Startseite > Security > „Prävention ist stets preiswerter als Reaktion“

Interview mit PwC zur NIS2

„Prävention ist stets preiswerter als Reaktion“

17. Juni 2024, 11:00 Uhr | Interview: Diana Künstler

Fortsetzung des Artikels von Teil 1

Q&A vom NIS-2-Webinartag am 14. Mai 2024

Der Informationsbedarf zur NIS-2-Richtlinie und deren deutschen Umsetzung, dem NIS2UmsuCG, ist nach wie vor groß. Entsprechend umfangreich waren auch die Nachfragen aus dem Teilnehmerkreis am dritten connect professional Webinartag zur NIS2. Für Interessierte finden sich im Folgenden einige Antworten von Mailin von Knobelsdorff auf ausgewählte Fragen.

Fragen aus dem Plenum und die Antworten

Frage: Gibt es eine Form der Rechtssicherheit, ob ein Unternehmen unter das NIS-2-Umsetzungsgesetzfällt? Man kann sich sicherlich rechtlich beraten lassen, aber letztendlich sind das doch Auslegungen des dann vorhandenen Gesetzes – wer urteilt dann über die Richtigkeit der Entscheidung und welche Konsequenzen drohen bei einer Fehlentscheidung (also bei einer Interpretation, dass man nicht betroffen ist)?

von Knobelsdorff: Letztendlich wird das BSI die Entscheidung treffen, wer der Registrierungspflicht unterliegt oder nicht. Aber im Grunde liegt es auch bei jedem Unternehmen selbst. Man sollte sich auf jeden Fall rechtlich beraten lassen. Das macht beispielsweise auch eine PwC Rechtsanwaltsgesellschaft, indem wir eine Betroffenheitsanalyse durchführen.

Wer sich nicht registriert, aber hätte registrieren müssen, wird vom BSI registriert und kann dann auch einen Bußgeldbescheid bekommen, weil es eine Registrierungspflicht gibt beziehungsweise das Vernachlässigen der Registrierungspflicht einer Ordnungswidrigkeit entspricht. Allerdings haben wir auch erlebt, dass sich Unternehmen schon einmal fälschlicherweise registriert haben beim BSI. Dann gibt es auch die Möglichkeit, sich wieder zu „entregistrieren“.

Frage: Ist es möglich noch etwas näher zu erläutern, was Sicherheit der Lieferkette bedeutet? Muss ich alle Lieferanten dazu zwingen, sich zertifizieren zu lassen oder was muss man als Unternehmen an dieser Stelle konkret tun.

von Knobelsdorff: Es ist immer empfehlenswert, dass man eine Liste von allen sicherheitsrelevanten Lieferanten hat und diese Teile der Lieferkette für sich identifiziert. Dabei muss man sich fragen: Ist das ein für die Sicherheit relevantes Teil der Lieferkette, weil sie meine Verfügbarkeit und das Funktionieren der Dienstleistung vielleicht beeinflussen kann? Das kann ein Arbeitsschutzhelm sein. Das kann aber auch mein Cloud Anbieter sein.

Die Lieferanten müssen sich nicht zertifizieren lassen, weil es keine offiziellen „NIS-2-Zertifikate“ gibt. Aber man kann sich von vornherein überlegen, welche Anforderungen man an seinen Lieferanten adressieren möchte. Das heißt also, man sollte sich überlegen: Wer sind die Lieferanten? Habe ich bestimmte Passagen in meinen Lieferantenverträgen, die mir wichtig sind und die standardmäßig reinsollen? Da muss man auch einmal alte Verträge prüfen. Interessant ist auch oft die Frage, welche Verfügbarkeiten in diesen Verträgen festgelegt sind. Führe ich Lieferanten-Audits durch und habe ich selbst auch die Möglichkeit, auditiert zu werden, wenn ich der Lieferant von jemandem bin? Teilweise reicht es auch, dass man Fragebögen zur Verfügung stellt, die man dann ausgefüllt haben möchte.

Auch ist es immer wieder mal wichtig, sich darüber Gedanken zu machen, was man tut, wenn ein Lieferant komplett ausfallen würde. Was hätte ich noch für Alternativen auf dem Markt?

Frage: Inwieweit betrifft NIS2 politische Parteien?

von Knobelsdorff: Stiftungen des öffentlichen Rechts oder Anstalten des öffentlichen Rechts, wie dann zum Beispiel auch Fernsehsender, sind betroffen. Aber vor diesem Hintergrund ist im Prinzip die Rechtsform entscheidend. Und eine Partei hat die Rechtsform „nichts rechtsfähiger Verein“ – ist also nicht betroffen von NIS-2.

Frage: Wie ist das bei einem Abwasserzweckverband für ein ganze Region, die jedoch unter 250 Mitarbeiter haben und unter 50 Millionen Umsatz sind? Gelten bei einem Abwasserverband auch die Grenzen 250 Mitarbeiter oder 50 Millionen oder gilt das für diese kritischen Strukturen nicht?

von Knobelsdorff: Bei Wasser kann man auch eine wichtige Einrichtung sein. Da braucht man dann nur 50 Mitarbeitende oder 10 Millionen Euro Umsatz und ist im Wassersektor eine wichtige Einrichtung. Wenn Sie bei Abwasser die Schwellenwerte wiederum aus der KRITIS-Verordnung übersteigen, dann brauchen Sie eigentlich nur einen Mitarbeiter und 1 Euro Umsatz.

Wenn Sie aber bei Abwasser 500.000 Einwohner erreichen, dann sind Sie trotzdem NIS-2-reguliert und auch jetzt schon als kritische Infrastruktur betroffen. Handelt es sich hingegen um einen Branchenverband, der nur die Mitgliederbetreuung der Abwasserunternehmen als Tätigkeitsfeld hat und nicht selbst mit dem Abwassergeschäft zu tun hat, ist das natürlich hier nicht der Fall.

Frage: Gibt es eine eindeutige Aussage, wie die Rüstungsindustrie in NIS2 zugeordnet wird? Auf der KRITIS-Seite wird eine Integration der UBI 1 Unternehmen in NIS2 (Einrichtungen) angedeutet... Einen eindeutig bezeichneten Sektor bzw. benannte Einrichtung sehe ich in NIS2 nicht. Direkt hieraus resultierend die Frage, ob eine Neuregistrierung beim BSI notwendig ist oder ob die UBI-x Unternehmen direkt „übernommen“ werden.

von Knobelsdorff: Nach unserem Verständnis werden die UBI, die Unternehmen von besonderem Interesse, in diesem Sinne nicht fortgeführt. Die Unternehmen, die man so als der Rüstungsindustrie zugehörig versteht, werden zukünftig als Unterkategorie des verarbeitenden Gewerbes als wichtige Einrichtung subsummiert. Dort findet man nämlich verarbeitendes Gewerbe, hat also Medizingeräte, Maschinenbau und auch den Fahrzeugbau inkludiert, worunter auch Schiffsbau oder Rüstungsbau und dergleichen fallen.

Frage: Fällt die Siedlungsabfallentsorgung unter die besonders wichtigen Einrichtungen oder unter die wichtigen Einrichtungen? Oder ist das wiederum abhängig davon, ob das Unternehmen kritische Anlagen betreibt?

von Knobelsdorff: Siedlungsabfallentsorgung kann sowohl wichtige als auch besonders wichtige Einrichtung sein. Das hängt von der Anzahl der Mitarbeitenden und der Umsatzsumme ab. Bei besonders wichtigen Einrichtungen würde es dann unter die kritischen Anlagen fallen, weil ja mit der KRITIS-Verordnung seit 1. Januar 2024 auch schon die Unternehmen, die zur Siedlungsabfallentsorgung gehören, kritische Infrastruktur sind. Das heißt Siedlungsabfallentsorger, die mehr als 50 Mitarbeitende haben, sind so oder so NIS-2-betroffen. Wenn man dann noch die Schwellenwerte aus der KRITIS-Verordnung übersteigt, ist man auch Betreiber einer kritischen Anlage.

Frage: Wie wird die Mitarbeiter-Zahl berechnet. Gelten Aushilfen auch als vollwertige Mitarbeiter?

von Knobelsdorff: Jeder, der einen Anstellungsvertrag hat, wird als ein Mitarbeiter gezählt.

Webinar-Vorträge on-demand
Mitschnitte der Vorträge der bisherigen NIS-2-Webinartage finden Sie auch unter https://www.connect-professional.de/webinare/. Hier sind die bisherigen Vorträge unter Angabe Ihrer Kontaktdaten kostenfrei einsehbar.