Cybersicherheit: Die Umsetzung der NIS-2 in deutsches Recht - Teil 3: Pflichten für betroffene Einrichtungen

Moderne digitale Infrastrukturen sind anfällig für Cyberattacken. Wenn sie für die Versorgungssicherheit unseres Landes eine zentrale Rolle spielen, ist das besonders riskant. Die NIS-2 Verordnung und ihre Umsetzung in deutsches Recht sollen für mehr Sicherheit der kritischen Infrastrukturen in der Gemeinschaft sorgen. Nachdem ich in den ersten beiden Teilen meiner Artikelserie den Hintergrund der Verordnung und wesentliche Begrifflichkeiten vorgestellt habe, geht es in diesem dritten Teil um die Pflichten für betroffene Einrichtungen.

Die Umsetzung der NIS-2 in nationales Recht erfordert von den betroffenen Einrichtungen die Implementierung spezifischer Maßnahmen. Im Gesetzentwurf zur Umsetzung der NIS-2 werden die Vorgaben für Kritische Infrastrukturen weiter konkretisiert und verschärft. Dies betrifft sowohl das Risikomanagement wie auch die Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten.

Risikomanagement

Das Risikomanagement bildet das Fundament der IT-Sicherheit. Sowohl „besonders wichtige“ als auch „wichtige Einrichtungen“ müssen ein angemessenes Risikomanagement zur Sicherstellung der IT-Sicherheit etablieren. Diese Anforderung umfasst die Implementierung von technischen und organisatorischen Maßnahmen (TOM), die darauf abzielen, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

Die Maßnahmen sollen den aktuellen Stand der Technik widerspiegeln und müssen sich an europäischen und internationalen Normen orientieren. Dies verlangt eine kontinuierliche Anpassung und Verbesserung der Sicherheitsmaßnahmen, um den Entwicklungen im Bereich der IT-Sicherheit gerecht zu werden. Besonders hervorzuheben ist dabei die Forderung nach einer angemessenen Bewertung der Risiken, die sowohl das Ausmaß der Risikoexposition als auch die spezifischen Bedingungen der Einrichtung berücksichtigt.

Die Konkretisierung der technischen und organisatorischen Maßnahmen im Gesetzentwurf umfasst nicht nur die informationstechnischen Systeme selbst, sondern auch die physische Umwelt und die menschlichen Faktoren. Diese Anforderungen reichen von Risikoanalysen und Sicherheitskonzepten über Krisenmanagement und Cyberhygiene bis hin zur Sicherheit der Lieferkette und der Entwicklung sicherer IT-Systeme.

Meldepflichten

Um der Bedrohungslage adäquat zu begegnen, hat der Gesetzgeber mit der Implementierung der NIS-2 Richtlinie in das deutsche Recht neue und verschärfte Meldepflichten für Betreiber Kritischer Infrastrukturen vorgesehen.

Dies beinhaltet eine deutliche Stärkung des Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Melde- und Anlaufstelle für IT-Sicherheitsvorfälle bildet. Das BSI nimmt in diesem Rahmen eine koordinierende Rolle ein, um den Informationsaustausch sowohl auf nationaler Ebene als auch innerhalb der EU und mit der European Union Agency for Cybersecurity (ENISA) zu fördern.

Ein „Sicherheitsvorfall“ wird im BSIG-Entwurf als ein Ereignis definiert, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten beeinträchtigt. Ein „erheblicher Sicherheitsvorfall“ geht noch einen Schritt weiter und umfasst Vorfälle, die schwerwiegende Betriebsstörungen oder finanzielle Verluste verursachen können, oder die materielle bzw. immaterielle Schäden für andere Personen nach sich ziehen könnten. Diese Definitionen bilden die Grundlage für die mehrstufigen Meldepflichten, die eine schnelle und effiziente Reaktion auf Sicherheitsvorfälle ermöglichen sollen:

1. Frühe Erstmeldung: Innerhalb von 24 Stunden nach Kenntniserlangung über einen erheblichen Sicherheitsvorfall muss eine erste Meldung erfolgen.

2. Bestätigende Erstmeldung: Innerhalb von 72 Stunden ist eine detaillierte Meldung abzugeben, die eine erste Bewertung des Vorfalls enthält.

3. Zwischenmeldung und Fortschrittsmeldung: Bei laufenden Vorfällen sind weitere Statusaktualisierungen und abschließende Berichte zu übermitteln.

4. Abschlussmeldung: Spätestens einen Monat nach der initialen Meldung ist eine umfassende Abschlussmeldung zu erstatten.

Es besteht zudem die Möglichkeit, die Öffentlichkeit einzubeziehen. Das kann insbesondere dann geschehen, wenn eine Sensibilisierung zur Vermeidung oder Bewältigung eines erheblichen Sicherheitsvorfalls erforderlich ist.

Registrierungspflicht

Nicht nur Betreiber Kritischer Infrastrukturen, sondern auch besonders wichtige Einrichtungen und wichtige Einrichtungen sind zur Registrierung verpflichtet. Die Registrierung soll eine bessere Übersicht und Kontrolle über die Einrichtungen und Anlagen ermöglichen, die eine zentrale Rolle in der Aufrechterhaltung kritischer Dienstleistungen und Funktionen spielen.

Sollten Einrichtungen und Anlagenbetreiber dieser Pflicht nicht nachkommen, sieht das Gesetz Maßnahmen vor, um die Einhaltung zu gewährleisten. So kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei ausbleibender Registrierung diese selbstständig vornehmen. Darüber hinaus kann das BSI bei Verstoß gegen die Registrierungspflicht Bußgelder verhängen - ein deutliches Zeichen für den Stellenwert, den die Legislative der lückenlosen Erfassung beimisst.

Nachweispflichten

Ein zentrales Element dieses Regelwerks ist die Nachweispflicht über die Einhaltung der IT-Sicherheitsvorschriften. Diese Pflicht unterstreicht das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verfolgte Modell der „Kooperation und Sanktion“, das darauf abzielt, ein hohes Maß an Sicherheit durch partnerschaftliche Zusammenarbeit, flankiert von klaren rechtlichen Anforderungen, zu erreichen.

Die geplante Neuerung des Gesetzes sieht vor, dass die Nachweispflicht insbesondere für diejenigen Einrichtungen gelten soll, die als besonders wichtig eingestuft werden. Diese Einrichtungen sind verpflichtet, dem BSI zu einem festgelegten Zeitpunkt nach der Registrierung und anschließend in einem regelmäßigen Turnus von zwei Jahren die Erfüllung der Anforderungen nachzuweisen. Diese Regelung ermöglicht eine flexiblere Handhabung im Vergleich zur vorherigen Fassung des Gesetzes und bietet Raum für eine präzisere Ausgestaltung des Nachweisverfahrens.

Ein Novum stellt die Möglichkeit dar, dass das BSI das Nachweisverfahren nach Anhörung von Vertretern der betroffenen Betreiber, Einrichtungen und der Wirtschaftsverbände konkretisieren kann. Dieser dialogorientierte Ansatz soll sicherstellen, dass die spezifischen Bedürfnisse und Herausforderungen der unterschiedlichen Sektoren und Einrichtungen angemessen berücksichtigt werden. Zudem wird dadurch die Möglichkeit geschaffen, das Verfahren kontinuierlich an die sich wandelnden Rahmenbedingungen und Bedrohungslagen anzupassen.

Die Erfüllung der Nachweispflicht kann durch verschiedene Mittel erfolgen. Dazu gehören unter anderem Sicherheitsaudits, Prüfungen oder Zertifizierungen, die von anerkannten Stellen durchgeführt werden.

Unterrichtungspflichten bei Sicherheitsvorfällen

Das BSI wird ermächtigt, besonders wichtige und wichtige Einrichtungen anzuweisen, ihre Dienstempfänger unverzüglich über erhebliche Sicherheitsvorfälle zu informieren, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Diese Unterrichtung kann auch öffentlich, etwa durch eine Veröffentlichung im Internet, erfolgen. Darüber hinaus sind Einrichtungen in kritischen Sektoren wie dem Bankwesen, der digitalen Infrastruktur und der Verwaltung von IKT-Diensten dazu verpflichtet, die potenziell betroffenen Dienstempfänger unverzüglich über alle Maßnahmen oder Abhilfemaßnahmen zu informieren, die diese als Reaktion auf eine erhebliche Cyberbedrohung ergreifen können. Diese Regelungen zielen darauf ab, Transparenz zu schaffen und die Resilienz gegenüber Cyberbedrohungen zu stärken, indem die Betroffenen in die Lage versetzt werden, angemessen auf die Risiken zu reagieren.

Die Rolle der Geschäftsleitung

Die NIS-2-Richtlinie stellt klar, dass die Gewährleistung der unternehmerischen IT-Sicherheit eine zentrale Verantwortung der Geschäftsleitung darstellt. Dieser Grundsatz wird mit der vorgeschlagenen Neufassung des BSIG-E fortgeführt und ausgebaut. Das Gesetz legt detaillierte Pflichten für die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen fest. Dazu zählen natürliche Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung der Einrichtung berufen sind, wie beispielsweise Vorstände, Geschäftsführer oder besondere Vertreter von Vereinen sowie Leitungspersonen in öffentlichen Einrichtungen.

Die explizite Einbindung der Geschäftsleitung unterstreicht die Bedeutung einer integrierten und ganzheitlichen Betrachtung der IT-Sicherheit als Teil der Unternehmensführung. Die Geschäftsleitung ist somit nicht nur für die strategische Ausrichtung und die wirtschaftliche Performance verantwortlich, sondern auch für die Sicherstellung eines angemessenen Niveaus an IT-Sicherheit, um die Integrität, Verfügbarkeit und Vertraulichkeit der Informationstechnologie zu gewährleisten.

Wir beraten bei allen Aspekten rund um IT-Recht und Cybersecurity und unterstützen Sie dabei, die für Ihr Unternehmen relevanten Änderungen zu identifizieren. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und diese vertraglich umzusetzen.

Bisher zum Thema NIS-2 und Cybersicherheit erschienen:

• Die Umsetzung der NIS-2 in deutsches Recht - Teil 1: Der Hintergrund der Verordnung

• Die Umsetzung der NIS-2 in deutsches Recht - Teil 2: Begrifflichkeiten

Rechtsanwalt Stefan Haßdenteufel
Experte für Open Source Software
E-Mail: hassdenteufel@web-partner.de