IT SecurityVPN
Lesezeit: min
Autor: Marian Blok, elfnullelf

Was gibt es Neues in der Cyber-Regulierung?

In einer digitalisierten Welt, in der Technologie und Vernetzung stetig wachsen, wird die IT-Sicherheit zu einem zentralen Anliegen für Unternehmen, Regierungen und Einzelpersonen. Mit der rasanten Entwicklung technologischer Innovationen geht eine ständige Evolution der Bedrohungen einher. Dies stellt Gesetzgeber weltweit vor die Herausforderung, Schritt zu halten und Rahmenbedingungen zu schaffen, die sowohl Schutz bieten als auch Innovation fördern. In diesem Beitrag werfen wir einen Blick auf die neuesten Entwicklungen in der Gesetzgebung zur IT-Sicherheit und diskutieren, was diese für uns alle bedeuten. Nach knapp zwei Jahren Ampel-Koalition lohnt es sich, die aktuellen IT-Sicherheitsregulierungen vorzustellen und deren Relevanz einzuordnen.

Was bislang gilt

2015 und 2021 wurden die beiden IT-Sicherheitsgesetze erlassen, die als Artikelgesetze einige andere Gesetze änderten, die den heutigen Grundstock an Cybersicherheitsgesetzgebung in Deutschland bilden (siehe unten). Im Kontrast zur Datenschutzgesetzgebung sind nur wenige Unternehmen und Organisationen von der Cybersicherheitsregulierung betroffen. Die wichtigste Gruppe dieser Unternehmen sind Kritische Infrastrukturen (KRITIS). KRITIS-Anlagen sind Versorger einer gewissen Größe (meistens ab 500.000 versorgten Personen), die in folgende Sektoren fallen: Energie, Wasser, Ernährung, Gesundheit, Transport und Verkehr, Entsorgung (seit 2021), IT und TK, Finanzen und Versicherungen. Grob gibt es folgende Regelungen: 

BSI-Gesetz (BSIG):

  • Das Gesetz definiert, was unter Kritischen Infrastrukturen zu verstehen ist und listet spezifische Sektoren auf.
  • Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat die Aufgabe, KRITIS-Betreiber (Betreiber Kritischer Infrastrukturen) zu beraten und zu unterstützen. Es kann Sicherheitsaudits durchführen und Mindeststandards festlegen.
  • KRITIS-Betreiber müssen Sicherheitsvorfälle melden und bestimmte Mindeststandards in Bezug auf IT-Sicherheit einhalten.

Energiewirtschaftsgesetz (EnWG):

  • Betreiber von Energieanlagen müssen bestimmte Sicherheitsvorfälle an das BSI melden.
  • Das Gesetz legt bestimmte Sicherheitsanforderungen für Betreiber im Energiesektor fest.

Telekommunikationsgesetz (TKG):

  • Telekommunikationsanbieter müssen Sicherheitsvorfälle an das BSI melden.
  • Das Gesetz legt Sicherheitsanforderungen für Anbieter von Telekommunikationsdiensten fest.

Atomgesetz (AtG):

  • Meldewesen an das BSI: Betreiber von Kernkraftwerken und anderen nuklearen Einrichtungen müssen Sicherheitsvorfälle an das BSI melden.

Telemediengesetz (TMG):

  • Telemedien-Diensteanbieter müssen die Daten ihrer Nutzer schützen und sicherstellen, dass ihre Systeme sicher sind.

BKA-Gesetz (BKAG):

  • Das Bundeskriminalamt (BKA) hat erweiterte Befugnisse in Bezug auf die Strafverfolgung, insbesondere bei der Bekämpfung von schweren Straftaten und Terrorismus.

NIS-2-Richtlinie in der EU

Fast zeitgleich zum ersten IT-Sicherheitsgesetz in Deutschland erarbeitete die EU ebenfalls ein Rechtswerk zur Cybersicherheit, die sogenannte Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie). Die Richtlinie von 2016 war der erste EU-weite Rechtsrahmen für Cybersicherheit, der darauf abzielte, die Sicherheit von Netzwerken und Informationssystemen in der EU zu stärken.

In den letzten Jahren erfolgte eine Überarbeitung der NIS-Richtlinie von 2016 – die sogenannte NIS2-Richtlinie. Sie trat Anfang 2023 in Kraft und bringt neue Anforderungen und Zuständigkeiten in der Cybersicherheit. Sie erweitert die Anzahl der kritischen Sektoren auf insgesamt 18, wobei "Essential Entities" auf elf und "Important Entities" auf sieben Sektoren anwachsen. Unternehmen mittlerer und großer Größe, die mehr als 50 Mitarbeiter haben oder einen Umsatz von über 10 Mio. EUR erzielen, fallen nun in den Geltungsbereich der Direktive. Einige Betreiber, insbesondere aus der digitalen Infrastruktur und der öffentlichen Verwaltung, werden unabhängig von ihrer Größe reguliert. Die Cybersicherheitsanforderungen sind nicht nur strenger geworden, sondern beziehen sich nun auch auf die gesamte Lieferkette. Die Zusammenarbeit und Aufsicht zwischen EU-Behörden und Betreibern wird intensiviert, wobei die europäische Rechtsprechung gestärkt wird. Zudem werden die Sanktionen verschärft, wobei je nach Sektor Strafen von mindestens 7 oder 10 Mio. EUR verhängt werden können.

NIS2-Umsetzungsgesetz in Deutschland

EU-Richtlinien gelten nicht automatisch in den Mitgliedstaaten, sie müssen in nationales Recht umgesetzt werden. Die nationalen Umsetzungen können leicht von der NIS2-Richtlinie abweichen, so auch in Deutschland. Hier wird gerade an einer Umsetzung gearbeitet, dem sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es liegt ein Referentenentwurf von Juli 2023 vor.  Konkret wird das NIS2-Umsetzungsgesetz – Stand jetzt – folgende Änderungen bringen:

Zunächst führt das Gesetz die von der NIS-2-Richtlinie vorgegebenen Einrichtungskategorien ein, wodurch der Anwendungsbereich erheblich erweitert wird. Bisher galt dieser nur für Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse.

Des Weiteren wird der Katalog der Mindestsicherheitsanforderungen aus der NIS-2-Richtlinie in das BSIG (BSI-Gesetz) integriert. Dabei wird jedoch zwischen den verschiedenen Kategorien differenziert, um die Verhältnismäßigkeit der Maßnahmen zu gewährleisten. Die bisherige Meldepflicht bei Vorfällen wird durch ein dreistufiges Meldesystem ersetzt, wobei darauf geachtet wird, den bürokratischen Aufwand für die betroffenen Einrichtungen so gering wie möglich zu halten.

Das Instrumentarium des BSI (Bundesamt für Sicherheit in der Informationstechnik) wird erweitert, um den von der NIS-2-Richtlinie vorgegebenen Aufsichtsmaßnahmen gerecht zu werden. Zudem werden wesentliche nationale Anforderungen an das Informationssicherheitsmanagement des Bundes gesetzlich verankert und die zugehörigen Rollen und Verantwortlichkeiten klar definiert. Um ein kohärentes und handhabbares Regelungsregime zu schaffen, werden die Anforderungen an Einrichtungen der Bundesverwaltung sowohl aus nationalen als auch aus EU-rechtlichen Vorgaben harmonisiert. Ein zentraler Koordinator, der CISO Bund, wird etabliert, um Maßnahmen zur Informationssicherheit in Bundesbehörden zu koordinieren und die Ressorts bei der Umsetzung der Vorgaben zu unterstützen. Das Bußgeldregime wird überarbeitet und entsprechend den verschiedenen Einrichtungskategorien differenziert. Schließlich wird das BSIG in seiner Struktur überarbeitet und neu gegliedert, um eine bessere Übersichtlichkeit zu gewährleisten. Insgesamt zielt das NIS2-Umsetzungsgesetz darauf ab, die Cybersicherheitsmaßnahmen in Deutschland zu stärken und an die aktuellen Herausforderungen und Vorgaben der EU anzupassen.

CER-Richtlinie in der EU

Gemeinsam mit der NIS2-Richtlinie wurde Ende 2022 auch die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) auf europäischer Ebene verabschiedet. Die CER-Richtlinie reguliert Resilienz bei Kritischen Infrastrukturen in der EU. Cyber-Resilienz (im Gegensatz zu Cyber-Sicherheit) beschreibt Maßnahmen, um die Ausfallsicherheit von kritischen Anlagen zu stärken. Cybersicherheit hingegen bezieht sich auf den Schutz von Informationssystemen vor Diebstahl, Schäden oder unberechtigtem Zugriff. Es geht darum, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Während Cybersicherheit den Schutz betont, konzentriert sich Cyberresilienz auf die Fähigkeit eines Systems oder einer Organisation, sich von einem Cyberangriff oder einem Vorfall zu erholen und den normalen Betrieb so schnell wie möglich wieder aufzunehmen. Es geht also darum, wie man nach einem erfolgreichen Angriff effektiv reagiert und sich erholt.

Die CER-Richtlinie löst wie die NIS2-Richtlinie einen Vorgänger ab, in diesem Fall die European Critical Infrastructures Richtlinie von 2008. Sie legt fest, dass betroffene Betreiber basierend auf nationalen Risiko-Analysen von den eigenen Behörden identifiziert und registriert werden müssen, wobei der Stichtag der 17. Juli 2026 ist. Die Identifikation dieser Betreiber hängt von der Risiko-Analyse und dem potenziellen disruptiven Effekt auf Dienstleistungen ab, sollte ein Betreiber ausfallen. Unternehmen, die als Critical Entities (kritische Einheiten) unter der CER-Direktive reguliert werden, sind nach bestimmten Kriterien identifiziert, darunter die Erbringung von Essential Services in einem der festgelegten Sektoren, Geschäftsbetrieb und kritische Infrastruktur in mindestens einem EU-Mitgliedsstaat und der potenzielle disruptive Effekt eines Ausfalls. Die Bewertung dieses disruptiven Effekts erfolgt anhand verschiedener Kriterien wie der Anzahl betroffener Nutzer und den Auswirkungen auf andere Essential Services.

Die CER-Direktive reguliert Critical Entities in elf Sektoren, die Essential Services erbringen. Diese Sektoren sind fast identisch mit denen des EU NIS 2 Annex I und ähneln den KRITIS-Sektoren: Im NIS2 fehlen der ÖPNV und der Medizingroßhandel, die in der CER enthalten sind. Während der Sektor Ernährung im NIS2 lediglich als "Important" klassifiziert wird, gilt er in der CER als "Essential". Andererseits sind in der CER die Ladestationen für Strom, das ICT Service Management und die Regionalverwaltungen, die im NIS2 enthalten sind, nicht berücksichtigt. Ebenso fehlen dort alle als "Important" gekennzeichneten Sektoren aus dem NIS2. Die CER-Direktive legt gemäß Artikel 13 bestimmte Mindestanforderungen fest, die Betreiber erfüllen müssen, um die Resilienz ihrer Dienstleistungen zu gewährleisten:

  • Vorsorge: Es sollen Präventionsmaßnahmen gegen Vorfälle, Katastrophen und den Klimawandel ergriffen werden.
  • Physische Sicherheit: Die Betreiber müssen ihre Liegenschaften und kritische Infrastrukturen physisch schützen, einschließlich Maßnahmen wie Perimeterüberwachung, Detektion und Zutrittskontrolle.
  • Krisenmanagement: Es sind Mechanismen für das Risiko- und Krisenmanagement erforderlich, einschließlich festgelegter Prozeduren, Protokolle und Alarmierungssysteme.
  • Wiederherstellung: Nach Vorfällen müssen Maßnahmen zur Wiederherstellung ergriffen werden, einschließlich Business Continuity Management (BCM) und alternativer Lieferketten.
  • Personal: Es ist ein Sicherheitsmanagement für das Personal erforderlich, das sowohl interne als auch externe Mitarbeiter und Dienstleister umfasst. Dies beinhaltet Zutrittskontrollen und Sicherheitsüberprüfungen.
  • Awareness: Das Personal muss über die getroffenen Resilienz-Maßnahmen informiert und geschult werden.

Die Maßnahmen müssen in einem Resilienzplan zusammengefasst und dokumentiert werden. Betreiber müssen außerdem ihre nationalen Behörden (im deutschen Fall das BSI und/oder das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe/BBK) sofort über signifikante Störungen und Vorfälle in ihren kritischen Dienstleistungen unterrichten.

KRITIS-Dachgesetz in Deutschland

Das kommende KRITIS-Dachgesetz ist die deutsche Umsetzung der CER-Richtlinie. Erwartet wird eine Verabschiedung noch in 2023 mit Inkrafttreten im nächsten Jahr. Das KRITIS-Dachgesetz wurde ins Leben gerufen, um die physische Sicherheit und Resilienz von Betreibern kritischer Anlagen zu erhöhen und legt zusätzliche Maßnahmen und Pflichten für KRITIS-Betreiber fest. Im Referentenentwurf von Juli 2023 werden spezifische Vorgaben gemacht. Hierzu gehören:

  • Betreiber: Das Gesetz betrifft insbesondere die Betreiber kritischer Anlagen, bekannt als KRITIS.
  • Sektoren: Es werden die bisherigen KRITIS-Sektoren reguliert und um einige Bereiche, wie IT, Telekommunikation, Finanzen und Versicherungen, erweitert. Es ist zu erwarten, dass die bestehenden KRITIS-Sektoren mit den neuen Kategorien aus NIS2 bzw. CER harmonisiert werden.
  • Resilienz: Betreiber müssen bestimmte Resilienz-Maßnahmen erfüllen, darunter Krisen- und Risikomanagement, Business Continuity Management (BCM), Sicherheit des Personals und physische Schutzmaßnahmen.
  • Aufsicht: Neben der bestehenden KRITIS-Aufsicht wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eingebunden. Dieses soll unter anderem für Nachweise, Meldungen und Registrierungen zuständig sein, wobei eine Zusammenarbeit mit dem BSI vorgesehen ist.
  • Sanktionen: Eine Liste von Verstößen ist festgelegt, die genauen Bußgelder sind jedoch noch nicht bestimmt.
  • Risiken: Sowohl nationale Risiken als auch solche, die von Betreibern ausgehen und die Wirtschaftsstabilität betreffen, werden besonders berücksichtigt, sowohl vom BBK als auch von der EU.

Interessant ist, dass der aktuelle Entwurf, der noch zwischen den Ministerien abgestimmt wird, die verpflichtenden Vorgaben und Fristen für Betreiber recht nachsichtig gestaltet. Wesentliche Pflichten sollen erst im Jahr 2026 wirksam werden. Dennoch müssen sich bestimmte Betreiber auf zusätzliche Anforderungen einstellen. Betreiber kritischer Anlagen sind verpflichtet, Resilienzmaßnahmen zu implementieren und zusätzliche Formalitäten wie Registrierung, Meldungen und Nachweise zu erfüllen. Innerhalb von neun Monaten nach der Registrierung und danach alle vier Jahre müssen sie Risikoanalysen durchführen. Diese Analysen sollten eine Vielzahl von Risiken berücksichtigen, von wirtschaftlichen und grenzüberschreitenden Bedrohungen bis hin zu Naturkatastrophen und Terrorismus. Auch die Abhängigkeiten von anderen Sektoren und Staaten sind zu berücksichtigen. Wenn Betreiber bereits Risikoanalysen aus anderen rechtlichen Verpflichtungen vorlegen, kann das BBK diese als gleichwertig anerkennen. Um die Resilienz ihrer Anlagen zu gewährleisten, müssen Betreiber angemessene Maßnahmen ergreifen, darunter physischer Schutz, Reaktions- und Abwehrmaßnahmen bei Vorfällen, Wiederherstellungsmaßnahmen und Schulungen für das Personal. All diese Maßnahmen sollten in einem Resilienzplan dokumentiert werden. Betreiber gleicher Branchen können sich selbst „branchenspezifische Resilienzstandards“ auferlegen, die das BBK dann prüfen und annehmen kann. Hier wird also analog zu den „branchenspezifischen Standards“ – B3S in der Cybersicherheit verfahren, wobei dort das BSI zuständig ist.

Betreiber müssen sich als Betreiber unverzüglich (am ersten Werktag nach Identifikation als KRITIS nach Dachgesetz) melden und etwaige Störungsfälle sofort melden. Das Meldewesen wird sowohl BSI als auch BBK obliegen, es wird eine „gemeinsame Kontaktstelle“ beider Behörden eingerichtet.

Es kommt also einiges auf einige Unternehmen zu. Denn: Bisher waren durch die deutsche KRITIS-Gesetzgebung knapp 2.000 Unternehmen betroffen, diese Zahl wird sich durch die NIS2 und CER-Umsetzung schätzungsweise auf 30.000 betroffene Unternehmen dramatisch steigern. Zudem erweitert sich der Scope: Physische Sicherheit von KRITIS-Anlagen rückt durch das KRITIS-Dachgesetz und die CER-Richtlinie in den Vordergrund. Dies führt – neben höherem bürokratischen Aufwand wegen der Doppel-Zuständigkeit von BSI und BBK – auch zu höheren Kosten, da physische Sicherheit von KRITIS-Anlagen auch zu baulichen Maßnahmen führen könnte. Unternehmen sind insgesamt gut beraten, das Thema Cybersicherheit ganzheitlich aufzufassen und ernst zu nehmen.

Zurück zur Übersicht

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.

Das könnte Sie auch interessieren:

NCP
Lesezeit: min
Autor: NCP

NCP-Talk mit Julia - unsere neue Kollegin im Marketing

Erzähl uns ein bisschen von Dir: In meiner beruflichen Laufbahn als Referentin und Projektleiterin konnte ich viele verschiedene Einblicke in die Kundenbetreuung, die Optimierung von Prozessabläufen und das Projektmanagement in verschiedensten Bereichen sammeln. Ich bin ...