Seit 20 Monaten liegt die NIS-2-Richtlinie zur Cybersicherheit auf dem Tisch, aber Deutschland hat es – genau wie viele andere EU-Länder – nicht geschafft, sie fristgerecht umzusetzen. Doch was bedeutet das für Unternehmen, die den neuen Anforderungen gerecht werden müssen?
Am 17.Oktober 2024, also heute, sollte die zweite Version der Netzwerk- und Informationssicherheits-Richtlinie der EU (kurz NIS-2-Richtlinie) in nationales Recht umgesetzt sein. Leider hat die Bunderegierung in den letzten 20 Monaten die Vorlage aus Brüssel noch nicht in deutsches Recht überführt. Genau wie 20 andere EU-Länder, wie etwa Spanien oder Frankreich. Das "NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" steht aber nicht am Anfang. Es wurden schon fünf Referentenentwürfe veröffentlicht und durch die Verbände diskutiert. Daraus sind Pläne für den Bundestag und den Bundesrat entstanden. Die Stellungnahme des Bundesrates erfolgte im September 2024 und am 11.Oktober 2024 war die erste Lesung im Bundestag.
Für die nächsten Schritte ist folgender Zeitplan vorgesehen:
- Beratung im Ausschuss am 4. November 2024
- Bundestag: Die zweite und dritte Lesung des NIS2UmsuCG finden im Dezember 2024 statt.
- Bundesrat: Die zweite Beratung zum NIS2UmsuCG erfolgt im Februar 2025.
- Im März 2025 soll das NIS2UmsuCG mit der Veröffentlichung im Bundesgesetzblatt in Kraft treten.
Die NIS-2-Richtlinie hat von Anfang an viele Fragen und Diskussionen aufgeworfen:
- Die Geschäftsführerhaftung für unzureichende Cybersicherheit
- Gegenüber NIS-1 unterliegen jetzt deutlich mehr Unternehmen auch aus anderen Sektoren den Anforderungen der NIS-2 (knapp 30.000). Wer jetzt genau betroffen ist, bleibt aber im Einzelfall unklar. Immerhin gibt es vom BSI, der zuständigen Behörde, eine Webseite mit einer Betroffenheitsprüfung, wo sich Verantwortliche unverbindlich informieren können.
- Unternehmen können indirekt von der Richtlinie betroffen sein. Die von NIS-2 betroffenen Einrichtungen müssen sicherstellen, dass die Firmen in ihrer Lieferkette ebenfalls ausreichende Sicherheitsmaßnahmen getroffen haben. Welche Aktionen jetzt konkret erforderlich sind, ist in der NIS2-Richtlinie nicht geregelt. Auf alle Fälle müssen Verträge um entsprechende Anforderungen erweitert werden. Möglicherweise orientiert sich die NIS-2 an etablierten internationale Standards (z. B. ISO 27001). In der Automobilindustrie hat sich vorher schon TISAX als Zertifizierungsstandard etabliert. Was aber klar ist: Wer keine angemessene Cybersicherheit gewährleisten kann, wird seine Kunden aus dem KRITIS-Umfeld verlieren.
Was ist genau zu tun, um den Anforderungen des NIS2UmsuCG gerecht zu werden?
Die Maßnahmen, die Unternehmen ergreifen müssen, wenn sie der NIS-2 unterliegen, sind in einem Gesetzestext nicht exakt definiert. Das müssen sie auch nicht sein, denn der Stand der Technik ändert sich laufend. Gesetze dem entsprechend anzupassen, würde einen zu großen Aufwand bedeuten.
Betroffene Unternehmen müssen sich:
- registrieren und einen festen Ansprechpartner angeben.
- Vorfälle nach einem (mindestens) dreistufigen Plan melden: ein erster Bericht nach 24 Stunden, einen umfassenderen Bericht nach 72 Stunden und nach einem Monat einen Zwischen- oder Abschlussbericht.
- Paragraf 30 Abs.2 des NIS2UmsuCG fordert eine Reihe von Maßnahmen zur Cybersicherheit und Cyberresilienz. Diese decken sich größtenteils mit den Maßnahmen, die erforderlich sind, um ein Informationssicherheitsmanagementsystem (ISMS) im betroffenen Unternehmen zu etablieren. Hier können sich Unternehmen wiederum am ISO-Standard 27001 orientieren, welcher recht klare Vorgaben liefert. Für mittelständische Unternehmen sind einfachere Standards wie CISIS12 oder VdS10000 ein guter Anfang.
Das BSI ist einerseits die Aufsichtsbehörde, möchte aber auch unterstützen und kooperieren. Auf ihrer Seite bieten sie einen Überblick über sinnvolle erste Maßnahmen an
Wer es konkreter haben möchte, kann im Entwurf des Durchführungsrechtsakt für die Internet- und Telekommunikationsbranche nachsehen.
Der Annex enthält zu jeder Anforderung aus Paragraf 30 Abs.2 des NIS2UmsuCG konkrete Maßnahmen, die umgesetzt werden müssen. Diese Durchführungsrechtsakte sind in der NIS2-Richtlinie angekündigt und sie gelten als EU-Vorschriften unabhängig von nationalen Regelungen. Dadurch soll ein EU-weit einheitliches Anforderungsniveau festgelegt werden.
Einen kurzen und bündigen Überblick über die NIS-2-Richtlinie gibt es auf der G DATA NIS-2-Seite. Unsere Experten werden im nächsten Webinar am 13.November 2024 (10:15 bis 11:30 Uhr) einen Überblick geben, teilweise ins Detail gehen und die Fragen der Teilnehmenden beantworten. Die Anmeldung ist hier möglich.
Drei Thesen zum Abschluss
1. NIS-2 ist sinnvoll
EU-Gesetze haben den Ruf, die Bürokratie zu fördern und überflüssige Regulierung zu etablieren. Das gilt aber nicht für die NIS2-Richtlinie. Angesichts der anhaltend hohen Bedrohungslage sollten zumindest die Anbieter von kritischen Dienstleistungen für die Bevölkerung die seit Jahrzehnten geforderten Mindeststandards für Cybersicherheit und Cyberresilienz einhalten. Das ist keine Schikane, sondern Selbsterhaltung.
2. Cybersicherheit ernst nehmen
Nicht nur die NIS-2-Richtlinie stellt klar, dass Geschäftsführer für Mängel in der Cybersicherheit haften. Die hohe Zahl der Angriffe und die immensen Schäden, die Cybervorfälle bewirken können, bringen das Thema Cybersicherheit immer höher auf die Agenda von Geschäftsführernden und Vorständen. Cybersicherheit ist für das gesamte Management kein Thema, das man ignorieren, aussitzen oder wegdelegieren kann. Die Zeit ist gekommen, sich ernsthaft damit auseinanderzusetzen.
3. Cybersicherheit ist ein Prozess
Vielen ist nicht klar, was diese Aussage wirklich bedeutet. Ein Prozess hat per Definition kein Ende. Das bedeutet, dieser wird niemals abgeschlossen sein. Aber keine Bange: Man hat damit ja auch die Zeit, sich kontinuierlich zu entwickeln. Niemand erwartet, dass man innerhalb von ein paar Monaten alle Bedrohungen erschöpfend abgesichert hat. Selbst Unternehmen, die sehr gut aufgestellt sind, brauchen für eine umfassende Analyse und Umsetzung 12 bis 18 Monate - und das unter idealen Bedingungen.
Das Thema Cybersicherheit ist unbeliebt (wie Brandschutz oder Arbeitsschutz) und kompliziert. Man muss bestimmte Dinge lernen (wie zum Beispiel bei der Finanzbuchhaltung) - aber nicht alles und auch nicht sofort. Es ist ein Prozess der kontinuierlichen Weiterentwicklung, den man aber auch starten muss. Je früher, desto besser. Damit sollte man nicht warten, bis das Gesetzgebungsverfahren für die NIS-2-Umsetzung abgeschlossen ist. Die Cyberkriminellen machen das auch nicht.
Weitere Infos
- Informationen zu NIS-2 von G DATA: https://www.gdata.de/business/nis-2-richtlinie
- Empfehlungen des BSI: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html
- Entwurf des Durchführungsaktes für Internetdienstleister mit klärenden Definitionen im Haupttext und vielen konkreten Maßnahmen für die einzelnen Punkte aus Paragraf 30 Abs.2 NIS2UmsuCG: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en
Von Ralf Benzmüller
Executive Speaker
