Young Female Employee Wearing Glasses Uses Tablet in System Control Center. In the Background Her Co

NIS2Um­suCG – ver­ab­schie­de­ter Re­gie­rungs­ent­wurf im Über­blick

Markus Jegelka

DQS-Ex­per­te & Auditor für In­for­ma­ti­ons­si­cher­heit
Aug. 08 , 2024
# Informationssicherheit und Datenschutz

Der Re­gie­rungs­ent­wurf für das NIS-2-Um­set­zungs- und Cybersicherheitsstärkungsgesetz (NIS2Um­suCG) wurde im Be­ar­bei­tungs­stand 22. Juli 2024 durch die Bun­des­re­gie­rung ver­ab­schie­det. Damit können viele Fragen be­ant­wor­tet werden, die die Be­trei­ber kri­ti­scher In­fra­struk­tu­ren und die be­trof­fe­nen Ein­rich­tun­gen beschäftigen. Wir haben die wich­tigs­ten Neue­run­gen für Sie zusammengefasst. 

Juristisch korrekt ist die An­pas­sung des BSI-Ge­set­zes (BSIG-E) das Kernstück des neuen Ge­setz­ent­wurfs, so dass Juristen die nach­fol­gen­den Re­fe­ren­zen auf § (Pa­ra­gra­fen) im BSIG-E be­zie­hen. Für das Leseverständnis ordnen wir im fol­gen­den Beitrag die § dem NIS2Um­suCG zu.

INHALT

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) im Amtsblatt der Europäischen Union veröffentlicht. Am 16. Januar 2023 trat sie in Kraft. NIS2 stellt die regulatorische Grundlage für die Cybersicherheit und den Schutz von Informationssystemen in Unternehmen und Organisationen dar.

Die NIS-2-Richtlinie als EU-weite Gesetzgebung zur Erhöhung des allgemeinen Niveaus der Cybersicherheit muss bis Oktober 2024 in nationales Recht überführt sein. Juristen, Betroffene, Dienstleister und Cybersicherheits-Experten haben die seit April 2023 mehrfach geleakten und offiziell veröffentlichten Referentenentwürfe kontrovers diskutiert. Wichtige Fragen blieben dabei lange unbeantwortet:

  • Welche Sektoren und Einrichtungen sind betroffen?
  • Ab welcher Unternehmensgröße besteht Betroffenheit?
  • Wie konkret werden die Anforderungen an die technischen und organisatorischen Maßnahmen ausgeprägt sein?
  • Wie steht es um die Bußgelder und die Geschäftsführerhaftung bei Vorfällen?
  • ...

     

NIS2UmsuCG – vorerst das Ende weiterer Anpassungen

Die Bundesregierung hat am 24. Juli 2024 den Regierungsentwurf des NIS2UmsuCG (Stand 22.07.2024) verabschiedet und auf den Weg gebracht. Damit können die oben genannten Fragen nun mit hoher Zuverlässigkeit beantwortet werden.

 

Wer ist vom NIS2UmsuCG betroffen?

Von dem neuen Gesetz sind Unternehmen aus verschiedenen Sektoren der Wirtschaft betroffen:

  • zum einen aus Sektoren "besonders wichtiger" und "wichtiger Einrichtungen":  Energie; Transport und Verkehr; Finanzwesen; Gesundheitswesen; Wasser und Abwasser; Digitale Infrastruktur; Weltraum
  • zum anderen aus Sektoren "wichtiger Einrichtungen": Post- und Kurierdienste; Abfallbewirtschaftung; Produktion, Herstellung und Handel mit chemischen Stoffen; Produktion, Verarbeitung und Vertrieb von Lebensmitteln; verarbeitendes Gewerbe und Herstellung von Waren; Anbieter digitaler Dienste; Forschung

Allerdings sind die in diesen Sektoren tätigen Unternehmen nicht automatisch betroffen.

Je nach konkreter Mitarbeiterzahl und finanziellen Schwellenwerten („size-cap rule“) wird in § 28 NIS2UmsuCG zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen unterschieden:

  • Als besonders wichtige Einrichtungen gelten Unternehmen aus den in Anlage 1 genannten Sektoren mit über 250 Mitarbeitern oder über 50 Mio. Euro Jahresumsatz und Jahresbilanzsumme über 43 Mio. Euro. Ebenfalls mit Sonderregelungen zugeordnet sind qualifizierte Vertrauensdienstanbieter, Top-Level-Domain-Anbieter, DNS-Anbieter, TK-Anbieter sowie Betreiber kritischer Anlagen.
  • Als wichtige Einrichtungen gelten Unternehmen aus den in Anlage 1 und Anlage 2 genannten Sektoren mit über 50 Mitarbeitern oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Jahresbilanzsumme. Vertrauensdienste und TK-Anbieter sind ebenfalls mit Sonderregelungen zugordnet.

Die NIS2 Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet dafür in wenigen Schritten eine erste Orientierung.

information-security-dqs-several blue internet cables connected and one red one dominating

NIS2 und ISO 27001

Kos­ten­freie Web­i­nar­auf­zeich­nung

In unserer Aufzeichnung finden betroffene Unternehmen alles Wesentliche zum Thema ISO 27001 und den zu erwartenden NIS2-Anforderungen:

  • Wesentliche An­forder­un­gen der NIS2-Richt­li­nie
  • Was erwartet mein Un­ter­neh­men?
  • Was muss ich als Ver­ant­wort­li­cher tun?
  • Wie kann ich meine Or­ga­ni­sa­ti­on vor­be­rei­ten?
Jetzt Webinar entdecken

Welche Meldepflichten sind im NIS2UmsuCG festgelegt?

Der § 32 sieht die Einführung eines dreistufigen Meldesystems vor. Betroffene Unternehmen sind im Falle eines erheblichen Sicherheitsvorfalls verpflichtet, ...

  • unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnisnahme, eine frühe Erstmeldung an eine gemeinsame Meldestelle der Bundesämter für Sicherheit in der Informationstechnik (BSI) und für Bevölkerungsschutz und Katastrophenhilfe (BBK) einzureichen.
  • binnen 72 Stunden diese Meldung zu bestätigen oder zu aktualisieren sowie um eine erste Bewertung des Schweregrads und der Auswirkungen zu ergänzen.
  • spätestens einen Monat nach Meldung des Vorfalls eine Abschlussmeldung zu übermitteln, die den Vorfall detailliert erläutert und die Ursachen offenlegt.

Sollte der Sicherheitsvorfall mehr als einen Monat andauern, sind Fortschrittsmeldungen vorzulegen.

RAND­NO­TIZ: Kon­tro­vers dis­ku­tier­te Fest­le­gun­gen im Re­gie­rungs­ent­wurf des NIS2Um­suCG

  • Bei Pflicht­ver­let­zun­gen der Geschäftsleitung in der Um­set­zung des § 30 un­ter­ste­hen die Haftungsansprüche der Ein­rich­tung gemäß § 38 Absatz 2 den an­wend­ba­ren Regeln des Ge­sell­schafts­rechts. Mit dieser Bin­nen­haf­tung der Geschäftsleitung gegenüber der Ein­rich­tung ist gegenüber vor­he­ri­gen Referentenentwürfen die „Unabdingbarkeit von Schadenersatzansprüchen gegen Geschäftsleitungen“ ent­fal­len, die Ein­rich­tun­gen auf Ersatzansprüche gegen die Geschäftsleitung nach einer Pflicht­ver­let­zung ver­pflich­tet hat.
  • Bundesländer beziehungsweise Landes- und Kommunalbehörden sind nicht direkt im neuen Gesetz re­gu­liert. § 28 Absatz 8 nimmt Gebietskörperschaften, aus­ge­nom­men des Bundes, aus der An­wen­dung des NIS2-Referentenentwurfs aus, sofern diese zu dem Zweck er­rich­tet wurden, im öffentlichen Auftrag Leis­tun­gen für Ver­wal­tun­gen zu er­brin­gen. In diesem Fall müssen die Länder durch ver­gleich­ba­re lan­des­recht­li­che Vor­schrif­ten re­gu­lie­ren.

Wie sind die Bußgeldvorschriften gestaltet?

Wer vorsätzlich oder fahrlässig NIS2-Anforderungen zuwiderhandelt oder Maßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift, handelt im Sinne des § 65 ordnungswidrig. Die dort im Einzelnen aufgeführten Ordnungswidrigkeiten sind bußgeldbewehrt. Diese sind nach vergleichbarem Muster wie bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) sanktioniert.

Die Obergrenzen liegen bei besonders wichtigen Einrichtungen bei Geldbußen bis zu 10 Mio. Euro oder bei Einrichtungen mit einem Jahresumsatz von mehr als 500 Mio. Euro bei Geldbußen bis zu 2 Prozent des Jahresumsatzes geahndet werden. Die genannten Ordnungswidrigkeiten werden, ähnlich wie bei der DSGVO, sicher nicht unmittelbar mit Inkrafttreten des Gesetzes geahndet. Wer aber in den Folgejahren nach Inkrafttreten diesem vorsätzlich oder fahrlässig zuwiderhandelt, könnte mit Bußgeldern belegt werden.

Cover sheet for german whitepaper iso 27001 new controls with pdf

Controls im neuen Anhang A

von ISO/IEC 27001/2022

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist. 

Profitieren Sie von Know-how unserer Ex­per­ten. Erfahren Sie in unserem kos­ten­frei­en White­pa­per alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Whitepaper jetzt entdecken

Was müssen bzw. können betroffene Unternehmen tun?

Ob der Regierungsentwurf des NIS2UmsuCG fristgerecht zum 17. Oktober 2024 in nationales recht überführt sein wird, ist fraglich. Nach Verabschiedung des Regierungsentwurfs am 24. Juli 2024 beraten erst der Bundesrat und anschließend der Bundestag in weiteren Durchgängen über den Gesetzentwurf, bevor das Gesetz nach Abschluss des parlamentarischen Gesetzgebungsverfahrens unterzeichnet, verkündet und in Kraft treten kann.

Allfällige Registrierungspflichten bestehen nach § 33 für besonders wichtige Einrichtungen, wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter, die spätestens drei Monate nach Inkrafttreten des neuen Gesetzes verpflichtet sind, nachdem sie erstmals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, sich zu registrieren. Die Registrierungsmöglichkeit wird gemeinsam vom BSI und BBK eingerichtet, was zu beobachten ist.

 

Wie lässt sich NIS2-Rechtskonformität erreichen?

Es gibt nicht den „einen“ Weg! Die Vorgehensweise ist abhängig von der Unternehmensgröße, von verfügbaren Ressourcen und weiteren Erwägungsgründen. Grundsätzlich ist es sinnvoll, sich mit geeigneten Risikomanagementmethoden im Bereich der Cybersicherheit auseinanderzusetzen. Der Querverweis auf den Stand der Technik sowie die europäischen oder internationalen Normen beschreibt ein weiteres Handlungsfeld, mit dem sich betroffene Einrichtungen beschäftigen sollten.

Mit unserer Erfahrung können wir die Aussage bekräftigen, dass die Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 eine belastbare Ausgangsbasis für die wirksame Umsetzung technischer und organisatorischer Maßnahmen nach § 30, Absatz 1 darstellt. 

Zer­ti­fi­zie­rung Ihres In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems nach DIN EN ISO/IEC 27001:2024

Ger­ne be­ant­wor­ten Ihnen unsere Experten Ihre wei­ter­ge­hen­den Fragen zum Aufwand und Ablauf einer entsprechenden Zer­ti­fi­zie­rung. Jetzt Kon­takt auf­neh­men.

NIS2UmsuCG – Fazit

Nach Schätzungen der Europäischen Zentralbank liegen die Kosten für Cyberangriffe weltweit im dreistelligen Milliarden Dollar Bereich pro Jahr, wobei ein signifikanter Anteil davon auf Europa entfällt. Die Cyber-Bedrohungslage ist deutlich verändert und verursacht massive wirtschaftliche Schäden. Mit der weitreichenden Nutzung von Cloud-Diensten befinden sich Organisationen in einen herausfordernden Technologiewandel.

Unter anderem aus diesen Gründen haben Parlament und Rat der Europäischen Union die NIS2-Richtlinie erlassen, um die flächendeckende Cybersicherheit im europäischen Wirtschaftsraum zu regulieren. Ziel der NIS-2-Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union sicherzustellen.

Es gilt, einen umfassenden und nachhaltigen Wirtschaftsschutz zu etablieren, der nicht nur IT-bezogene technische Maßnahmen, sondern auch risikominimierende Pläne in den Bereichen Organisation und Personal umfasst. Die Umsetzung in nationales Recht soll bis zum 17. Oktober 2024 erfolgen.

Der Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verweist im § 30 auf technische und organisatorische Maßnahmen, die eine große inhaltliche Schnittmenge mit der international anerkannten Norm ISO/IEC 27001 haben. Die Einführung und Umsetzung eines Managementsystems für Informationssicherheit nach der bekannten ISO-Norm stellt ohne Frage ein robustes und tragfähiges Fundament dar, um beim Compliance-Nachweis des kommenden Gesetzes zu unterstützen.

questions-answers-dqs-question mark on wooden dice on table

Sie haben Fragen?

Wir sind gerne für Sie da.

Wel­che Vor­aus­set­zun­gen bestehen für eine Zertifizierung nach ISO 27001? Und mit welchem Aufwand müssen Sie rechnen? In­for­mie­ren Sie sich. Un­ver­bind­lich und kos­ten­frei.

Wir freuen uns auf den Kontakt mit Ihnen

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fra­gen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Die DQS übt alle Zertifizierungen kompetent, objektiv, neutral und unparteilich aus. Als Nachweis führen die nationalen Akkreditierungsstellen jährlich zahlreiche Akkreditierungsaudits und Witnessaudits bei der DQS durch. Mehr dazu erfahren Sie in unserer Auditphilosophie.

Vertrauen und Expertise

Unsere Beiträge und Whitepaper werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Markus Jegelka

DQS-Fach­ex­per­te für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS), langjähriger Auditor für die Regelwerke ISO 9001, ISO/IEC 27001 und  IT-Sicherheitskataloge § 11 Abs. 1a/b EnWG mit Prüfverfahrenskompetenz für § 8a (3) BSIG

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Weiterlesen
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

Weiterlesen
Blog
Mixing console in a recording studio with sliders at different heights

Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit

Weiterlesen

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns