Startseite > Security > Daueraufgabe IT-Sicherheit

NIS-2-Richtlinie

Daueraufgabe IT-Sicherheit

7. März 2024, 11:30 Uhr | Diana Künstler

Mit der seit Anfang 2023 geltenden NIS-2-Richtlinie wurden Mindestanforderungen an die Cybersicherheit für Einrichtungen innerhalb der EU festgelegt und vereinheitlicht.

Die Frist zur nationalen Umsetzung der NIS-2-Richtlinie läuft am 17. Oktober 2024 ab. Nun gab es in den letzten Wochen erste Hinweise darauf, dass sich das deutsche Gesetzgebungsverfahren verzögern könnte. Was bedeutet das für Unternehmen?

Die NIS-2-Richtlinie (EU 2022/2555)¹ ist seit dem 16. Januar 2023 in Kraft. Die Mitgliedstaaten der EU sind seitdem angehalten, diesen Mindeststandard verbindlich in jeweils nationales Recht umzusetzen. In Deutschland erfolgt dies mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)², das als sogenanntes Änderungsgesetz das bestehende Gesetz ändert – primär die KRITIS-Teile des BSI-Gesetzes. Neben NIS-2 wird zudem das KRITIS-Dachgesetz³ kritische Betreiber regulieren. Die NIS2-Umsetzung wird voraussichtlich etwa 30.000 Unternehmen in Deutschland betreffen. Umsetzungsfrist für die Richtlinie ist der 17. Oktober 2024. Für deutsche Unternehmen gilt somit ab dem 18. Oktober Anwendungspflicht.

Derzeit liegt das NIS-2-Umsetzungsgesetz als Referentenentwurf vor und muss bis Oktober die Gesetzgebung auf Bundesebene durchlaufen. Konkret gestaltete sich die Entwicklung des Entwurfs bis heute wie folgt: Der erste öffentliche Referentenentwurf wurde im April 2023 vorgelegt. Der zweite Entwurf stammt vom Juli 2023. Im September 2023 wurde dann vom Innenministerium ein Diskussionspapier zum Dialog mit der Wirtschaft veröffentlicht, gewissermaßen der inoffizielle dritte Entwurf des NIS-2-Umsetzungsgesetzes. Im Oktober 2023 gab es schließlich ein Werkstattgespräch des BMI⁴, das viele Änderungen von Entwurf Nummer 3 bestätigte. Ein vierter Referentenentwurf der NIS-2-Umsetzung sollte eigentlich Anfang 2024 veröffentlicht werden, was jedoch nicht geschah.

Nun werden immer mehr Stimmen laut, dass Deutschland voraussichtlich die Frist für das NIS-2-Umsetzungsgesetz nicht einhalten werde. Demnach bestünde laut Kenntnisstand von Karsten U. Bartels, Rechtsanwalt bei HK2 Rechtsanwälte und Vorstand beim Bundesverband IT-Sicherheit e. V. (TeleTrusT)⁵, eine ernste Gefahr, dass man die Frist um voraussichtlich zwei Monate reißen werde.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Warum die Verzögerung?

Grund für die Nichteinhaltung der Frist sei Bartels zufolge, dass man sich im Rahmen der Ressortabstimmung, also in der Abstimmung unter den Bundesministerien zur NIS-2, nicht einig geworden ist. Konkret hätten drei Bundesministerien einen sogenannten Versendewiderspruch eingelegt: Einer beruht unter anderem auf der Frage, wie man die Umsetzung finanziere. Der zweite betrifft fachspezifische Anforderungen eines Ressorts, die noch geklärt werden müssten, die aber so Bartels „wohl auch so aussehen, als würde man sie schnell ausräumen können“. Laut Angaben von Hersteller Securepoint vom 4. März handelt es sich dabei um die Ausgestaltung des in dem NIS-2-Umsetzungsgesetz skizzierten Schwachstellenmanagements. Der dritte Punkt für die Blockade geht auf das Bundesministerium der Justiz zurück. Diskutiert wird hier die Frage zur künftigen Verfasstheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI)⁶. Dabei geht es um den Punkt der Unabhängigkeit des Bundesamts. Die Koalition hatte sich im Koalitionsvertrag dazu Einiges vorgenommen, und zwar das BSI zukünftig ein Stück weit mehr vom zuständigen Bundesministerium, also dem BMI, zu lösen. Nach Bartels‘ Verständnis sei man sich da schlicht nicht einig, ob und wie man das in diesem Gesetzesentwurf schon berücksichtigt. Insofern gibt es an dieser Stelle einen Streitpunkt, der mit der Umsetzung der NIS-2-Richtlinie im engeren Sinne nichts zu tun hat. Vielmehr handele es sich um ein „politisches Gerangel“, so Bartels. „Ich kann beide Seiten verstehen. Weil, wenn es im Koalitionsvertrag vereinbart ist, dann soll es natürlich auch umgesetzt werden“, führt der Rechtsanwalt weiter aus. Gleichzeitig dürfe es aus seiner Sicht nicht zulasten der Unternehmen gehen. „Nämlich genau dann, wenn das finale Gesetz deutlich zu spät kommt und eben auch erst kommt, wenn die Umsetzungsfrist schon abgelaufen ist.“ Schließlich müssen die adressierten Unternehmen die Umsetzung ab dem 18. Oktober 2024 vor Ort vollzogen haben.

Auch Securepoint-Geschäftsführer René Hofmann moniert die Verzögerungen besonders vor dem Hintergrund, dass seit Einführung der Richtlinie 14 Monate vergangen sind – für ihn in der schnelllebigen ITK-Branche eine Ewigkeit. „Wir können es uns als Gesellschaft nicht leisten, NIS-2 verspätet einzuführen. Der deutsche Gesetzgeber muss endlich für Klarheit sorgen. […] Für alle, die unter den Anwendungsbereich von NIS-2 fallen und fallen könnten, ist es höchste Zeit, sich damit konkret und auf verlässlicher gesetzlicher Basis auseinandersetzen zu können. Diese Verlässlichkeit ist umso wichtiger, da im Zuge der NIS-2-Umsetzung auf viele Unternehmen zusätzliche Kosten zukommen werden.“ Demnach werden Einrichtungen, die nun erstmalig von der Richtlinie erfasst sind, mit einer Erhöhung ihres Cybersicherheitsbudgets um circa 22 Prozent rechnen müssen. Das geht aus dem Impact-Assessment der Europäischen Kommission zur NIS-2-Richtlinie hervor. Unternehmen, die hingegen bereits im Rahmen der Vorgängerregelung (NIS-1) entsprechende Maßnahmen ergriffen haben, erwarten zusätzliche Kosten von rund zwölf Prozent. Die gesamten Kosten für die NIS-2-Umsetzung in Deutschland werden auf mindestens 1,4 Milliarden Euro geschätzt. Werden die jährlichen Aufwendungen zusätzlich addiert, ergeben sich zusammen mindestens 1,65 Milliarden Euro.

Orientierungshilfe

Doch woran sollen sich Unternehmen nun genau orientieren, solange das NIS-2-Umsetzungsgesetz noch nicht steht? Die Experten empfehlen einhellig, sich die NIS-2-Richtlinie selbst anzuschauen. „Dort steht alles explizit drin, was umzusetzen ist, wie es umzusetzen ist, wer es umzusetzen hat“, sagt Tobias Mielke, Fachexperte für Managementsysteme sowie technischer Gutachter und Auditor bei der TÜV Informationstechnik. Rechtsanwalt Karsten U. Bartels rät zudem, auch die letzten beiden Entwürfe herzunehmen. Würde man diese drei Dokumente zugrunde legen – also NIS-2-Richtlinie, Diskussionspapier und 2. Referentenentwurf –, habe man den möglichst aktuellen Stand. Damit alle Beteiligten sich zumindest sauber und ohne allzu viel Spekulationen darauf vorbereiten könnten, hat Bartels zudem das BMI gebeten, den aktuellen Referentenentwurf zu veröffentlichen. Doch ob man der Bitte entsprechen wird, kann der TeleTrusT-Vorstand nicht sagen. Wer sich nicht sicher ist, ob sein Unternehmen unter die NIS-2-Richtlinie fällt oder nicht, dem empfiehlt Bartels einen Blick in §28 BSIG-Entwurf zu werfen. „Daraus geht relativ klar hervor, wie die Struktur und wie das Gesetz anlegt ist. Es wird unterschieden zwischen wichtigen und besonders wichtigen Einrichtungen und wie dann die Betreiber kritischer Anlagen unter die besonders wichtigen Einrichtungen fallen“, führt er weiter aus.

Sicherlich auch ein Grund dafür, warum so viel Unsicherheit in dem Zusammengang herrscht, ist der, dass NIS-2 viele Unternehmen nur indirekt tangiert. So heißt es entsprechend §28, dass die unter NIS-2 verpflichteten Unternehmen die „Sicherheit der Lieferkette“ gewährleisten müssen. Verpflichtete Unternehmen werden ihre Cybersicherheitsverpflichtungen demnach regelmäßig an Dienstleister und Zulieferer weitergeben müssen. Ein einfaches Beispiel ist an dieser Stelle die Meldepflicht, wie Stephan Schmidt, Fachanwalt für IT-Recht und Gründungspartner von TCI Rechtsanwälte, weiter ausführt: „Ich habe als Unternehmen bei einem Sicherheitsvorfall einer bestimmten Schwere eine Meldepflicht gegenüber dem BSI innerhalb von 24 Stunden. Wenn ich aber in meinen Verträgen nicht sichergestellt habe, dass mir meine Dienstleister, die vielleicht relevant sind für diesen Sicherheitsvorfall, mir auch innerhalb von 24 Stunden antworten müssen, habe ich unter Umständen Probleme, meine Meldepflichten zu erfüllen.“ Relevant bedeutet an dieser Stelle nicht, dass die Dienstleister Verursacher sind, aber gegebenenfalls braucht man deren Mitwirkung, weil sie einen Teil der Infrastruktur betreiben oder zumindest supporten. Darüber hinaus gibt es Schmidt zufolge auch andere Beispiele. „Es gibt ausdrückliche Vorschriften, wo wir noch auf Rechtsverordnungen warten müssen, was zum Beispiel zertifizierte Hardware und Software angeht“, erklärt er. „Da muss ich als von der NIS-2 erfasstes Unternehmen diese zertifizierten Produkte in bestimmten KRITIS-Bereichen einsetzen. Und dann ist es ganz klar, dass das natürlich auf den Lieferanten dieses Produkts durchschlägt.“

Eine weitere Hilfestellung, insbesondere in Bezug auf die Umsetzung der geforderten Maßnahmen (§30 BSIG-Entwurf), liefert die ISO 27001⁷. Sie weist inhaltlich viele Parallelen zur NIS-2 auf. Wer also bis heute bei der IT-Sicherheit nur minimale Vorkehrungen getroffen hat, sollte sich gegebenenfalls daran orientieren. Speziell in den Security Controls in ISO 27001 Anhang A sind konkrete Maßnahmen aufgeführt, die dabei helfen, die sicherheitsrelevanten Vorgaben zu erfüllen. Unbestätigten Schätzungen zufolge würden Unternehmen mit einer Zertifizierung nach ISO 27001 bereits etwa 70 Prozent der NIS2-Anforderungen abdecken können.

„Natürlich lautet das Ziel ‚sehr gute IT-Sicherheit‘“, bringt Karsten U. Bartels im Gespräch mit connect professional in diesem Zusammenhang an. „Wenn es aber um die Umsetzung der Gesetze aus Sicht eines Unternehmens geht, kann man natürlich auch nur an der unteren Kante dessen bleiben, was gefordert ist.“ Das sei Bartels zufolge kein Aufruf, es so zu machen. „Aber es ist eine zulässige Herangehensweise.“

Kostenloser NIS-2-Webinartag am 14. März
Da der Informationsbedarf zum Thema groß ist, geht die connect professional Webinar-Reihe zur NIS-2-Richtlinie mittlerweile in die zweite Runde. Die Fortesetzung klärt unter anderem darüber auf, welche Unternehmen von der EU-Richtlinie betroffen sind und wie zeitnah Lösungsansätze gefunden werden können. Diesen und anderen Fragen geht connect professional gemeinsam mit Vertretern von DriveLock, Delinea, Ivanti, Enginsight, PwC Deutschland, HK2 Rechtsanwälte und TeleTrusT auf den Grund. Auch Karsten U. Bartels wird zum Thema sprechen und über die Umsetzung der NIS-2-Richtlinie in deutsches Recht informieren. Hintergründe zum Programm, den Rednern sowie die Möglichkeit zur Anmeldung zur kostenlosen Webinarreihe erhalten Sie hier.

Kostenloser NIS-2-Webinartag am 14. März

Da der Informationsbedarf zum Thema groß ist, geht die connect professional Webinar-Reihe zur NIS-2-Richtlinie mittlerweile in die zweite Runde. Die Fortesetzung klärt unter anderem darüber auf, welche Unternehmen von der EU-Richtlinie betroffen sind und wie zeitnah Lösungsansätze gefunden werden können. Diesen und anderen Fragen geht connect professional gemeinsam mit Vertretern von DriveLock, Delinea, Ivanti, Enginsight, PwC Deutschland, HK2 Rechtsanwälte und TeleTrusT auf den Grund. Auch Karsten U. Bartels wird zum Thema sprechen und über die Umsetzung der NIS-2-Richtlinie in deutsches Recht informieren.

Hintergründe zum Programm, den Rednern sowie die Möglichkeit zur Anmeldung zur kostenlosen Webinarreihe erhalten Sie hier.

Warten ist keine Option

In der Tat ist es aber so – und da herrscht unter allen Experten in dem Feld Konsens –, dass Unternehmen in Bezug auf technische und organisatorische Maßnahmen zur IT-Sicherheit nicht auf das NIS2UmsuCG warten müssen. Ganz im Gegenteil: Es gibt keinen Grund, auf den Gesetzgeber zu warten. „Die Unternehmen sollten das eigentlich auch schon alles umgesetzt haben“, gibt Tobias Mielke zu bedenken. Denn so dem TÜVIT-Experten zufolge: „Sicherheit geht uns alle an, weil wir alle mit Daten und Informationen hantieren – sei es von Kunden, sei es von Mitarbeitern, seien es eigene Geschäftsgeheimnisse, die hier geschützt werden müssen.“ Die Sensibilisierung hätte schon längst erfolgen müssen. Insbesondere vor dem Hintergrund, wenn man sich Artikel 20 der Richtlinie ansieht. Demnach dürfen zumindest im deutschen Umsetzungsgesetz Unternehmen nicht auf auf Ansprüche gegen die Geschäftsleitung verzichten. Das heißt, wenn ein Unternehmen mit einem Bußgeld in dieser Höhe belegt wird, muss es unter Umständen aufgrund der gesetzlichen Vorgabe versuchen, sich dieses Bußgeld von seiner Geschäftsleitung wiederzuholen. Grundlage hierfür wäre allerdings das Verschulden der Geschäftsleitung als Anlass für die Strafe: „mangelnde Kontrolle, mangelnde Umsetzung, mangelnde Schulung von Mitarbeitern etc. – also alles Pflichten, die ja die Richtlinie und insbesondere das Umsetzungsgesetz für die Geschäftsleitung vorsieht“, führt Stephan Schmidt aus. „Dadurch ist der Druck noch einmal immens höher“, betont Tobias Mielke.

Dass IT-Sicherheit dabei nicht nur als lästiges Übel und eine Einmalaufgabe angesehen werden sollte, sondern als fortwährender Optimierungsprozess, versteht sich von selbst. „Man muss als Geschäftsleitung die Thematik und die Aufgaben des NIS-2-Umsetzungsgesetzes komplex ergreifen, aufgreifen und lösen, sodass es inhaltlich State-of-the-Art – also nach dem Stand der Technik – fachgerecht und auf Dauer zu einem IT-Compliance-Zustand führt“, resümiert Karsten U. Bartels.

Hinweise der Redaktion: Die in diesem Artikel aufgeführten Aussagen sind teils Ausschnitte aus länger geführten Gesprächen mit den Statementgebern. Einblick in die vollständigen Interviews mit Karsten U. Bartels (HK2 Rechtsanwälte und Vorstand beim Bundesverband IT-Sicherheit e. V.), Stephan Schmidt (TCI Rechtsanwälte) und Tobias Mielke (TÜV Informationstechnik) erhalten Sie demnächst in den vollständig veröffentlichten Interviews unter: https://www.connect-professional.de/security/

Die Aussagen von Herrn Schmidt und Herrn Mielke stammen vom 20. und 21. Februar, die von Herrn Bartels vom 29. Februar. Der Artikel selbst wurde am 5. März 2024 fertiggestellt.

^{1 https://eur-lex.europa.eu/eli/dir/2022/2555

2 https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.htm

3 https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html

4 https://www.bmi.bund.de/DE/startseite/startseite-node.html

5 https://www.teletrust.de/startseite/

6 https://www.bsi.bund.de/DE/Home/home_node.html

7 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html}