Die Ende 2022 verabschiedete Network-and-Information-Security-Richtlinie 2.0 (NIS2) soll kritische Infrastrukturen besser vor IT-Störungen und Cyberangriffen schützen. In unserer mehrteiligen Blogreihe navigieren wir Sie ab November 2024 durch den Vorschriftendschungel, geben Hinweise zur Verbesserung Ihres IT-Sicherheitsniveaus und machen Sie fit für das NIS2-Umsetzungsgesetz, das voraussichtlich im März 2025 in Kraft treten wird.

‍

Deep Dive NIS2

Teil 1: Übersicht Gesetze EU und D/A/CH, Systematik und Unterschiede

Teil 2: Betroffene Unternehmen in Deutschland (Einrichtungsarten)

Teil 3: Alles rund um KRITIS, Betreiber kritischer Anlagen (KRITIS) und Vorstellung KRITIS-Sektoren

Teil 4: Vorstellung der BSI-Betroffenenprüfung (Schwächen und Grenzen des Self-Assessments)

Teil 5: Der NIS2 Pflichtenkatalog, Überblick

Teil 6: NIS2 Security Mapping, ISO 27001:2022, Bezugnahme auf existierende Zertifizierungen

Teil 7 und 8: Der Pflichtenkatalog - Registrierungs-, Nachweis- und Meldepflichten im Detail

Teil 9: Sanktionen und Bußgelder, Haftung der Geschäftsleitung

‍

Für diejenigen Leser:innen, die sich bislang noch nicht mit der Materie beschäftigt haben, empfehlen wir zur Einführung einen kurzen Blick in unseren Beitrag von April 2024

„Fit für die NIS2-Richtlinie: So stellen Sie Ihr Unternehmen zukunftssicher auf“

NIS2 verpflichtet Unternehmen in wichtigen Sektoren, sich sorgfältig mit dem eigenen Cybersicherheitsmanagement und den Umgang mit IT-Sicherheitsvorfällen auseinanderzusetzen. In Deutschland sind hiervon schätzungsweise bis zu 30.000 Unternehmen betroffen (hiervon ca. 2.000 KRITIS-Unternehmen). Aufsichtsbehörde für sämtliche Belange in Sachen NIS2 wird in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. 

Und jetzt erstmal die gute Nachricht. NIS2 hätte eigentlich bis zum 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden müssen. Aber daraus wird offensichtlich nichts. Schuld war wohl das Sommerloch... Diverse Anhörungen im BMI und die mehrfache Überarbeitung der Referentenentwürfe haben das Gesetzgebungsverfahren zusätzlich verlangsamt. Mit dem Inkrafttreten des NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (NIS2-Umsetzungsgesetz oder NIS2UmsuCG) ist dieses Jahr nicht mehr zu rechnen. Genug Zeit also, um Ihnen die gesamte Vorschriftenlandschaft im Bereich Information Security einmal in aller Ruhe in einem Deep Dive vorzustellen! Bis zum erwarteten Termin im März 2025 sollten wir damit auf jeden Fall durch sein.

Wir starten die Blogreihe im November mit einer Vorstellung der Gesetzessystematik. In Teil 1 navigieren wir Sie durch den gesamten Vorschriftendschungel, erklären die wesentlichen Unterschiede zwischen NIS2 und KRITIS und verschaffen Ihnen einen Überblick über die nationale Gesetzgebung in Deutschland und Österreich mit einem Exkurs zur Frage, inwiefern NIS2 auch im außereuropäischen Raum mittelbare Wirkung entfaltet.

Im zweiten Teil werfen wir einen genauen Blick auf die verschiedenen Kritikalitätsstufen und Arten von Unternehmen, die in Deutschland vom KRITIS-Dachgesetz und dem NIS2UmsuCG betroffen sein werden (Kritische Infrastrukturen, wesentliche Einrichtungen, wichtige Einrichtungen). Leider ist die Prüfung des Anwendungsbereichs von NIS2 relativ komplex, da diese nur in einigen Fällen, aber nicht ausschließlich von bestimmten Größenschwellen für Mitarbeiterzahl und Umsatz abhängig ist. Ihr Unternehmen ist möglicherweise von NIS2 betroffen, sofern es den Sektoren Energie, Transport, Finanzmärkte, Bankwesen, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Trinkwasserversorgung, öffentliche Verwaltung, Lebensmittelproduktion, Post-und Kurierdienste oder Maschinen- und Fahrzeugbau zuzuordnen ist. An dieser Stelle sei schon mal erwähnt, dass für den Finanzsektor und etwaige mit Finanzunternehmen verbundene Drittdienstleister durch die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) weitere Vorschriften zu beachten sind.

Den dritten Teil unserer Blogreihe widmen wir ausschließlich den Betreibern kritischer Infrastrukturen und KRITIS-Sektoren. Wir erläutern die die Schwellenwerte aus der KRITIS-Verordnung zur Identifikation solcher Betreiber (KRITIS-Methodik) und zeigen auf, wo die wesentlichen Unterschiede zu NIS2 zu finden sind.

In Teil 4 stellen wir Ihnen die online verfügbare NIS-2-Betroffenheitsprüfung des BSI vor, mit der Unternehmen selbst feststellen können, ob sie unter die NIS2-Bestimmungen fallen. Wir zeigen Ihnen die Möglichkeiten und Grenzen dieser Selbsteinschätzung und empfehlen Ihnen, bei Unsicherheiten einen Experten hinzuzuziehen. Insbesondere die Zuordnung zu den NIS2 Sektoren sollte mit professioneller Unterstützung erfolgen.

Ab Teil 5 der Blogreihe leiten wir zum Pflichtenkatalog über, der von betroffenen deutschen Unternehmen spätestens ab März 2025 umzusetzen sein wird. Der genaue Gesetzeswortlaut des Umsetzungsgesetzes steht fest, sodass Sie bereits jetzt guten Gewissens mit der Umsetzung der geforderten Maßnahmen beginnen können.

Die Vorstellung des Pflichtenkatalogs beginnt in Teil 6 zunächst mit einem NIS2 Security Mapping mit Bezugnahme auf existierende Zertifizierungen und ISO 27001:2022. Schließlich müssen wir das Rad nicht ständig neu erfinden!

Teil 7 und 8 gehen detailliert auf die Mindeststandards des Pflichtenkatalogs ein, einschließlich der Registrierungs-, Nachweis- und Meldepflichten. Hierbei ziehen wir Parallelen zur DSGVO (Meldepflicht? Das kennen wir doch!) und erklären, wie Sie ggf. bereits in Ihrem Unternehmen vorhandene Strukturen und Prozesse durch die Vorgaben des NIS2-Umsetzungsgesetz sinnvoll ergänzen können.

Wir schließen unseren Deep Dive in Teil 9 mit einem Artikel über die möglichen Sanktionen und Bußgelder ab, die bei Nichterfüllung der neuen Cybersicherheitsanforderungen drohen. Zudem gehen wir im letzten Teil noch einmal auf die im NIS2-Umsetzungsgesetz normierte persönliche Haftung der Geschäftsleitung ein.

Wenn Sie mehr zum Thema NIS2 erfahren wollen, melden Sie sich über unser Kontaktformular. Das CISO-Beratungsteam für IT-Sicherheit steht Ihnen in der Zwischenzeit für alle Fragen zur Verfügung.

‍

Autorin: Johanna Heinrich

Senior Legal Consultant

consulting@ciso-datenschutz.de

+492151 3873740

‍

‍

‍