Wer ist wie betroffen?
Wer von Nis-2 betroffen ist, haben wir bereits in einem Blogbeitrag zusammengefasst.
NIS-2 der EU: Auswirkungen, Voraussetzungen und Vorbereitungen für Unternehmen
Viel hat sich bezüglich der Betroffenheit im Umsetzungsgesetz zum Entwurf nicht geändert.
Im Entwurf aus dem Jahr 2024 stand, dass zusätzlich zu den nun im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) aufgeführten Kategorien der Betroffenen, die alten KRITIS-Regelungen gelten sollten. Im NIS-2 werden nur die wichtigen und besonders wichtigen Einrichtungen (§ 28 BSIG) ohne weitere Regelungen klar gesetzlich normiert mit konkreten Schwellenwerten. Die separaten KRITIS-Regelungen sind im Gesetz integriert worden und müssen somit nicht separat berücksichtigt werden. Die Pflichten gelten demnach nicht nur für Unternehmen, sondern für alle Einrichtungen, die unter den Anwendungsbereich von NIS-2 fallen und das unabhängig von ihrer Rechtsform.
Betreiber kritischer Anlagen werden anhand der BSI-KritisV ermittelt und sind unabhängig von diesen Kriterien immer auch besonders wichtige Einrichtungen. Kritische Anlagen sind Einrichtungen oder Teile davon, die für das Gemeinwesen von hoher Bedeutung sind, weil ihr Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit verursachen würde, wie z. B. in Energie, Wasser, Ernährung oder IT-Sektor. Die Einrichtungen sind selbst dafür verantwortlich zu prüfen, ob sie unter die NIS-2-Richtlinie und nun unter das BISG fallen und künftig zu den vom BSI beaufsichtigten Einrichtungen zählen. Als erste Orientierung kann die Nutzung der BSI - NIS-2-Betroffenheitsprüfung hilfreich sein. Jedoch kann eine unabhängige fachliche Bewertung zu wesentlich mehr Klarheit und Absicherung beitragen.
Eine durch uns vorgenommene Prüfung bietet Ihnen nicht nur einen fundierten ersten Überblick, sondern ermöglicht zugleich eine vertiefte und präzise Einordnung Ihrer individuellen Situation. Wenn Sie Kontakt mit uns aufnehmen möchten, dann geht dies unkompliziert und schnell über diesen Link: NIS-2 jetzt umsetzen – ISMS an die gesetzlichen Vorgaben anpassen.
Registrierungspflicht nach § 33 BSIG – Für wen gilt sie und was ist zu beachten?
Unternehmen, die als „besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und „Domain-Name-Registry-Diensteanbieter“ eingestuft werden, müssen sich innerhalb von drei Monaten nach ihrer Einstufung beim BSI registrieren (erstmals oder erneut). Dabei sind die Angaben aus § 33 Abs. 1 Nr. 1-5 BSIG zu übermitteln.
Gut zu wissen:
- Das BSI kann die Registrierung auch selbst vornehmen, wenn ein Unternehmen seiner Pflicht nicht nachkommt (§ 33 Abs. 3 BSIG)
- Bei Verdacht auf fehlende Registrierung müssen Unternehmen auf Verlangen Unterlagen und Auskünfte bereitstellen, denn es gilt eine umfassende Mitwirkungspflicht (§33 Abs. 4 BSIG)
- Änderungen der registrierten Informationen müssen sofort, spätestens jedoch binnen zwei Wochen, gemeldet werden (§ 33 Abs. 5)
Besondere Registrierungspflichten nach § 34 BSIG für bestimmte Einrichtungsarten
Zusätzlich existiert eine erweiterte Registrierungspflicht für bestimmte Einrichtungsarten nach § 60 BSIG (z. B. NS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister). Diese muss zusätzlich zu den in § 33 Abs. 1 BSIG genannten Angaben noch die im Folgenden aufgezählten gem. § 34 Abs. 1 Nr. 1-6 BSIG angeben:
- Name der Einrichtungsart gem. Anlage 1
- Anschrift der Hauptniederlassung in der EU
- Aktuelle Kontaktdaten, inkl. Der Daten des Vertreters
- Alle EU-Mitgliedstaaten, in denen Dienste erbracht werden
- Öffentliche IP-Adressbereiche
Mit Ausnahme der IP-Adressbereiche leitet das BSI alle Daten an ENISA weiter (Agentur der Europäischen Union für Cybersicherheit gemäß § 33 Abs. 3 BSIG. Somit sollten alle Unternehmen davon ausgehen, dass ihre Einstufung EU-weit kommuniziert wird.
Die Erstellung eines Kontos ist bereits unter „Mein Unternehmenskonto“ (MUK) möglich, dieses wird für die anschließende Authentifizierung im BSI-Portal benötigt. Im zweiten Schritt erfolgt dann ab Anfang Januar 2026 die Registrierung über das BSI-Portal.
Handlungs- und Vorbereitungsschritte
Wenn die Einschlägigkeit des NIS-2 Umsetzungsgesetzes festgestellt worden ist, sollte die Geschäftsleitung anfangen einen Plan zu erarbeiten. Nach § 38 Abs. 1 BSIG ist sie dafür verantwortlich, dass die Anforderungen aus dem Gesetz umgesetzt werden und Sie diesen Prozess überwacht.
Was können Sie als Einrichtung tun, wenn Sie eines der von NIS-2 betroffenen Unternehmen sind?
1) Festlegen der Verantwortlichkeiten: Suchen, benennen und befähigen Sie innerhalb ihres Unternehmens mindestens zwei Personen, welche eine koordinierende Rolle für die Informationssicherheit übernehmen. Dies ist insbesondere sinnvoll, wenn die Geschäftsleitung Aufgaben delegieren möchte. Damit wird folgendes Ziel verfolgt: Die Sicherstellung einer wirksamen, gesetzeskonformen Informationssicherheitsorganisation gemäß NIS-2, indem eindeutige Verantwortlichkeiten festgelegt werden und qualifizierte Personen die Koordination, Umsetzung und Überwachung aller personellen und organisatorischen Sicherheitsmaßnahmen übernehmen.
2) Eine Bestandsaufnahme der aktuellen Informationssicherheit (IST-Zustand) durchführen:
- Welche Rolle hat die Informationssicherheit bisher gespielt?
- Gibt es bereits implementierte Grundstrukturen der Informationssicherheit in Ihrer Institution?
- Bereits sehr gut aufgestellt?
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt dennoch, gemeinsam mit einem unabhängigen Dritten diesen Eindruck zu bestätigen oder möglichen Handlungsbedarf zu erkennen.
3) Stetiges verbessern der Informationssicherheit: Die NIS-2-Richtlinie fordert die Adressierung der nachfolgend aufgeführten beispielhaften Themen:
- Einführung eines Risikomanagements
- Die Einführung erfolgt dabei in folgenden Schritten: Identifikation, Analyse und Bewertung, Bearbeitung der Maßnahmen, Messung der Wirksamkeit der Umsetzungen und die regelmäßige Prüfung auf Aktualität
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen
- Systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen der IT-Sicherheit
- Schulungen zur Informationssicherheit
- Systematischer Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle
- Verwendung von Lösungen zur Authentifizierung, gesicherte interne und externe Kommunikation
4) Nachweisführung und Reporting: Es ist empfehlenswert alle neuen und bereits vorhandenen Maßnahmen und deren Umsetzung zu dokumentieren. Ebenfalls sollten die KPIs definiert werden, damit mögliche Schwachstellen identifiziert werden können. Die Etablierung eines Auditprogramms inkl. der Nachweise zur Wirksamkeit ermöglicht dem Unternehmen nachzuweisen, dass die umgesetzten technischen und organisatorischen Maßnahmen den Anforderungen der NIS-2 entsprechen. Fortlaufend können dadurch die Maßnahmen überwacht und bei Bedarf verbessert werden. Dadurch erfüllt Ihr Unternehmen nicht nur die gesetzlichen Pflichten, sondern minimiert auch Haftungsrisiken der Geschäftsleitung und stärkt nachhaltig die Cybersicherheit. Über die gesamten Vorgänge sollte die Geschäftsleitung informiert werden.
5) Meldepflicht: Ab dem 06.01.2025 wird das BSI-Portal freigeschaltet, welches unter anderem als Meldestelle für schwerwiegende Sicherheitsvorfälle dient. Bis dahin sollen erhebliche Sicherheitsvorfälle dem BSI über ein Online-Formular gemeldet werden. KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.
Ein „erheblicher Sicherheitsvorfall“ liegt laut dem Gesetzgeber vor, wenn:
- Schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder
- Andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. (§ 2 Nr. 11 BSIG)
Früheste Meldung: Innerhalb von 24 Stunden nach Kenntniserlangung (§ 32 Abs. 1 Nr. 1 BSIG)
- dient als Frühwarnung
- ist bereits bei einem begründeten Verdacht erforderlich
- betrifft insbesondere mögliche rechtswidrige oder böswillige Handlungen
- ist relevant bei möglichen grenzüberschreitenden Auswirkungen
Meldung innerhalb von 72 Stunden (§ 32 Abs. 1 Nr. 2 BSIG)
- Aktualisierung der Informationen der frühen Erstmeldung
- Enthält eine Bewertung des erheblichen Sicherheitsvorfalls
- Umfasst Angaben zum Schweregrad und möglicher Auswirkungen
Folgemeldung/Abschlussmeldung: Spätestens einen Monat nach Meldung (§ 32 Abs. 1 Nr. 4 BSIG)
- Abschlussmeldung, wenn Vorfall beendet ist, andernfalls Folgemeldung
- ausführliche Beschreibung des Sicherheitsvorfalls
- Angaben zum Schweregrad und zu den Auswirkungen
- Angaben zur Art der Bedrohung oder zur zugrunde liegenden Ursache
- Angaben zu den getroffenen und laufenden Abhilfemaßnahmen
Der Meldevorgang ist beendet, wenn der Vorfall vom Unternehmen beseitigt wurde und eine Abschlussmeldung beim BSI abgegeben wurde. Bereits abgegebene Meldungen können nachträglich nicht storniert oder zurückgezogen werden.
Sanktionen
In §65 BSIG befinden sich die Bußgeldvorschriften, um ordnungswidrige Handlungen zu sanktionieren. NIS-2 sieht eine Vielzahl von Ordnungswidrigkeiten vor, die sowohl vorsätzlich als auch fahrlässig begangen werden können. Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes und der Bedeutung der betroffenen Einrichtung. Die erweiterten Sanktionsvorschriften beinhalten neue Bußgeldtatbestände und erhöhte Bußgelder zwischen 100.000 Euro und 10 Mio. Euro, welche teilweise an den weltweiten Umsatz gekoppelt sind (z. B. § 65 Abs. 6, 7 BSIG).
Nach § 65 Abs. 11 BSIG ist geregelt, dass falls bereits eine DS-GVO-Geldbuße gem. § 58 Abs. 2 lit. I DS-GVO verhängt wurde, darf keine weitere Bußgeldmaßnahme für dasselbe Verhalten nach diesem Gesetz verhängt werden.
Wer sollte für das Thema rund um Nis-2 geschult werden?
Nach § 38 Abs. 3 BSIG müssen die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten im Hinblick auf die Erkennung und Bewertung von Risiken zu erlangen und deren Auswirkungen beurteilen zu können. Geschäftsleitung sind gem. § 2 Nr. 13 BSIG natürliche Personen, welche offiziell (durch Satzung, Gesetz oder Gesellschaftsvertrag) dazu bestimmt sind, ein Unternehmen zu führen und nach außen zu vertreten. Darunter können auch z. B. Geschäftsführer oder Vorstände sein. Die Leitungen von Einrichtungen der Bundesverwaltung (§ 29 BSIG) gelten nicht als Geschäftsleitungen im Sinne des Gesetzes. Ziel ist, das Verständnis für Cyberrisiken und das Risikomanagement auf Vorstandsebene zu stärken. Das BSI gibt hierfür eine Mindestdauer von vier Stunden innerhalb von drei Jahren vor, wobei sich der Umfang und die Inhalte nach der individuellen Risikoexposition des Unternehmens richten.
Prokuristen und andere wichtige Personen fallen zwar gesetzlich nicht unter die enge Definition der Geschäftsleitung als solche, sollten aber dennoch mitgeschult werden, damit möglichst viele Personen in dem jeweiligen Unternehmen über ausreichende Kenntnisse bzgl. NIS-2 verfügen. Unternehmensintern kann die Schulungspflicht auf beliebige Personen ausgeweitet werden, die in quasi-äquivalenten Positionen im Unternehmen arbeiten oder den Geschäftsleitungen zuarbeiten.
Fazit
Das NIS-2-Umsetzungsgesetz erhöht das IT-Sicherheitsniveau in der EU deutlich und weitet den Kreis der betroffenen Unternehmen aus. Es verpflichtet Organisationen zu strengeren Sicherheitsmaßnahmen, klaren Verantwortlichkeiten und schnelleren Meldeprozessen bei Sicherheitsvorfällen. Damit ein strukturiertes Vorgehen möglich ist, hilft es den aktuellen Umsetzungsstand zu ermitteln, die möglichen Lücken zu schließen und die erforderlichen Maßnahmen zu ergreifen. Wir unterstützen Sie gerne bei allen notwendigen Schritten, wie einer NIS-2-Gap-Analyse, der Schulung von Geschäftsleitungen und Mitarbeitern, sowie der Durchführung und Umsetzung entsprechender Risikomanagementmaßnahmen.
