NIS2 in der Praxis – welche Maßnahmen verlangt die Richtlinie?
Von Thomas Faß | Feb 19, 2024 | Blog
Key Takeaways
- Der Artikel beschreibt die erforderlichen Maßnahmen, die KRITIS-Betreiber sowie sehr wichtige und wichtige Einrichtungen ergreifen müssen, um ihre IT-Systeme und Prozesse zu schützen.
- Diese Maßnahmen sollen Störungen vermeiden und die Auswirkungen von Sicherheitsvorfällen minimieren. Sie sollten auf europäischen und internationalen Normen basieren und verschiedene Themen wie beispielsweise Risikoanalyse, Sicherheit bei Entwicklung und Wartung, Zugriffskontrolle und Mitarbeitenden-Schulungen abdecken.
- Es wird erwartet, dass die genauen Maßnahmen noch festgelegt werden beziehungsweise vom aktuellen Gesetzesentwurf abweichen. Die EU-Kommission kann spezifische Anforderungen festlegen, die dann verbindlich sind.
- Betreiber von bestimmten Einrichtungen müssen bis 2024 verbindliche Maßnahmen umsetzen.
- Es gibt auch Meldepflichten für Sicherheitsvorfälle sowie Registrierungs- und Überprüfungsverfahren für Betreiber kritischer Anlagen.
Pflichten von Betreibern und Einrichtungen
Mit der Implementierung von NIS2 ändern sich die Anforderungen an Betreiber und Einrichtungen deutlich. Die bestehenden Pflichten im Bereich KRITIS gemäß dem BSI-Gesetz bleiben im Wesentlichen erhalten, werden jedoch teilweise präzisiert, verschärft und neu strukturiert.
Die Umsetzung des NIS2-Gesetzes wird sich in weiten Teilen der deutschen Wirtschaft bemerkbar machen, insbesondere bei den zahlreichen Einrichtungen. Dabei erstrecken sich die Maßnahmen und Verpflichtungen größtenteils auf das gesamte betroffene Unternehmen.
Pflicht | Betreiber kritischer Anlagen | Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
Geltungsbereich | Anlage(n) | Unternehmen | Unternehmen |
Maßnahmen Risikomanagement | ∗ | ✓ | ✓ |
Höhere Maßstäbe für KRITIS | ✓ | ||
Besondere Maßnahmen SzA | ✓ | ||
Registrierung | ✓ | ✓ | ✓ |
Meldepflichten | ∗ | ✓ | ✓ |
Nachweise | ✓ | tw | tw |
Informationsaustausch | ∗ | ✓ | |
Unterrichtungspflichten | ∗ | ✓ | ✓ |
Governance Leitungsorgane | ∗ | ✓ | ✓ |
* impliziert, da angenommen wird, dass Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind.
Tabelle: eigene Zusammenstellung, basierend auf NIS2 Gesetzesentwurf
In diesem Artikel erklären wir Ihnen:
- Welche Maßnahmen NIS2 mit sich bringt
- Welche Nachweis- und Prüfpflichten erbracht werden müssen
- Welche Meldepflichten es zu beachten gilt
NIS2 Maßnahmen
Besonders wichtige Einrichtungen müssen angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT-Systeme und Prozesse ihrer angebotenen Dienstleistungen/Produkte zu schützen. Dadurch sollen Störungen vermieden und die Auswirkungen von Sicherheitsvorfällen minimiert werden. Betreiber sollten dabei Faktoren wie das Risikoexpositionsmaß, die Größe der Einrichtung, Implementierungskosten, Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen sowie deren Schweregrad berücksichtigen – ebenso wie gesellschaftliche und wirtschaftliche Auswirkungen.
Die Maßnahmen, die von Betreibern und Einrichtungen umgesetzt werden müssen, sollten auf einem ganzheitlichen Ansatz basieren und europäische sowie internationale Normen berücksichtigen. Diese Maßnahmen sollen zumindest die folgenden Themen abdecken:
- Risikoanalyse und Sicherheit für Informationssysteme
- Umgang mit Sicherheitsvorfällen
- Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
- Sicherheit der Lieferkette, Absicherung zwischen Einrichtungen sowie Dienstleister-Sicherheit
- Sicherheit bei Entwicklung, Beschaffung und Wartung
- Schwachstellenmanagement
- Bewertung der Wirksamkeit von Cybersicherheit und Risikomanagement
- Schulungen zu Cybersicherheit und Cyberhygiene
- Kryptografie und Verschlüsselung
- Personalsicherheit
- Zugriffskontrolle and Anlagenmanagement
- Multi-Faktor Authentisierung and kontinuierliche Authentisierung
- Sichere Kommunikation (Sprache-, Video-, Text)
- Sichere Notfallkommunikation
Eine genaue Festlegung der Maßnahmen durch die EU, das BSI oder Verbände ist noch nicht bekannt. Es wird erwartet, dass sich im Jahr 2024 in dieser Hinsicht noch einiges bewegen wird. Ebenso liegen bisher keine offiziellen Ableitungen zu bestehenden Cybersecurity-Standards wie ISO 27001 oder C5 vor, um die Maßnahmen in entsprechende Rahmenwerke einzufügen.
Aktuelle ISMS-Zertifizierungen werden wahrscheinlich nicht automatisch ausreichend für NIS2-Maßnahmen sein – der Anwendungsbereich von NIS2 könnte über bestehende Zertifikate hinausgehen, da einige der genannten Maßnahmen tiefer und weiter gehen als übliche Rahmenwerke.
Durchführungsmaßnahme der EU
Gemäß Artikel 21 (5) NIS2 kann die EU-Kommission in Durchführungsmaßnahmen konkretisierte technische und methodische Anforderungen festlegen, die dann unmittelbar verbindlich sind und Vorrang vor der oben genannten Liste haben. Sollten diese Rechtsakte nicht abschließend sein, hat das Bundesinnenministerium die Möglichkeit eigene Konkretisierungen zu erlassen.
Für Betreiber von DNS, TLD, Clouds, Rechenzentren, CDNs sowie Managed Services und Managed Security Services werden bis Oktober 2024 in einem separaten Durchführungsakt der EU-Kommission verbindliche Maßnahmen festgelegt. Dies gilt auch für Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdienste.
Nachweise und Prüfungen von NIS2
Es war ursprünglich geplant, dass mehr als 8.000 Betreiber kritischer Anlagen und Einrichtungen regelmäßig überprüft werden sollten, aber in neueren Entwürfen wurde dies auf die bisherigen KRITIS-Betreiber (über 2.000) reduziert. Die Betreiber kritischer Anlagen müssen dem BSI alle drei Jahre die Umsetzung der NIS2-Maßnahmen nachweisen. Ab 2027 und je nach eigener Registrierung sind dann alle drei Jahre Prüfungen erforderlich, ähnlich wie bei den bisherigen KRITIS-Nachweisprüfungen.
Betreiber kritischer Anlagen | Besonders wichtige Einrichtungen | Wichtige Einrichtungen | ||
Gesetz | NIS2UmsuCG | DachG | NIS2UmsuCG | NIS2UmsuCG |
Zeitraum | ab 2027 | ab 2026 | ab 2024 | ab 2024 |
Form | Audits | Audits | Stichproben durch BSI | |
Inhalt | IT-Sicherheit
Meldepflicht SzA |
Resilienz | IT-Sicherheit
Meldepflicht |
IT-Sicherheit
Meldepflicht |
Scope | Kritische Anlage | Kritische Anlage | Unternehmen | Unternehmen |
Frequenz | alle drei Jahre | Stichproben | Stichproben | bei Anlass |
Empfänger | BSI | BBK | BSI | BSI |
Tabelle: eigene Zusammenstellung, basierend auf NIS2 Gesetzesentwurf
Betreiber kritischer Anlagen
Die Betreiber von kritischen Anlagen müssen dem BSI alle drei Jahre Nachweise und Maßnahmen zur Angriffserkennung durch Audits, Prüfungen oder Zertifizierungen vorlegen, wie es bereits bei KRITIS-Prüfungen der Fall ist. Das BSI ist berechtigt, Betreiber kritischer Anlagen eigenständig zu überprüfen und kann Standards sowie Vorgaben für die Durchführung von Nachweis-Prüfungen festlegen.
Besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen sind nicht verpflichtet, dem BSI regelmäßig die Umsetzung der Maßnahmen und Meldepflichten nach der Registrierung zu belegen. Das BSI behält sich jedoch das Recht vor, Organisationen zur Durchführung von Audits, Prüfungen oder Zertifizierungen zu verpflichten, Nachweise anzufordern und selbst zu überprüfen. Bei der Auswahl der Organisationen wird das BSI risikoorientiert vorgehen und dabei das Ausmaß des Risikos, die Größe der Einrichtung sowie die Wahrscheinlichkeit und Schwere möglicher Sicherheitsvorfälle sowie deren gesellschaftliche und wirtschaftliche Auswirkungen berücksichtigen. Das BSI kann Anforderungen für diese Nachweis-Prüfungen festlegen.
Welches Meldewesen sieht NIS2 vor?
Meldung von Sicherheitsvorfällen
Mit NIS2 werden auf betroffene Einrichtungen viele Informations- und Meldepflichten übertragen, die über die bisherigen §8b BSIG-Meldepflichten (KRITIS) hinausgehen.
Es ist erforderlich, dass besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) und wichtige Einrichtungen Sicherheitsvorfälle dem BSI melden – innerhalb sehr kurzer Fristen (24 Stunden) und mit stufenweisen Folgemeldungen:
- Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, spätestens innerhalb von 24 Stunden
- Meldung eines erheblichen Sicherheitsvorfalls innerhalb von 72 Stunden mit Bewertung der Erstmeldung (Schweregrad, Auswirkungen, Kompromittierung)
- Zwischenmeldungen auf Anfrage des BSI
- Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung der Vorkommnisse, Ursachen, Maßnahmen sowie grenzüberschrittenen Auswirkungen
- Vertrauensdienste müssen sofort gemeldet werden bzw. spätestens innerhalb von 24 Stunden
- Betreiber kritischer Anlagen müssen zusätzlich Angaben zu den Anlagen selbst sowie kritischen Dienstleistungen und deren Auswirkungen machen
Das BSI richtet in Abstimmung mit dem BBK die Möglichkeit zur Meldung ein im Rahmen des KRITIS-Dachgesetzes. Darüber hinaus kann das BSI weitere Richtlinien zum Meldeverfahren festlegen.
Meldungen an Kunden und Öffentlichkeit
Im Falle schwerwiegender Sicherheitsvorfälle kann das BSI Anweisungen an besonders wichtige und wichtige Einrichtungen geben, ihre Kunden (Empfänger ihrer Dienste) zu informieren. Einrichtungen aus den Bereichen Finanz- und Versicherungswesen, Informationstechnologie und Telekommunikation, IKT-Dienste sowie Digitale Dienste sind verpflichtet, potenziell betroffene Kunden unverzüglich über erhebliche Cyberbedrohungen zu informieren. Dabei sollen auch mögliche Gegenmaßnahmen mitgeteilt werden. Nach Erhalt einer Meldung wird das BSI innerhalb von 24 Stunden versuchen, sich bei Unternehmen zurückzumelden – gegebenenfalls mit weiterführenden Fragen, Unterstützungsmöglichkeiten und Informationen. Sollte eine Sensibilisierung der Öffentlichkeit erforderlich sein oder im öffentlichen Interesse liegen, kann das BSI Betreiber dazu auffordern.
Registrierung und Kontaktstellen
Einrichtungen und Betreiber sind dazu verpflichtet, sich selbst zu identifizieren und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Es gelten spezielle Registrierungsregeln für bestimmte Unternehmen. Besonders wichtige Einrichtungen sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI anmelden. Dabei müssen Angaben wie Name, Rechtsform, Kontaktdaten (E-Mail/Telefon), IP-Adressbereiche, Sektor und Teilsektor sowie Geschäftsaktivitäten in EU-Staaten gemacht werden. Betreiber kritischer Infrastrukturen müssen zusätzliche Informationen bei der Registrierung angeben. Die gemeinsame Registrierung mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemäß dem KRITIS-Gesetz ist noch nicht vollständig geklärt. Änderungen in den Daten müssen jährlich an das BSI gemeldet werden; alle anderen Informationen sollten unverzüglich innerhalb von zwei Wochen übermittelt werden. Das BSI behält sich das Recht vor, besonders wichtige Einrichtungen sowie DNS-Registries eigenständig zu registrieren. Hierfür kann es weitere Unterlagen anfordern und das Verfahren genauer definieren. Bestimmte Einrichtungen haben bis zum 17. Januar 2025 Zeit, um sich beim BSI anzumelden. Dies betrifft Betreiber aus verschiedenen Bereichen wie DNS/TLD-Bereich, Cloud Computing-Anbieter, Rechenzentrenbetreiber, Content Delivery Networks (CDNs), Managed Service Provider (MSPs), Security Service Provider sowie Online-Marktplätze, Suchmaschinen oder soziale Netzwerke.