NIS-2: Wer muss was bis wann umsetzen und was ist noch unklar?

Anforderungen der NIS-2 Richtlinie

Die im Dezember 2022 verabschiedete europäische Richtlinie NIS-2 muss bis zum 17. Oktober 2024 in nationales Recht überführt werden. Die europäischen Anforderungen werden im deutschen NIS-2-Umsetzungsgesetz realisiert, dass sich aktuell noch in der finalen Abstimmung befindet. Schon länger wird davon ausgegangen, dass dessen Umsetzung für die betroffenen Einrichtungen nicht einfach sein wird. Denn die NIS-2-Richtlinie, die Ausweitung der bestehenden NIS-1-Richtlinie, welche die Widerstandsfähigkeit kritischer Infrastrukturen erhöhen soll, ist in ihrer Ausarbeitung bislang noch von Unklarheiten geplagt. Betroffen sind:

Schätzungsweise 30.000 – 40.000 Einrichtungen, in 18 Sektoren.
Sektorenausweitung umfasst nun auch Insurance Tech Start-ups, Onlinemarktplätze und Lebensmittelversorger.
sofern sie mehr als 50 Mitarbeiter und einen Umsatz von über 10 Millionen Euro haben.

Was ist NIS-2?

Rechtliche Ausweitung der NIS-1-Richtlinien
Kriterien zur Identifikation von KRITIS Betreibenden
Informationssicherheitsstandards

Erhöhung der Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberbedrohungen
Verhinderung potenziell katastrophaler Auswirkungen von Cyberangriffen
Schutz wichtiger Einrichtungen wie Dammanlangen, Stromversorger und Atomkraftwerke

Unterm Strich werden die Sicherheitsanforderungen an Cybersecurity und Resilienz erhöht. Unternehmen werden in Zukunft ein NIS-2-konformes Risikomanagement ausführen müssen. Das beinhaltet:

Maßnahmen für das betriebliche Kontinuitätsmanagement (BCM) umsetzen.
Informationssicherheitsmanagementsystem (ISMS) implementieren.
Sich selbst als "wesentliche" oder "wichtige" Einrichtung einstufen und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Risikomanagementverfahren einführen und technische sowie organisatorische Maßnahmen (TOMs) nach aktuellem Stand der Technik ergreifen.
Sicherheitsvorfälle melden und angemessen behandeln.
Die Einhaltung der NIS2-Standards in ihrer Lieferkette sicherstellen.

Ausschluss der Kommunen

Kommunen sind von der NIS-2-Richtlinie ausgeschlossen, wie Christian Stuffrein (Referent für Digitalisierung beim Deutschen Landkreistag) im IT-Sicherheitspodcast „Be Safe not Sorry“ erklärte, der von Christan Günther (Account Manager bei NCP) co-moderiert wird. Obwohl Kommunen immer mehr in den Fokus von Hackerangriffen geraten, werden sie per Gesetz nicht zur Umsetzung der NIS-2 Anforderungen verpflichtet. Er bedauert dies und hofft, dass durch Eigeninitiative der Kommunen und erhöhte Aufmerksamkeit dennoch mehr Maßnahmen zum Schutz der Kommunen getroffen werden. Auch Katrin Giebel (Geschäftsstellenleiterin der Vitako, der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister) empfindet die Ausklammerung des öffentlichen Sektors als „verpasste Chance“, um Cybersicherheit zu gewährleisten.

Probleme bei der Umsetzung

Problematisch ist zum aktuellen Zeitpunkt die ungenaue Definition der betroffen kritischen Infrastrukturen. Durch ungenaue Begrifflichkeiten kommt es möglicherweise zu Überschneidungen mit dem KRITIS-DachG, dass sich aktuell ebenfalls im Regulierungsprozess befindet. Das kann die Umsetzung erschweren.

Die Implementierung und Überwachung der NIS2-Standards stellt eine erhebliche Herausforderung dar, die Zeit, Ressourcen und finanzielle Mittel erfordert. Hinzu kommt, dass:

Unternehmen strengere Sicherheitsanforderungen erfüllen müssen und die Geschäftsführung kann für Verstöße haftbar gemacht werden, mit Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Die Einhaltung der NIS2-Richtlinie erfordert spezifisches Fachwissen in Bezug auf Cybersicherheit und Risikomanagement, was insbesondere für kleinere Unternehmen eine Herausforderung darstellen kann.
Unternehmen müssen die Cybersicherheit in ihrer gesamten Lieferkette überprüfen und sicherstellen, was die Komplexität der Compliance-Aufgaben erhöht.

Es bleibt also spannend, wie die NIS-2 Betroffenen diese neuen Herausforderungen stemmen werden und vor allem, wie der öffentliche Sektor, insbesondere ob die Kommunen sich adäquat schützen können.

Probleme mit NIS-2

Komplexität der Umsetzung
Implementierung kostet viele Ressourcen
Lieferketten Kontrolle erhöht Compliance Aufgaben
Erhöhte Verantwortung und mögliche Sanktionen
höhere Sicherheitsanforderungen unter Androhung höherer Strafen
Bedarf an Fachwissen
Bedarf an speziefischem Fachwissen zu Cybersicherheit

Internationaler Vergleich

Abgesehen davon, dass die Umsetzungsfrist für die europäische Richtlinie für alle Mitgliedstaaten auf Oktober 2024 festgelegt ist, scheint es keinen einheitlichen Zeitplan unter den Ländern zu geben.

Mitgliedsländer, die das Gesetz bereits verabschiedet haben, sind:

Belgien (18. April 2024)
Kroatien (15. Februar 2024)
Ungarn (15. April 2023)

Die Umsetzung unterscheidet sich zwischen diesen Staaten. Obwohl die europäische Richtlinie zusätzliche Sektoren definiert, variiert der Anwendungsbereich unter den Ländern. Während beispielsweise für die Tschechische Republik das „Militär“ als zusätzlicher Sektor gilt, definiert Kroatien „Bildung“ und Polen „Energie“ als solchen.

Auch der Rahmen für die nationale Umsetzung unterscheidet sich erheblich. Während Deutschland noch keine Übergangsfrist eingeführt hat, hat Kroatien eine Frist von 9 Monaten festgelegt. Zudem variiert die Anzahl der betroffenen Unternehmen in den Ländern erheblich, so sind beispielsweise in Deutschland etwa 30.000 Unternehmen betroffen, in Österreich jedoch nur etwa 5.000 Unternehmen.

Die Mehrheit der europäischen Länder ist derzeit noch dabei, die Parameter für das Gesetz festzulegen. Jedoch zeigen die aktuellen Zustände erhebliche Unterschiede. Zum Beispiel sind Lettland, Österreich, Frankreich und einige andere aktiv dabei, ihre Vorschläge zu evaluieren und sind auf dem konkreten Weg diese zu verabschieden. Währenddessen haben Länder wie Griechenland, Italien und Polen bis zum Ende des ersten Halbjahres 2024 keine signifikanten Fortschritte veröffentlicht.

Zurück zur Übersicht