Der Bundesrechnungshof fällt ein hartes Urteil über den NIS-2-Gesetzentwurf der Bundesregierung.
Von Wilhelmine Stenglin
Das Kabinett hat diese Woche einen Entwurf für das Kritis-Dachgesetz vorgelegt und das Parlament über das NIS-2 Umsetzungsgesetz debattiert. Kritik gibt es an beiden Entwürfen.
Von Wilhelmine Stenglin
IT-Sicherheitsexperten fordern zunächst die Resilienz der eigenen Systeme zu stärken, bevor über aktive Cyberabwehr nachgedacht wird.
Von Wilhelmine Stenglin
IT security experts are calling for strengthening the resilience of domestic systems first before considering active cyber defense.
Von Wilhelmine Stenglin
Der Lobbyverein Wirtschaftsrat der Union fürchtet um die Sicherheit des Landes, wenn die neuen Cybersicherheitsvorgaben nicht für Staat und Wirtschaft gleichermaßen gelten.
Von Wilhelmine Stenglin
The business lobby association Wirtschaftsrat der Union fears for the country’s security if the new cybersecurity requirements do not apply equally to both the state and the private sector.
Von Wilhelmine Stenglin
Fachpolitiker im Deutschen Bundestag von Opposition und Regierungsparteien wollen, dass die neuen Cybersicherheitsanforderungen für Unternehmen und die Bundesverwaltung gleichermaßen gelten.
Von Wilhelmine Stenglin
Specialized policymakers in the German Bundestag from both opposition and governing parties want the new cybersecurity requirements to apply equally to companies and the federal administration.
Von Wilhelmine Stenglin
Ein neuer Referentenentwurf für das Kritis-Dachgesetz könnte den Verbänden erst in den nächsten Wochen und damit in der Urlaubszeit zugeleitet werden. Das ließe ihnen sehr wenig Zeit, die Anhörung vorzubereiten.
Von Wilhelmine Stenglin, Lisa-Martina Klein
A new draft bill for the KRITIS Framework Act could be sent to the associations in the coming weeks – right in the middle of the holiday period. This would leave them with very little time to prepare for the public consultation.
Von Wilhelmine Stenglin, Lisa-Martina Klein
Die NIS2-Richtlinie, die Nachfolgeregelung der ersten EU-Richtlinie zu Netz- und Informationssicherheit (NIS), soll den hohen Anforderungen begegnen, die durch die zunehmende Digitalisierung und die wachsende Bedrohung durch Cyberangriffe an die Sicherheit kritischer Infrastrukturen in Europa gestellt werden. Lesen Sie hier alles über die zentralen Aspekte der NIS2, ihre Anforderungen und die Umsetzung in Deutschland von der Table.Briefings-Redaktion.
Die
NIS2
-Richtlinie ist ein Rechtsrahmen der Europäischen Union, der die Cybersicherheit von Unternehmen und Organisationen in den Mitgliedstaaten verbessern soll. Sie trat am 27. Dezember 2022 in Kraft und musste bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Ziel der Richtlinie ist es, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken und europaweit einheitliche Sicherheitsstandards zu schaffen.Im Vergleich zur Vorgängerregelung erweitert die
NIS2-Richtlinie
den Anwendungsbereich deutlich. So fallen nun mehr Unternehmen und Branchen unter die Regelungen, und die Anforderungen an Cybersicherheitsmaßnahmen wurden verschärft.
Zu den zentralen Fragen im Zusammenhang mit der
NIS2
-Richtlinie gehört die Bestimmung der betroffenen Einrichtungen. Die Richtlinie differenziert dabei zwischen wesentlichen und wichtigen Einrichtungen.
Wesentliche Einrichtungen: Dazu zählen beispielsweise Betreiber kritischer Infrastrukturen wie Energieversorger, Gesundheitsdienstleister, Finanzinstitutionen und Verkehrsbetriebe.
Wichtige Einrichtungen: Hierunter fallen u. a. Anbieter digitaler Dienstleistungen, Chemieunternehmen, Lebensmittelproduzenten und Unternehmen im Bereich des Abfallmanagements.
Ein entscheidender Punkt ist, dass die Größe eines Unternehmens ausschlaggebend sein kann. Unternehmen, die mehr als 50 Mitarbeiter oder einen Jahresumsatz von über 10 Millionen Euro haben, müssen die
NIS2
und ihre
Anforderungen
umsetzen. Kleinere Unternehmen sind nur dann betroffen, wenn sie in einer kritischen Branche tätig sind. Darüber hinaus rücken Lieferketten und Drittanbieter ebenfalls in den Fokus. Unternehmen müssen sicherstellen, dass auch ihre Dienstleister angemessene Sicherheitsmaßnahmen implementiert haben. Die Bedeutung einer durchgängigen Sicherheitsstrategie entlang der gesamten Wertschöpfungskette wird damit unterstrichen.
Die Anforderungen der
NIS2
-Richtlinie sind umfassend und betreffen verschiedene Bereiche der Cybersicherheit. Zu den zentralen Vorgaben gehören:
Risikomanagement: Unternehmen müssen ein effektives Risikomanagement für IT- und OT-Systeme implementieren. Dazu gehört die Identifizierung potenzieller Schwachstellen sowie die Entwicklung von Strategien zur Risikominderung.
Vorfallmeldung: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung wesentlicher Dienste haben, müssen innerhalb von 24 Stunden gemeldet werden. Ein detaillierter Bericht ist innerhalb von 72 Stunden nachzureichen.
Audits und Überprüfungen: Unternehmen sind verpflichtet, regelmäßige Audits durchzuführen, um die Wirksamkeit ihrer Sicherheitsmaßnahmen zu überprüfen.
Sanktionen: Bei Verstoß gegen die Vorgaben drohen erhebliche Strafen. Die Höhe der Geldbußen kann bis zu 2 % des weltweiten Jahresumsatzes betragen.
Sensibilisierung und Schulung: Unternehmen müssen ihre Mitarbeitenden regelmäßig zu Cybersicherheitsrisiken schulen, um ein hohes Bewusstsein für Sicherheitsfragen zu schaffen.
Berichtspflichten: Neben der Vorfallmeldung müssen Unternehmen jährliche Berichte zu ihren Sicherheitsmaßnahmen und potenziellen Risiken erstellen. Diese Berichte dienen als Grundlage für die Überprüfungen durch die zuständigen Behörden.
Das
NIS2-Umsetzungsgesetz
ist die nationale Umsetzung der EU-Richtlinie in deutsches Recht, ein entsprechender
Referentenentwurf
wurde bereits vorgelegt. Ziel ist es, die Anforderungen der
NIS2
in das deutsche IT-Sicherheitsgesetz zu integrieren und dabei die Besonderheiten des deutschen Marktes zu berücksichtigen. Der Entwurf sieht vor, dass die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Aufsichtsbehörden fungieren. Sie übernehmen die Aufgabe, die Einhaltung der Vorschriften zu überwachen und Unternehmen bei der Umsetzung zu unterstützen. Darüber hinaus soll das Umsetzungsgesetz klare Vorgaben für die Verantwortlichkeiten innerhalb der Unternehmen definieren. So wird beispielsweise erwartet, dass ein Chief Information Security Officer (CISO) benannt wird, der direkt an die Geschäftsleitung berichtet.
Die EU-Mitgliedstaaten waren verpflichtet, die
NIS2-Richtlinie
bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Das Inkrafttreten des
NIS2
-Umsetzungsgesetzes war in
Deutschland
für denselben Zeitraum erwartet worden. Vor diesem Hintergrund sollten sich Unternehmen auf die zu erwartenden Änderungen einstellen und gegebenenfalls zeitnah die nötigen Anpassungen vornehmen. Ein früher Start in die Vorbereitung bietet Vorteile: Unternehmen können frühzeitig Lücken in ihrer Sicherheitsarchitektur identifizieren und gezielt schließen. Dadurch lassen sich nicht nur Compliance-Risiken minimieren, sondern auch die Resilienz gegenüber Cyberbedrohungen steigern.
Die Umsetzung der
NIS2-Anforderungen
stellt viele Unternehmen vor erhebliche Herausforderungen. Dazu gehören:
Komplexität der Anforderungen: Die Vielzahl der Vorgaben erfordert ein umfassendes Verständnis von Cybersicherheit und Risikomanagement.
Ressourcenbedarf: Die Umsetzung der Richtlinie kann erhebliche personelle und finanzielle Ressourcen binden.
Koordination innerhalb der Lieferkette: Unternehmen müssen sicherstellen, dass auch ihre Partner und Zulieferer die Sicherheitsstandards einhalten.
Technologischer Wandel: Die schnelle Entwicklung von Technologien kann es erschweren, Sicherheitsmaßnahmen auf dem neuesten Stand zu halten.
Die
NIS2-Richtlinie
ist von entscheidender Bedeutung für die Stärkung der Cybersicherheit in Europa. Sie erweitert den Anwendungsbereich, verschärft die Anforderungen und legt hohen Wert auf die Zusammenarbeit zwischen Unternehmen und Behörden. Zudem werden verstärkte Maßnahmen zur Risikobewertung und Vorfallserkennung gefordert, um Angriffe frühzeitig zu erkennen und abzuwehren. Für Unternehmen in Deutschland ist es von entscheidender Bedeutung, sich eingehend mit dem
NIS2-Umsetzungsgesetz
auseinanderzusetzen. Dadurch können sie regulatorische Risiken verringern und ihre Resilienz gegenüber Cyberbedrohungen langfristig stärken. Ein vorausschauender Ansatz bei der Umsetzung von Sicherheitsmaßnahmen kann sich langfristig positiv auf den Wettbewerb auswirken und das Vertrauen von Kunden und Partnern stärken.
