Die stark zunehmende Cyberkriminalität, gegen die insbesondere auch die Behörden weitgehend machtlos sind, stellt eine der größten Herausforderungen der Gegenwart dar. Auch lebenswichtige Einrichtungen sind aufgrund mangelnder Vorbereitung und vergleichsweise geringer Resilienz stark betroffen. Dies führt zu erheblichen Betriebseinschränkungen, Produktionsstopps wie auch – im Falle der heimtückischen Ransomware-Angriffe – zu hohen Lösegeldzahlungen.

Vor diesem Hintergrund hat der europäische Gesetzgeber die NIS2-Richtlinie erlassen. Diese regelt die Cyber- und Informationssicherheit bestimmter Unternehmen und Institutionen. Hierzu liegt bereits ein komplexer Referentenentwurf zur Umsetzung in Deutschland vor, dessen Verabschiedung eher früher als später zu erwarten ist und damit für Unternehmen endgültig verbindlich wird. Unternehmen sind daher gut beraten, sich rechtzeitig mit diesem neuen IT-Sicherheitsrecht zu befassen. Denn die Verpflichtungen aus der NIS2-Richtlinie und dem deutschen Umsetzungsgesetz werden deutlich mehr Unternehmen betreffen als bisher. Sie sollten daher zunächst prüfen, ob Ihr Unternehmen von der deutschen NIS2-Umsetzung betroffen sein wird. Ist dies der Fall, stellt sich die Frage, wie sich Ihr Unternehmen entsprechend darauf vorbereiten kann. Diese Fragen werden in nachfolgendem Blogbeitrag beantwortet.

A. Wer fällt in die deutsche NIS2-Umsetzung?

Bereits hier zeigt sich die Komplexität der neuen Regelungen, die mehrstufig verweisungslastig arbeiten und auch zu Überschneidungen untereinander kommen. Es soll zukünftig folgende Einteilung geben:

1. Betreiber „Kritischer Anlagen“ = höchste Qualifikationsstufe

Anlagen der Sektoren Energie, Verkehr und Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Digitale Infrastruktur sowie Siedlungsabfallentsorgung. Die Anlagen müssen dabei für das Funktionieren des Gemeinwesens von hoher Bedeutung sein, wofür Qualitäts- und Quantitätskriterien eingeführt werden.

2. besonders wichtige Einrichtungen

Großunternehmen, die den Sektoren Energie, Verkehr und Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B) oder Weltraum zuzuordnen sind.

Mittlere Unternehmen als Anbieter von TK-Diensten oder öffentlich zugänglichen TK-Netzen.

Qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Name-Registries oder DNS-Diensteanbieter unabhängig von ihrer Unternehmensgröße.

3. „lediglich“ wichtige Einrichtungen = niedrigste Qualifikationsstufe

Sehr weit gefasst mit erheblichem Zuwachs betroffener Unternehmen.

Mittlere Unternehmen und Großunternehmen in den Sektoren Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), Weltraum, Logistik, Siedlungsabfall, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Erfasst werden ebenso Vertrauensdiensteanbieter.

B. Welche Pflichten kommen auf die Unternehmen zu?

Die Pflichten definieren sich nach der jeweiligen Einstufung in obige Kategorisierung. Entscheidend ist jedoch, dass auch die niedrigste Einstufung nahezu alle Pflichten zu erfüllen hat, da im Falle kritischer Einrichtungen im Wesentlichen nur die Maßstäbe höher angesetzt werden.

Im Einzelnen sind dies:

1. Eine bußgeldbewährte Registrierungspflicht.

2. Die Einführung eines umfassenden IT-Risikomanagements zur Gewährleistung der IT-Sicherheit. Hier wird folgender Minimalkonsens einzuhalten sein:

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme und zur Bewältigung von Sicherheitsvorfällen,
  • Aufrechterhaltung des Betriebs, wie Back-up-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  • Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

3. Erhebliche Meldepflichten, Rückmeldungen an die Öffentlichkeit.

4. Compliance und Haftung von Geschäftsleitern, womit die Gewährleistung unternehmerischer IT-Sicherheit endgültig zum Thema der Geschäftsleitung wird.

C. Sinnvolles Vorgehen

I.       1. Schritt: Einordnung in die neuen Kategorisierungen

Im ersten Schritt ist eine Einordnung Ihres Unternehmens nach den neuen Kategorisierungen (siehe dazu ausführlich unter A.) vorzunehmen, um daraus abzuleiten, welche konkreten Pflichten durch Ihr Unternehmen einzuhalten sein werden.

II.      2. Schritt: Prüfung Ihrer bisherigen technisch-organisatorischen Maßnahmen und Auseinandersetzung mit weiteren Pflichten aus der deutschen NIS2-Umsetzung  

Geeignete Maßnahmen werden in Bereichen wie Cybersicherheit, Risikomanagement, Incident Management, Lieferkettensicherheit, Netzwerksicherheit und Kryptografie sowie Zugangskontrolle erwartet. Folglich müssen Sie bestehende TOMs Ihres Unternehmens kritisch daraufhin prüfen, ob sie den neuen o. g. Anforderungen gerecht werden und diese ebenso wie die IT-Sicherheitsorganisation bei Bedarf an die gestiegenen Anforderungen anpassen. Zertifizierungen wie ISO 27001 oder BSI-Grundschutz können hierfür eine gute Basis darstellen.

Konkret werden Unternehmen folgende Themenfelder zu bearbeiten haben:

  • Die aufkommende, bußgeldbewehrte Registrierungspflicht.
  • TOMs müssen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse sicherstellen.
  • Unternehmen müssen die Geschäftskontinuität auch bei größeren Cyber- oder Informationssicherheitsvorfällen sicherstellen. Hierzu gehören eingeübte Notfallverfahren und resiliente Aufbauorganisationen.
  • Die Einrichtung von Prozessen zur unmittelbaren Rückmeldung von u. a. Sicherheitsvorfällen an die zuständige Behörde (i. d. R. das BSI).
  • Schulung und Unterrichtung der Geschäftsführung, sodass diese die Risikomanagementmaßnahmen im Bereich der IT-Sicherheit billigen und ihre Umsetzung überwachen kann.

Da die Maßnahmen z. T. noch nicht konkret benannt sind, sollten Unternehmen das Gesetzgebungsverfahren intensiv im Blick behalten und sich ggfs. beraten lassen. Ein Austausch mit anderen vergleichbaren Unternehmen kann hilfreich sein.   

D. Ausblick und Beratung

Die nationale Umsetzung von NIS2 muss bis zum 17.10.2024, der parlamentarische Prozess soll aber bereits bis zum 30.11.2023 abgeschlossen sein. Ein weiterer Zeitplan oder etwaige Fristen für die betroffenen Unternehmen sind zwar noch nicht bekannt, doch es wird von zeitnah umzusetzenden Pflichten auszugehen sein.

Hierbei ist es entscheidend, dass Ihr Unternehmen von Anfang an zielgerichtet die Umsetzung angehen kann.

Gerne erarbeite ich gemeinsam mit Ihnen in Work Shops den Status Quo, lege mit Ihnen die konkreten Schritte fest und begleite deren praxisnahe, rechtssichere Umsetzung. Profitieren Sie dabei von meiner langjährigen praktischen Erfahrung als Rechtsanwalt und IT-Spezialist: Nach über 25 Jahren als Softwareentwickler und IT-Consultant mit Fortbildungen in Cybersicherheit und einem Lehrauftrag an der Hochschule für Polizei Baden-Württemberg zum Thema Cybercrime sind mir sowohl IT-Security als auch die Sprache der Techniker bestens vertraut, sodass ich mit Ihnen unmittelbar und ohne aufwendige „Übersetzungsprozesse“ einsteigen und Sie betreuen kann.

Ich freue mich auf Sie!

planit legal falk müller

Falk W. Müller

Rechtsanwalt

E-Mail: falkw.mueller@planit.legal
Telefon: +49 (0) 40 609 44 190