NIS2 Umsetzungsgesetz – Handlungsbedarf für betroffene Unternehmen trotz vieler offener Fragen

Im Oktober 2024 läuft die Frist für den deutschen Gesetzgeber ab, die NIS2 Richtlinie in nationales Recht umzusetzen. Mit Blick auf den aktuellen Stand des Gesetzge­bungs​­​verfahrens dürfte eine fristgerechte Umsetzung voraussichtlich nicht mehr gelingen. Dennoch sollten Unternehmen bereits jetzt handeln und prüfen, welche direkten oder indirekten Folgen sich aus dem deutschen Umsetzungsgesetz für sie ergeben. Über die NIS2 Entwicklungen hat Rödl & Partner bereits in der Vergangenheit und zuletzt im Mai berichtet. Der vorliegende Beitrag setzt die Reihe fort und stellt offene Fragen sowie den anstehenden Handlungsbedarf unter Berücksichtigung des aktuellen Regierungsentwurfs dar.

 

 

Trotz stetig steigender Bedrohungslage weisen öffentliche und private Stellen im Bereich Cybersicherheit teilweise noch erhebliche Defizite auf. Was sich in der Theorie in Statistiken und Berichten widerspiegelt  hat in der Praxis oft schwerwiegende Folgen. In den vergangenen Jahren häufte sich die mediale Berichterstattung über Cyberangriffe auf öffentliche Einrichtungen und Unternehmen aller Branchen und Größen. Auf diese Entwicklung reagierte die EU und brachte verschiedene Regularien zur Stärkung der Resilienz im Bereich Cybersicherheit auf den Weg. Hierzu gehört insbesondere auch die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union („NIS-2“). Hierdurch soll EU-weit die Einhaltung eines hohen Cybersicherheitsniveaus durch öffentliche Stellen und Unternehmen gewährleistet werden. Zur Umsetzung der Richtlinie in nationales Recht haben die Mitgliedstaaten bis zum 17. Oktober 2024 Zeit. In Deutschland liegt seit dem 22. Juli ein Regierungsentwurf zum Umsetzungsgesetz vor. Mit einer fristgerechten Umsetzung ist jedoch nicht mehr zu rechnen. Auch bei verspätetem Inkrafttreten sollten sich Unternehmen bereits jetzt mit den Anforderungen beschäftigen, die sich aus den geplanten Neuerungen u.a. des BSIG ergeben. 

 

Zunächst stellt sich für viele Organisationen die Frage der eigenen Betroffenheit. Auf den ersten Blick mag die Betroffenheitsanalyse anhand der Schwellenwerte und der in den Anlagen zum Entwurf aufgeführten Sektoren trivial erscheinen. Je nach Geschäftstätigkeit sowie Mitarbeiter- oder Umsatzzahlen werden betroffene Einrichtungen als wichtig oder besonders wichtig eingestuft. KRITIS Betreiber, die bereits unter das aktuelle BSIG fallen, finden sich dabei in der Kategorie besonders wichtiger Betreiber wieder. Erst bei genauerer Betrachtung der Sektorenzugehörigkeit und Berechnung der Schwellenwerte („size-cap“) ergeben sich für viele potenziell Betroffene eine Handvoll Folgefragen. Die vom BSI veröffentlichte automatische NIS-2-Betroffenheitsprüfung kann hier bestenfalls bereits eine erste Orientierung bieten. Die konkrete Zuordnung der eigenen Geschäftstätigkeit zu den betroffenen Sektoren nehmen das Tool sowie vergleichbare „NIS2-Checker“ den Nutzern nicht ab. Für die entscheidende Weichenstellung der Betroffenheitsanalyse stehen viele Unternehmen somit weiterhin vor der Herausforderung zu bewerten, inwiefern sie unter die häufig nur schwer greifbaren Definitionen der Anlagen zum Entwurf oder Kategorisierungen der Statistischen Systematik der Wirtschaftszweige fallen. 

  

Zu weiterer Rechtsunsicherheit tragen verschiedene offene Fragen in Bezug auf die Betroffenheitsanalyse bei.

Gemäß des Entwurfs sind für die Berechnung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme jeweils nur die Teile der Einrichtung zu berücksichtigen, die in einen der regulierten Sektoren fallen. Hierdurch soll gewährleistet werden, dass Einrichtungen, die insgesamt zwar die Schwellenwerte überschreiten, hauptsächlich aber nicht in den regulierten Sektoren tätig sind, nicht in unverhältnismäßiger Weise vom Anwendungsbereich erfasst werden. Bereichsübergreifende Tätigkeiten wie beispielsweise Personal, Buchhaltung etc. sind bei der Berechnung anteilig zu berücksichtigen. Unklar bleibt jedoch, wie eine anteilige Berechnung für diese Querschnittsaufgaben zu erfolgen hat. Es wird nicht hinreichend deutlich, welche Tätigkeiten neben den genannten Beispielen zu den Querschnittsaufgaben zu zählen sind. Zudem erfolgt auch keine Konkretisierung der Berechnungsgrundlage. Denkbar ist hier sowohl eine durchschnittliche, sowie eine tatsächliche Betrachtung der Mitarbeiterrelation. 

 

Unabhängig von der konkreten Berechnungsart ist zudem noch nicht abzusehen, inwiefern die Einschränkung des Anwendungsbereichs aufrecht erhalten bleibt. Da eine vergleichbare Begrenzung in der NIS2 Richtlinie selbst nicht vorgesehen ist, unterschreitet der deutsche Entwurf die Umsetzung der Richtlinie und steht in dieser Hinsicht in Konflikt zum höherrangigen EU-Recht. Zum jetzigen Zeitpunkt ist noch nicht abzusehen, wie dieser Konflikt aufgelöst wird. Es kann insofern auch nicht ausgeschlossen werden, dass die Einschränkung im Rahmen einer europarechtskonformen Auslegung und Anwendung des nationalen Gesetzes entfallen muss. 

Angesichts dieser offenen Fragen sollten sich grundsätzlich alle Unternehmen, die in den regulierten Sektoren tätig sind und die Schwellenwerte insgesamt erreichen, mit der Betroffenheit und den neuen Anforderungen auseinandersetzen.

 

Mit der NIS2-Gesetzgebung werden betroffene Unternehmen verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Betont werden muss, dass diese Maßnahmen den Stand der Technik einhalten und die einschlägigen europäischen und internationalen Normen berücksichtigen sollen. Die Maßnahmen umfassen dabei mindestens:

Hinzu kommen weitere Anforderungen wie z.B. die Implementierung von System zur Angriffserkennung für Kritis-Betreiber. Für bestimmte Sektoren (z.B. Betreiber öffentlicher TK-Netze und TK-Dienste, Energieversorger sowie Finanzdienstleister) gelten weiterhin die Anforderungen der regulierenden Gesetze (z.B. TKG, EnWG, BNetzA-Sicherheitskatalog, DORA).

 

Stellen Organisationen die eigene Betroffenheit fest, gilt es zunächst den Geltungsbereich zu bestimmen, in dem die oben genannten Maßnahmen implementiert werden müssen. Weiterhin muss sich die Organisation beim BSI (Bundesamt für Sicherheit in der Informationstechnik) fristgerecht registrieren und eine Kontaktstelle benennen. Damit soll sichergestellt werden, dass die Meldepflichten erfüllt werden können. Die Umsetzung der Maßnahmen zur Cybersicherheit müssen dokumentiert und je nach Art der Einrichtung (Betreiber kritischer Anlagen | wichtige oder besonders wichtige Einrichtungen) gegenüber dem BSI nachgewiesen werden. Geschäftsleiter müssen zudem regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen.

 

Wie kann Rödl & Partner Sie unterstützen? Unser NIS2-Ready-Check bewertet Ihre Organisation hinsichtlich der Anforderungen der NIS2-Richtlinie. Wir prüfen, ob Ihre Sicherheitsmaßnahmen den Vorschriften entsprechen und helfen Ihnen, auf die Umsetzung vorbereitet zu sein. Dabei ermitteln wir Quick-Wins für die Steigerung Ihres Sicherheitsniveaus und zeigen Ihnen die Handlungsfelder auf, um eine NIS-2-Compliance zu erreichen.

 

Mit der Umsetzung der NIS2-Richtlinie in Deutschland wird der Anwendungsbereich der bisherigen Cybersicherheitsanforderungen erheblich ausgeweitet. Sofern die Betroffenheit von den Vorschriften geklärt ist, sollte im Rahmen einer IST-Aufnahme der eigene Status Quo bewertet werden. Im Anschluss kann eine GAP-Analyse aufzeigen, welche Lücken geschlossen werden müssen, um die gesetzlichen Anforderungen zu erfüllen. Die Umsetzung der Cybersicherheitsmaßnahmen sollte dabei nicht bloß als notwendiges Übel zur Einhaltung neuer Compliance Verpflichtungen angesehen werden. Vielmehr spiegeln die Anforderungen sinnvolle und teilweise überfällige Maßnahmen zum Schutz vor der realen Bedrohung durch Cybervorfälle dar.

Im Rahmen unserer NIS2-Roadshow geben Falk Hofmann und Frederik Kopp einen Überblick über die neuen Bestimmungen und stehen für Fragen sowie einen Austausch gerne zur Verfügung. Terminübersicht und (kostenlose) Anmeldung finden Sie auf unserer » Eventseite​.