Cybersicherheit: Die Umsetzung der NIS-2 in deutsches Recht - Teil 1: Der Hintergrund der Verordnung
Unsere Wirtschaft ist auf funktionierende und resiliente Infrastrukturen angewiesen - sowohl im physischen als auch im digitalen Bereich. Die Digitalisierung und Vernetzung aller Lebens- und Wirtschaftsbereiche machen moderne Infrastrukturen anfälliger für Attacken. Dabei spielt die IT in kritischen Anlagen eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit - von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen.
Im Jahr 2020 stellten die EU-Kommission und der Europäische Auswärtige Dienst die neue europäische Cybersicherheitsstrategie vor. Sie brachte zwei neue Richtlinien mit sich, die beide Ende 2022 verabschiedet wurden und die bis Oktober 2024 in den Mitgliedstaaten umgesetzt sein müssen:
Die neue europäische Resilienz-RL (auch CER-RL genannt). Hierfür liegt bisher nur ein sogenanntes BMI-Eckpunktepapier, das sogenannte „KRITIS-Dachgesetz“ vor.
Die NIS-2-RL zur Ablösung der geltenden NIS-RL. Die Richtlinie wird durch das nationale NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht übertragen. Dieses Gesetz liegt als dritter Referentenentwurf mit Stand vom September 2023 vor.
Durch den russischen Angriffskrieg auf die Ukraine und den Nahost-Krieg hat sich die IT-Sicherheitslage weiter verschärft. Seit dem Angriff der Hamas auf Israel haben auch Cyberattaken gegen jüdische Einrichtungen und gegen Länder, die Israel unterstützen zugenommen. Zu den größten Bedrohungen zählen hierbei DDos-Attacken, Ransomware-Angriffe, das Ausnutzen von Schwachstellen sowie Abhängigkeiten von der IT-Lieferkette.
NIS-2-Gesetzentwurf
Das Thema der Cyberbedrohung greift der NIS-2-Gesetzentwurf auf und geht dabei über die EU-Vorgaben hinaus. Er bringt verschiedene Neuerungen im nationalen Cybersicherheitsrecht mit sich, worauf die Bezeichnung als „Cybersicherheitsstärkungsgesetz“ verweist. In meiner Serie zum Thema Cybersicherheit werde ich die wichtigsten Aspekte des aktuellen NIS-2 Referentenentwurfs vorstellen. Dabei geht es um folgende Themen:
Begriffsklärungen: Kritische Anlage, Besonders wichtige und wichtige Einrichtungen sowie Ausnahmen
Pflichten für betroffene Einrichtungen
Billigungs- und Überwachungspflichten
Wir beraten bei allen Aspekten rund um IT-Recht und Cybersecurity und unterstützen Sie dabei, die für Ihr Unternehmen relevanten Änderungen zu identifizieren. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und diese vertraglich umzusetzen.
Rechtsanwalt Stefan Haßdenteufel
Experte für Open Source Software
E-Mail: hassdenteufel@web-partner.de