragen verschiedene offene Fragen in Bezug auf die Betroffenheitsanalyse bei.
Gemäß des Entwurfs sind für die Berechnung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme jeweils nur die Teile der Einrichtung zu berücksichtigen, die in einen der regulierten Sektoren fallen. Hierdurch soll gewährleistet werden, dass Einrichtungen, die insgesamt zwar die Schwellenwerte überschreiten, hauptsächlich aber nicht in den regulierten Sektoren tätig sind, nicht in unverhältnismäßiger Weise vom Anwendungsbereich erfasst werden. Bereichsübergreifende Tätigkeiten wie beispielsweise Personal, Buchhaltung etc. sind bei der Berechnung anteilig zu berücksichtigen. Unklar bleibt jedoch, wie eine anteilige Berechnung für diese Querschnittsaufgaben zu erfolgen hat. Es wird nicht hinreichend deutlich, welche Tätigkeiten neben den genannten Beispielen zu den Querschnittsaufgaben zu zählen sind. Zudem erfolgt auch keine Konkretisierung der Berechnungsgrundlage. Denkbar ist hier sowohl eine durchschnittliche, sowie eine tatsächliche Betrachtung der Mitarbeiterrelation. 
 
Unabhängig von der konkreten Berechnungsart ist zudem noch nicht abzusehen, inwiefern die Einschränkung des Anwendungsbereichs aufrecht erhalten bleibt. Da eine vergleichbare Begrenzung in der NIS2 Richtlinie selbst nicht vorgesehen ist, unterschreitet der deutsche Entwurf die Umsetzung der Richtlinie und steht in dieser Hinsicht in Konflikt zum höherrangigen EU-Recht. Zum jetzigen Zeitpunkt ist noch nicht abzusehen, wie dieser Konflikt aufgelöst wird. Es kann insofern auch nicht ausgeschlossen werden, dass die Einschränkung im Rahmen einer europarechtskonformen Auslegung und Anwendung des nationalen Gesetzes entfallen muss. 
Angesichts dieser offenen Fragen sollten sich grundsätzlich alle Unternehmen, die in den regulierten Sektoren tätig sind und die Schwellenwerte insgesamt erreichen, mit der Betroffenheit und den neuen Anforderungen auseinandersetzen.
 

Anforderungen an Betroffene 

Mit der NIS2-Gesetzgebung werden betroffene Unternehmen verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Betont werden muss, dass diese Maßnahmen den Stand der Technik einhalten und die einschlägigen europäischen und internationalen Normen berücksichtigen sollen. Die Maßnahmen umfassen dabei mindestens:

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Sicherheit in der Entwicklung, Beschaffung und Wartung
  • Management von Schwachstellen
  • Bewertung der Effektivität von Cybersicherheit und Risiko-Management
  • Schulungen Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Sichere Kommunikation (Sprach, Video- und Text) und sichere Notfallkommunikation 
Hinzu kommen weitere Anforderungen wie z.B. die Implementierung von System zur Angriffserkennung für Kritis-Betreiber. Für bestimmte Sektoren (z.B. Betreiber öffentlicher TK-Netze und TK-Dienste, Energieversorger sowie Finanzdienstleister) gelten weiterhin die Anforderungen der regulierenden Gesetze (z.B. TKG, EnWG, BNetzA-Sicherheitskatalog, DORA).
 

Welche Handlungsbedarfe bestehen konkret?

Stellen Organisationen die eigene Betroffenheit fest, gilt es zunächst den Geltungsbereich zu bestimmen, in dem die oben genannten Maßnahmen implementiert werden müssen. Weiterhin muss sich die Organisation beim BSI (Bundesamt für Sicherheit in der Informationstechnik) fristgerecht registrieren und eine Kontaktstelle benennen. Damit soll sichergestellt werden, dass die Meldepflichten erfüllt werden können. Die Umsetzung der Maßnahmen zur Cybersicherheit müssen dokumentiert und je nach Art der Einrichtung (Betreiber kritischer Anlagen | wichtige oder besonders wichtige Einrichtungen) gegenüber dem BSI nachgewiesen werden. Geschäftsleiter müssen zudem regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen.
 
Wie kann Rödl & Partner Sie unterstützen? Unser NIS2-Ready-Check bewertet Ihre Organisation hinsichtlich der Anforderungen der NIS2-Richtlinie. Wir prüfen, ob Ihre Sicherheitsmaßnahmen den Vorschriften entsprechen und helfen Ihnen, auf die Umsetzung vorbereitet zu sein. Dabei ermitteln wir Quick-Wins für die Steigerung Ihres Sicherheitsniveaus und zeigen Ihnen die Handlungsfelder auf, um eine NIS-2-Compliance zu erreichen.
 


​Fazit 

Mit der Umsetzung der NIS2-Richtlinie in Deutschland wird der Anwendungsbereich der bisherigen Cybersicherheitsanforderungen erheblich ausgeweitet. Sofern die Betroffenheit von den Vorschriften geklärt ist, sollte im Rahmen einer IST-Aufnahme der eigene Status Quo bewertet werden. Im Anschluss kann eine GAP-Analyse aufzeigen, welche Lücken geschlossen werden müssen, um die gesetzlichen Anforderungen zu erfüllen. Die Umsetzung der Cybersicherheitsmaßnahmen sollte dabei nicht bloß als notwendiges Übel zur Einhaltung neuer Compliance Verpflichtungen angesehen werden. Vielmehr spiegeln die Anforderungen sinnvolle und teilweise überfällige Maßnahmen zum Schutz vor der realen Bedrohung durch Cybervorfälle dar.

Aus dem Newsletter

​​​​

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Contact Person Picture

Frederik Kopp

Rechtsanwalt

Senior Associate

+49 521 260748 13

Anfrage senden

Profil

Weitere Informationen

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu